Blog

Buenas prácticas de teletrabajo seguro

El Centro Criptológico Nacional y la Agencia de Protección de datos han emitido en los últimos meses sendos informes sobre buenas prácticas a seguir para evitar brechas de seguridad, como consecuencia del creciente desempeño de la actividad profesional de forma remota. Sus principales conclusiones resultan de utilidad para cualquier empresa y empleado en nuestro país, en estos tiempos de confinamiento y distanciamiento social. Los responsables corporativos tendrán que adecuar sus medidas a la situación concreta en cada momento, pero, en general, deberían:

 

  1. Definir una política de protección de la información para situaciones de movilidad, basada en medidas de protección de datos y seguridad de la entidad. Es decir, concretar un marco de actuación concreto para situaciones de movilidad, que contemple las necesidades concretas y los riesgos particulares de acceder a recursos corporativos, desde espacios que no están bajo el control de la organización.
  2. El personal también ha de estar informado de las principales amenazas por las que pueden verse afectados, al trabajar fuera de la organización, y las posibles consecuencias que acarrea, en caso de incumplir las directrices. El personal también debería firmar un acuerdo de teletrabajo, que incluya los compromisos adquiridos, cuando desempeña sus tareas en situación de movilidad.
  3. Elegir soluciones y prestadores de servicio fiables y con garantías, evitando aplicaciones y soluciones de teletrabajo que no ofrezcan garantías y que puedan dar lugar a la exposición de los datos personales, en particular, a través de los servicios de correo y mensajería.
  4. Confiar solo en soluciones probadas y en controles suficientes que, en el mismo sentido, eviten la exposición de los datos personales o de la organización.
  5. Configurar periódicamente los equipos y dispositivos utilizados en movilidad. Desde revisar los servidores de acceso remoto hasta configurarlos y actualizarlos correctamente, para garantizar el cumplimiento de la política de protección en movilidad.
  6. Para el uso de dispositivos personales en el ámbito laboral, al suponer un mayor riesgo por no incorporar los mismos controles corporativos, también son exigibles unos requisitos mínimos. Además, hay que valorar la posibilidad de restringir la conexión a una red segregada, que únicamente proporcione un acceso limitado a aquellos recursos que se hayan identificado como menos críticos y que estén sometidos a menor nivel de riesgo.
  7. Monitorizar los accesos realizados a la red corporativa desde el exterior. Hay que establecer sistemas de monitorización para identificar patrones anormales de comportamiento en el tráfico de red, con el objetivo de evitar la propagación de malware por la red corporativa y el acceso y uso no autorizado de recursos.
  8. Planificar y evaluar las aplicaciones y soluciones de acceso remoto, teniendo en cuenta los principios de privacidad, desde el diseño y por defecto, a lo largo de todas las etapas de despliegue de la solución: desde la definición de los requisitos y necesidades hasta la retirada de esta o de alguno de sus componentes.
  9. Proteger el dispositivo utilizado en movilidad y el acceso al mismo. La persona empleada debe definir y utilizar contraseñas de acceso, robustas y diferentes a las utilizadas para acceder a cuentas de correo personales, redes sociales y otro tipo de aplicaciones personales. No se debe descargar ni instalar aplicaciones o software que no hayan sido previamente autorizados por la organización. Es recomendable evitar la conexión de los dispositivos a la red corporativa, desde lugares públicos, así como la conexión a redes WIFI abiertas no seguras.
  10. Garantizar la protección de la información que se está manejando, tanto en lugares públicos como en el entorno doméstico. Es obligado adoptar las precauciones necesarias para garantizar la confidencialidad de la información que se está gestionando.
  11. Guardar la información en los espacios de red habilitados. Conviene evitar almacenar la información generada durante la situación de movilidad de forma local, siendo preferible hacer uso de los recursos compartidos, o en la nube, proporcionados por la organización.

Si hay sospecha de que la información ha podido verse comprometida, se debe comunicar con carácter inmediato la brecha de seguridad. Cualquier anomalía que pueda afectar a la seguridad de la información, y a los datos personales tratados, debe notificarse al responsable, sin dilación y a la mayor brevedad posible, a través de los canales definidos al efecto.