Hispasec Sistemas ha creado un decálogo de medidas de seguridad a tener en cuenta por las
empresas en caso de optar por el teletrabajo en tiempos de crisis, como la que vivimos a nivel mundial y que aconseja el aislamiento social para poder frenar la expansión del COVID-19. A nuestras recomendaciones, resulta conveniente sumarle las indicaciones que difundió el Centro Criptológico Nacional (CCN-CERT) el pasado 9 de marzo en el artículo «Medidas de seguridad para Acceso Remoto«, documento que recoge la implementación de soluciones de acceso remoto en cualquier organización, dependiendo de sus capacidades.
Este es el decálogo de Hispasec Sistemas para una gestión segura del teletrabajo:
● Solo utilizar equipamiento suministrado por la empresa para tareas relacionadas con
el trabajo.
El equipamiento usado debe de estar alineado con la política de seguridad de
la empresa. Además, debemos de exigir y controlar que el equipamiento solo
sea usado para tareas relacionadas con el trabajo. Hoy en día existen multitud
de webs y recursos online que contienen amenazas. Un usuario podría
comprometer la seguridad de su empresa simplemente visitando una de
estas webs.
● Cifrado de discos.
La mejor manera de evitar que alguien pueda acceder a la información de los
equipos en caso de robo o extravío es dotando al equipo de un sistema de
cifrado. Esto debe de llevarse a cabo, siempre que sea posible, en la
totalidad de los soportes de almacenamiento físico.
● Uso de antivirus.
La instalación de un antivirus con capacidades de MDM y gestión corporativa
es una medida muy acertada que nos dotará de control sobre las
aplicaciones instaladas en los equipos de nuestros empleados.
● Inhabilitar puertos usb
Muchas de las amenazas provienen del uso de estas tecnologías, además al
encontrarse fuera de la zona de seguridad que ofrece una oficina hace
especialmente delicado este asunto.
● Nivel de usuario adecuado.
Limitar los permisos es una de las optimizaciones más importantes en
materia de ciberseguridad que podemos brindar a los dispositivos de los
empleados. Si bien es cierto que existirán casos de costosa implantación ,
como puede ser el personal IT, siempre que podamos, debemos de llevarla a
cabo.
● Proveer de acceso remoto al personal de mantenimiento de la empresa.
Todos los equipos deben de estar dotados de acceso remoto de forma que el
personal de soporte pueda acceder a ellos ante cualquier contingencia.
Existe multitud de software para este propósito con garantías de seguridad.
● Forzar el uso de medidas de doble factor de autenticación.
El uso de medidas de doble factor para acceso a recursos fuera de la red
corporativa, minimiza considerablemente las posibilidades de que un
atacante pueda acceder a recursos simulando ser un usuario acreditado.
● Las conexiones hacia los recursos de la empresa deben realizarse siempre a través
de canales cifrados.
Sistemas como VPN, basados en sistemas criptográficos de llave pública y
privada permiten securizar las conexiones punto a punto. En caso de que
existan recursos en cloud, estos siempres deberán ir por https.
● Formar en una política de escritorio limpio.
Esto no solo ayuda a trabajar de forma más relajada sino que reduce riesgos
de derrames o caídas que pongan en riesgo nuestro equipamiento.
● Conectarnos a internet a través de conexiones confiables.
Transferir este conocimiento a nuestros empleados con el fin de que sean
capaces de obviar conexiones wifis abiertas o wifis compartidas.
blog.hispasec.com 