Amenazas y recomendaciones para el teletrabajo

Si bien el teletrabajo no es una novedad, con la Covid-19 ha pasado de ser una opción minoritaria a ser una necesidad. El teletrabajo, en sí mismo, incrementa los riesgos para la seguridad de la información, pero tener que adoptar rápidamente y sin planificación previa, como ha comportado la Covid-19, los ha magnificado.

Con el tiempo, las organizaciones han ajustado sus sistemas a las necesidades del teletrabajo (equipos portátiles, conexiones seguras, etc.), pero hay un punto donde las organizaciones no tienen un control total: su personal y el uso que hace de los sistemas de información.

AMENAZAS Y RECOMENDACIONES

• Trabajar en un entorno remoto normaliza el responder a peticiones recibidas de forma telemática. Los atacantes aprovechan para hacer ataques de ingeniería social (particularmente, phising), por ejemplo pedir credenciales o pagos vía correo electrónico. según estadísticas, el 50% de los trabajadores han sufrido un ataque de phising en los últimos 6 meses y un 10% lo sufre cada semana.

Unas sencillas pautas pueden ayudarnos evitar muchos de estos ataques: no dar nunca nuestras credenciales como respuesta a una petición telemática, no seguir enlaces ni descargar archivos de correos electrónicos no solicitados y confirmar las peticiones que se salen del procedimiento habitual. No hay que confiarse, ya que algunos ataques son difíciles de detectar.

• Las dificultades del teletrabajo a la hora de desarrollar ciertas tareas hace que haya tendencia a esquivar algunas medidas de seguridad establecidas por la organización.

Por ejemplo, según las estadísticas, el 25% de los trabajadores han compartido sus credenciales con compañeros. Esta práctica, ya de por sí peligrosa, lo es más si tenemos en cuenta la tendencia a reutilizar contraseñas. Compartir una contraseña con un compañero puede facilitarle acceso otros servicios de la organización o personales a los que no se quería dar acceso.

• El tratamiento de la información fuera de las instalaciones de una organización incrementa los riesgos para la información. La información en formato papel es especialmente vulnerable, pero también lo es la que se guarda en soporte digital. Los riesgos son variados. Por ejemplo, trabajar en un lugar público puede poner la información al alcance de terceros no autorizados (escuchar conversaciones, ver la pantalla del ordenador, etc.) y mantener la información en el dispositivo de teletrabajo puede comprometer su disponibilidad (en caso de incidente).
• El uso de dispositivos fuera de la organización incrementa el riesgo de que personas ajenas tengan acceso. El riesgo se da, sobre todo, fuera del domicilio del teletrabajador: pérdida, robo, etc.
• Hay que bloquear los dispositivos cuando no se están utilizando, no dejarlos desatendidos en lugares públicos y ser cuidadoso con los datos sensibles.
• La comunicación es esencial en el teletrabajo, pero el uso de redes públicas es peligroso. Una red sin cifrado hace que se puedan leer nuestras comunicaciones, un atacante puede crear una red y esperar que la gente se conecte, etc.
• Hay que limitar el uso de las redes públicas y, si se utilizan, emplear protocolos seguros extremo a extremo (VPN, https, etc.). Si esto no es posible, hay que limitar al máximo la transmisión de información sensible.
• Dificultad de la organización para controlar y hacer el mantenimiento de los equipos.

Fuente: Autoritat Catalana de Protecció de Dades