En las últimas semanas miles de empresas han conseguido, mejor o peor, poner a su personal a trabajar desde casa. En una buena parte de casos esto no se ha hecho mediante un plan de continuidad establecido y probado, sino que se ha realizado deprisa y corriendo para poder dar respuesta a la necesidad imperiosa. Las prisas suelen ir relacionadas con faltas graves de seguridad y el incumplimiento de muchos de los procedimientos previamente establecidos. Si perteneces a una de estas organizaciones, este post es para ti ya que voy a contar dónde debes prestar especial atención, tratando de huir de tecnicismos y yendo a prácticas sencillas pero muy importantes. Las situaciones son muy variadas así que valora aquellos consejos que consideres que te aplican.
¿Qué sabes como usuario de la organización?
Una de las principales cuestiones a valorar es qué información se le ha dado al personal. En la mayor parte de los casos probablemente no tenían autorizado el teletrabajo, y quizá incluso lo tenían prohibido por políticas de seguridad o protección de datos. Además, no conocerán qué pueden y qué no pueden hacer.
El usuario debería recibir un protocolo de actuación autorizando el teletrabajo de forma temporal y comprometerse a cumplir con un mínimo de medidas para paliar los riesgos que supone esta nueva situación. Las medidas deberían ajustarse a cada organización… pero revisa que se tengan en cuenta lo que comentamos en este artículo.
¿Disponen de un entorno de trabajo adecuado en casa?
El entorno de trabajo de casa tiene varias peculiaridades, que nuevamente variarán dependiendo de cada casa y cada organización, pero en general son entornos compartidos por varias personas y que se usan mediante conexiones potencialmente inseguras a las que se conectan diversos dispositivos que muy probablemente incluyen importantes y desconocidas vulnerabilidades. En este sentido algunas cuestiones a valorar son:
- Cuida la información. Siempre hablamos de la informática, pero es posible que tengas papel y otros soportes de información con datos de la organización. Sigue utilizando el sentido común y no los dejes accesibles por terceros, pueden acceder a información que no deben, perderla, romperla, … Mejor ser precavido. La custodia de la información es esencial.
- Asegura la wifi y tu router. Probablemente lleve mucho sin cambiar la contraseña, quizá nunca. Pues es el momento. Implicará cambiar la forma en la que acceden el resto de equipos, pero es un beneficio para todos, la organización y la seguridad del hogar. Intentemos al menos lo siguiente:
- Cambia la contraseña y pon una compleja, pero sobre todo larga.
- Cambia la identificación de la red (SSID) y ocúltala. Será más difícil que el vecino se te conecte.
- Activa el cifrado WPA2-AES si está disponible.
- Limita el número de equipos conectados mientras trabajas (TV, Cámaras IP, Móviles, Relojes, y otros dispositivos del Internet de las Cosas)
- Para los más hábiles/tecnológicos también sería interesante:
- Actualizar el firmware del dispositivo a la última versión para evitar vulnerabilidades conocidas;
- Activa el filtrado MAC para limitar qué dispositivos pueden conectarse;
- Limita la potencia de la antena para que solo cubra la casa y no la del vecino;
- Usa direcciones IP estáticas, no DHCP;
- Cambia los DNSs de tu equipo y usa unos que aseguren la privacidad (DNSCrypt)
- Nunca te conectes a redes wifi abiertas, mejor te conectas con los datos de tu móvil.
- Política de mesas limpias. Cuida tu entorno de trabajo. Mantenlo ordenado y limpio. No mezcles documentos personales y profesionales. Te permitirá concentrarte mejor y evitarás sorpresas. Lo de tomar el café con le ordenador queda muy bien en las fotos, pero los ordenadores no les suele gustar mojarse.
¿Está el equipo de trabajo listo?
- Usuario específico y sin permisos de administrador. El acceso al sistema mediante el que se realiza el teletrabajo convendría que fuera independiente al uso del resto de la familia. Si el equipo es compartido debería crearse un usuario específico y cuya contraseña solo conozca el usuario habilitado. Puedes ver cómo hacerlo y algún consejo más aquí. El usuario debería tener el mínimo de privilegios en el equipo y por supuesto también en el acceso a la información.
- No dejes tu equipo desatendido. Es tu familia, y confías en ellos, pero tu organización no tiene porqué hacerlo, y la ley no permite que accedan terceros sin consentimiento de los afectados si hay datos personales.
- El sistema operativo debe estar actualizado a la última versión disponible. Si no lo has actualizado, hazlo ahora. Igual hay que hacer con el resto de aplicaciones, navegadores, etc.
- El antivirus debe estar activo y actualizado.
Mientras trabajas
- No confíes en el correo electrónico, ni siquiera en los de los compañeros. En estos días se puede tender a mover mucha información por correo electrónico. Habría que evitarlo dentro de lo posible. De hecho, sería una buena práctica prohibir el envío de documentos por mail (si tenemos otra opción como la nube, SharePoint, o similar), así como prohibir también la descarga de archivos adjuntos de compañeros. Si no tenéis una nube de la organización u otro medio, podéis utilizar otros como Ydray , siempre con el consentimiento de la organización. Cuando no sea posible evitar el envío de archivos por mail, habrá que ser especialmente cauteloso con lo que proviene del correo electrónico (archivos, enlaces u órdenes a llevar a cabo). Ante la más mínima duda trata de confirmar con el remitente -por otra vía- si él envió el correo en esos términos.
- Nunca envíes datos sensibles por email. Si no hay más remedio cífralos previamente.
- No navegues por sitios ajenos a la organización o a tu trabajo. Desconfía especialmente de aquellos que no son https.
- No uses la sesión profesional para jugar con tus hijos ni descargar otras aplicaciones. Si el equipo es de la organización no deberías hacerlo en ningún caso.
- Cuidado con el Phishing. En estas semanas se ha incrementado de forma tremenda las campañas de phishing relacionadas con el coronavirus.
- Planifica tus tareas y deja constancia de lo que vas realizando.
- Desactiva las macros por defecto en documentos Office. Seguramente ya lo tengas así. No habilites las macros si te lo piden archivos que no conozcas o si habitualmente no te lo piden.
- Mantente alerta ante cualquier situación extraña. Si lo parece seguramente lo es.
Acceso a la información y herramientas
Si la información con la que trabajas la tienes en local:
Trata de tenerlo en un espacio independiente de los archivos personales. Puede ser una buena idea tenerlo en un disco duro externo, pero en ese caso asegura que lo tienes cifrado. Si lo tienes en el disco del ordenador y otros pueden tener acceso, asegúrate que a la carpeta que utilices no pueda tener acceso nadie más. Cifrarla puede ser también muy recomendable.
Si la información la tienes en la nube
Entiendo que en todo momento será de la organización. Si es una herramienta personal debes ponerlo en conocimiento de la organización y asegurarte que se te permite utilizarla. Por defecto no deberías.
Lo normal es que se acceda a ella mediante herramientas o vía web con https. Si no asegura una comunicación cifrada no debería utilizarse.
Si la información la tienes en un servidor remoto o en el ordenador de la oficina.
En este caso la comunicación debería hacerse mediante una Red Privada Virtual.
No basta hacer uso de una aplicación de acceso remoto como TeamViewer o VNC o el Escritorio Remoto de Windows. Acceder al propio equipo es de alto riesgo de infección por código dañino tipo ransomware por la publicación de puertos de escritorio remoto o SSH. Si no hay otra alternativa a esta, habría que aplicar medidas compensatorias como limitar las IPs desde la que se puede conectar, pero suele ser difícil ya que los usuarios no suelen tener una IP fija.
La conexión debe hacerse mediante VPN para asegurar que el canal de comunicación esté cifrado.
¿Y si pierdes ahora mismo toda la información?
Al estar en remoto corremos el riesgo de trabajar con información que está fuera de los protocolos de copias de seguridad. Si es posible no guardes nada en local.
Asegúrate que la organización puede restaurar de copias de toda la documentación que modificas o generas. Si tienes dudas, pregunta.
Si decides por ti mismo hacer copias, coméntalo con tus responsables para asegurar que no incumples ninguna política. En cualquier caso deberías asegurar que el lugar donde haces copias es distinto al original (de disco duro a disco externo) y que está protegido (cifrado) y correctamente custodiado.
¿Usas móvil?
Si usas el móvil para el trabajo deberías considerar también algunos consejos:
- Activa un método de desbloqueo seguro
- Elimina la previsualización de los mensajes cuando el móvil está bloqueado
- Deshabilita la wifi y bluetooth cuando no se utilice
- Mantenlo actualizado, no postpongas ninguna actualización
- Ten cuidado con las nuevas aplicaciones. Sería deseable no hacer pruebas de instalaciones mientras dure esto. En cualquier caso las aplicaciones solo deben instalarse de fuentes oficiales
- No uses en ningún caso un móvil con jailbreacking o rooting del terminal. Lo hace más susceptible a vulnerabilidades.
- Usar igualmente una VPN para conectarse con el ordenador o servidor.
- Y recuerda no conectarte vía wifis abiertas.
Control de tareas
Intenta utilizar herramientas para planificar y controlar la ejecución de tareas. Algunas útiles pueden ser TEAMS o SLACK, etc. Varias de ellas, como TEAMS te permitirán además mantener videoconferencias uno a uno o en grupo y las podrás combinar con nubes de Microsoft (OneDrive, Sharepoint) o de terceros. Estas herramientas pueden grabar las conversaciones, así que sería bueno controlar esta opción o acordar con el personal si se puede hacer o no y especialmente velar por las garantías de privacidad de los asistentes a las reuniones.
Si quieres más información no dudes en consultar a LEGITEC.
Finalmente
Activa el sentido común. Se muy precavido y duda de cualquier cosa que veas extraña. Consulta con tus responsables o tus informáticos ante cualquier duda. Ten a mano los teléfonos más importantes de tu organización, tu responsable y los informáticos o personal de sistemas y tu Delegado de Protección de Datos, deberían estar entre ellos.
Recuerda que el INCIBE tiene un teléfono de ayuda en ciberseguridad, el 017, está activo los 365 días del año y la llamada es confidencial.
¿Esperabas algo más técnico con más medidas de seguridad?
Algo sencillo:
https://www.osi.es/es/cibercovid19
Algo más técnico:
Y si quieres complicarte:
https://nvlpubs.nist.gov/nistpubs/Legacy/SP/nistspecialpublication800-46r1.pdf