El rol de la ciberseguridad en el teletrabajo

user-pic

Los profesionales que trabajan a distancia con equipos o dispositivos no controlados por sus empresas pueden arriesgarse al robo, secuestro filtrado o pérdida de información confidencial. ¿Cómo disminuir este riesgo?

1500x844.jpg_imagen1.jpg

Al migrar las actividades laborales a sus hogares, la mayoría de trabajadores emplean sus propios equipos de cómputo y medios de comunicación. Así, ingresan al entorno denominado shadow TI, es decir, activos informáticos no controlados por la empresa. Ello genera un riesgo latente por las vulnerabilidades presentes en la configuración doméstica de los medios informáticos del trabajador. 

Un ambiente doméstico no posee la seguridad perimetral de una red y queda expuesto a malwares existentes en internet. Además, el equipo puede ser usado por familiares que desconocen las buenas prácticas de seguridad de la información. A ello debemos sumar la posibilidad de contar con un sistema operativo y antivirus desactualizados, y medios de almacenamiento externos sin la verificación adecuada. 

Otro riesgo conocido es la modalidad de phishing o clonación de comunicaciones de empresas, en su gran mayoría bancos para la obtención de credenciales y claves con fines fraudulentos y delictivos. A esta modalidad se le denomina ingeniería social, ya que la comunicación fraudulenta ha sido diseñada de acuerdo a los usos y costumbres de navegación en internet de la potencial víctima. ¿Cómo actuar entonces? 

Pautas para el trabajador

Es importante que la computadora del trabajador cuenta con programas para asegurar la conexión de la red como VPN (red virtual privada), antivirus y antimalware para la detección y eliminación de amenazas informáticas. También es necesario un software para evitar la fuga de información. Otra medida clave es realizar de manera periódica una copia de seguridad o back up de datos en otros dispositivos.



La conexión a internet del trabajador debe contar con credenciales de acceso y evitar colgarse de una señal libre, ya que suelen ser muy inseguras. Las credenciales deben cambiarse con mucha frecuencia. En segundo lugar, debe emplear siempre la VPN para un acceso seguro a la red, así como los servicios informáticos del centro laboral. 

El trabajador también debe seguir algunas pautas para la revisión de sus correos. Es importante verificar el dominio de la dirección para validar si el correo proviene de una organización formal. Además, se debe ejecutar a demanda el antivirus y configurarlo para que analice automáticamente cada correo recibido. Es recomendable no descargar archivos o acceder a enlaces no confiables para evitar la infección del computador. 

Durante la jornada, el trabajador debe evitar el uso intensivo de redes sociales y de medios de almacenamiento externo no verificados. También debe evitar realizar descargas de archivos de páginas web de dudosa procedencia y subir a la nube documentos sin cifrar. Si cuenta con información sensible de la empresa, debe encriptarla. Por último, debe apagar o bloquear el computador cuando no lo use. 

Estrategias de ciberseguridad

Por el lado de las empresas, es importante tener políticas y controles de seguridad de la información formalizados y difundidos entre todos los trabajadores. Entre estas medidas, debe incluirse la instalación de antivirus corporativo. El cumplimiento de estas normativas debe ser monitoreado en todo momento a través de soporte técnico, registro de incidentes y ejecución de buenas prácticas de testeo para corregir posibles brechas. 

Estas acciones deben cumplir los lineamientos de la norma internacional ISO 27001:2013. Consiste en un marco de referencia integral para implementar un sistema de gestión de seguridad de la información en toda organización y asegurar la confidencialidad, disponibilidad e integridad de esta data en formato físico, audiovisual y digital, mediante políticas y controles para resguardarla en el ámbito organizacional. 

La norma puede ser certificable por una institución reconocida si la empresa cumple con las buenas prácticas de seguridad de la información, validada a través de auditorías internas y externas. Como toda norma de gestión, se promueve el uso de indicadores y la mejora continua, requisitos necesarios para mantener la certificación en el tiempo. 

Por último, debemos recordar que el eslabón más débil en toda organización es el trabajador. Al navegar en internet, se expone a las amenazas de virus y software malicioso (malware). En ese sentido, es importante mantener sensibilizado y capacitado al trabajador en la identificación de amenazas y aplicación de medidas preventivas. ¿Has recibido capacitación en ciberseguridad? Cuéntanos tu experiencia.

Auspicios