Noticias
Teletrabajo y coronavirus: no olvides la seguridad
Si hace tan solo un mes nos dicen que toda la población del país se iba a ver sometida a un confinamiento obligatorio, nos habría costado mucho creerlo. Y sin embargo aquí estamos, en la primera semana oficial del estado de alarma (el contador se iniciaba el lunes a las 8.00 AM), con la segunda taza de café junto al ordenador, en casa, y mirando por la ventana ese mundo exterior que parece que nos llama.
Pero bueno, una vez salvada la tentación de salir a la calle e ir a visitar el centro (sea el que sea) para verlo más vacío que nunca, se impone recordar que es día de trabajo y que, aunque nos encontremos en casa, no debemos descuidar nuestras obligaciones profesionales.
El problema es que, en muchos casos, las empresas se van a enfrentar por primera vez a una situación de teletrabajo masivo. Sus oficinas se van a quedar vacías y su fuerza de trabajo tendrá que asumir sus labores desde casa. Algo que, en principio, no supone mayor problema… salvo que seas la persona de la que depende la seguridad de la infraestructura IT. En ese caso, la situación es algo más compleja, así que aquí te ofrecemos algunas recomendaciones que, de algún modo, te ayudarán a evitar problemas ocasionados por este nuevo modelo de trabajo.
VPN
Red Privada Virtual (Virtual Private Network) o, traducido al humano “Evita que miles de ciberdelincuentes puedan espiar el tráfico entre los distintos nodos de tu red”. Emplear un sistema de red privada virtual entre los ordenadores y dispositivos de los trabajadores y los servicios de tu infraestructura es, no ya una medida de seguridad, sino LA medida de seguridad.
A este respecto hay varias posibilidades, que se pueden agrupar en dos grandes bloques: asumir la puesta en marcha y despliegue de nuestro propio sistema de VPN o confiar esta tarea a alguna empresa externa que se responsabilice del servicio. En caso de que cuentes con amplios conocimientos sobre esta tecnología, puedes responsabilizarte tú mismo. En caso contrario, lo más recomendable es que lo externalices y centres tus esfuerzos en otras tareas, que seguro que no te faltan.
Canal seguro de comunicación
Aunque las empresas llevan años intentando canalizar todas las comunicaciones hacia vías “formales” (email, sistemas de mensajería en el entorno laboral, etcétera), las conversaciones a pie de cafetera, impresora, maceta… en fin, a pie de cualquier cosa, siguen siendo protagonistas en un sinfín de ocasiones.
El problema es que, en estas circunstancias, esas conversaciones se pueden convertir en llamadas telefónicas, mensajes a través de múltiples plataformas, etcétera. Y ya sabes quienes están muy atentos a todos esos canales, ¿verdad? Efectivamente, los ciberdelincuentes pueden aprovechar todos esos canales para obtener datos, suplantar identidades, “colar” patógenos dentro de nuestra infraestructura, etcétera.
Por lo tanto, es perentorio imponer el uso exclusivo de los canales aprobados por la empresa para todas las comunicaciones entre los empleados. Ya sea correo electrónico (el corporativo, por supuesto), herramientas de trabajo en grupo, soluciones VoIP y demás. Solo de esta manera, podremos confiar en el que las comunicaciones se desarrollan siempre de manera segura.
Reducción de canales informales
En consonancia con la anterior, en estas circunstancias hay que limitar al máximo el uso de canales informales (atajos en la estructura estándar). Es cierto que, en circunstancias normales, estas vías pueden agilizar mucho determinadas operaciones y, por lo tanto, su empleo puede resultar positivo (de ahí que tantas empresas acepten e incluso incentiven su existencia). Sin embargo, por favor, no olvidemos que estamos viviendo circunstancias excepcionales, y que en las mismas, resulta fundamental una supervisión muy estricta de todas las operaciones.
Este puede ser un buen momento, eso sí, para revisar procesos, intentando hacerlos más livianos y eficientes. Es más, quizá sea el momento de «formalizar» algunos de esos canales informales y convertirlo en un nuevo estándar dentro de la organización. En entornos de teletrabajo, las estructuras y los procesos más ligeros (aunque definidos con cabeza, claro) son mucho más efectivas.
Mayor rotación de contraseñas (+ sistema seguro de recuperación)
¿En una contraseña menos segura en un entorno que en otro? Bueno, la contraseña, en sí misma, siempre resultará igual de segura, pero lo que varía es el contexto. En unas oficinas en las que se han adoptado las pertinentes medidas de seguridad, es más difícil que unas credenciales se vean comprometidas. Sin embargo, en entornos domésticos donde las distracciones son más factibles, hay más posibilidades de que, por cualquier circunstancia, unas claves se puedan ver expuestas. En estas circunstancias, lo más seguro es reducir la vigencia de las contraseñas, forzando, por ejemplo, un cambio semanal de las mismas. De esta manera, si una credencial se ve comprometida, estaremos estableciendo una ventana muy limitada para que pueda ser empleada con malas intenciones.
La mayoría de sistemas de directorio permiten configurar, de manera automática, la vigencia de las credenciales, así como otros elementos de seguridad relacionados con las mismas (no repetición de claves anteriores, obligatoriedad de que sean alfanuméricas, inclusión de caracteres especiales, etcétera). Es más fiable que los empleados utilicen contraseñas complejas y, si no necesitan, un gestor de claves fiable, a que mantengan una misma clave que puedan recordar durante meses o incluso años.
Es importante, eso sí, que pongas el parche antes de la herida, y tengas preparado un plan de actuación seguro. ¿Para qué? Para la recuperación de contraseñas, claro. Y es que, antes o después, te vas a encontrar con los olvidos (algo perfectamente comprensible, claro). El problema es que un atacante puede intentar aprovecharse de las circunstancias para suplantar la identidad de un empleado, obtener una nueva clave y, con ella, acceder a nuestra infraestructura.
Para evitar este problema puedes, por ejemplo, recurrir a un sistema 2FA. ¿Cómo? Pues combinando correo o plataforma de comunicación en grupo con identificación telefónica. De esta manera, aunque el proceso pueda resultar un poco más tedioso, evitarás muchísimos riesgos, y tendrás la garantía de que, tras cada petición de cambio / recordatorio de credenciales, se encuentra el legítimo usuario de las mismas.
Política de seguridad en dispositivos
Aquí debemos hacer una distinción importante, fundamental incluso: ¿los dispositivos con los que están teletrabajando los empleados son de la empresa o particulares? En el primer caso, poco o nada hay que decir, ya que seguro que han sido securizados y, por lo tanto, si se emplean en combinación con una VPN, no hay nada que temer.
Ahora bien, si están empleando sus dispositivos personales, urge (y mucho) llamar a su responsabilidad y buscar las herramientas necesarias para poder controlar y administrar, de manera remota, la seguridad de los mismos. Bastantes herramientas de seguridad permiten la descarga y configuración automática del software cliente, que automáticamente pasará a ser «controlable» desde la consola de administración central.
En este caso, evidentemente, estaremos pidiendo a los usuarios que nos dejen, de alguna manera, «meter mano» en sus equipos, así que deberemos mostrar un compromiso más que firme con su privacidad y su intimidad. Además, tendremos que establecer, de partida, que dichas herramientas serán eliminadas de los sistemas una vez que la situación vuelva a la normalidad. Y, si cabe la posibilidad, establecer algún tipo de compensación a los trabajadores por su colaboración a este respecto.
Evitar distracciones
En aviación, el concepto de cabina estéril se aplica a todas las operaciones por debajo de los 10.000 pies, así como a cualquier procedimiento complejo y circunstancia que se salga de la normalidad. Y consiste en que se deben evitar todas las distracciones posibles, mantener la calma (en la medida de lo posible, claro) y centrarse en los procedimientos.
Vale, es cierto que en nuestro caso no hablamos de estar pilotando un Airbus A380 un día de meteorología infernal, pero a nuestra escala, también somos responsables de tareas con su importancia. Así, por mucho que pese, los trabajadores no deberían estar disfrutando de la compañía de Ana Rosa Quintana o Alfonso Arús mientras que desarrollan sus tareas. ¿Qué el crudo silencio, o los gritos de los niños en su dormitorio no son la mejor ayuda para centrarse? Pues entonces es un buen momento para ponerse los auriculares y escuchar algo de música. Ahora mismo estoy escuchando esta lista de Apple Music: muy recomendable y mejor para centrarse que el ruido de la tele.
Con estos consejos y un poco de paciencia y empatía, seguro que podrás gestionar este escenario de teletrabajo sin demasiados sobresaltos. ¡Mucho ánimo y a por ello!