Teletrabajo en tiempos de coronavirus: claves para ponerlo en marcha de forma segura
El cierre de los centros educativos en las zonas de riesgo del coronavirus genera un efecto dominó de consecuencias sociales y económicas. Una de las más importantes es que el teletrabajo se impone desde hoy en muchas oficinas y empresas cuya actividad lo permita, como parte de las recomendaciones del Gobierno. Para facilitar la conciliación, un gran número de compañías permitirán a sus empleados con hijos sumarse a la medida y trabajar desde casa. Otras muchas han mandado a teletrabajar directamente al grueso de su plantilla.
Activar el teletrabajo de manera cibersegura es por ahora el reto tecnológico más importante de la crisis del coronavirus con más impacto económico. El teletrabajo puede exponer a la empresa a mayores riesgos si no se plantea adecuadamente, algo que en caso de las pymes puede resultar fatal: según datos de la Confederación Española de la Pequeña y Mediana Empresa (Cepyme), el 60% de ellas cierran en los seis meses siguientes a sufrir un hackeo.
No obstante, es en el grado de digitalización previo de la empresa y no en el tamaño la organización donde se encuentra la clave. eldiario.es ha contactado con varios expertos en ciberseguridad que han enumerado las principales claves para montar un puesto de trabajo ciberseguro en tiempos de coronavirus. “Teletrabajar no tiene que dar miedo, pero es necesario que la organización esté preparada”, avanza Oscar Maqueda, experto en ciberseguridad.
Establecer una conexión segura (el wifi de la cafetería no lo es)
“Una de las medidas más importantes que tienen que aplicar las empresas es que la conexión se haga a través de redes seguras. En este caso una de las mejores opciones es establecer una conexión a través de VPN, redes privadas virtuales”, explica Daniel Fírvida, experto del Instituto Nacional de Ciberseguridad (Incibe). Las VPN (siglas de Virtual Private Network) son sistemas que permiten acceder a información confidencial de la empresa o de sus clientes de manera segura y dificultar mucho que alguien ataque esa conexión.
Transmitir información a través de las redes públicas de wifi, como la de una cafetería, una estación o una biblioteca, puede asimilarse a mantener una conversación en una habitación con la puerta abierta en la que otra gente con ciertas habilidades puede entrar. Son conexiones inseguras. En cambio, hacerlo a través de una VPN equivale a construir un túnel privado entre el dispositivo del trabajador y los sistemas de la empresa.
Las VPN pueden asegurar cualquier tipo de conexión, tanto si el punto de acceso es una wifi pública como si es la red doméstica. Se basan en la encriptación para proteger el tráfico que transmite o llega a nuestro dispositivo, impidiendo que alguien la intercepte o ponga el oído y robe documentos o archivos.
En su web oficial, el Incibe detalla los requisitos deseables a la hora de contratar estos servicios. “Puede haber configuraciones más o menos restrictivas dentro de lo que es una VPN, pero lo más recomendable es montar ese acceso”, aconseja Fírvida. “Si no estamos habilitando los servicios habituales de conexión desde la oficina hacia fuera y abriéndolos sin más, con lo que también estamos abriendo las puertas a los ciberdelincuentes o a cualquier tipo de ataque”.
En una urgencia, mejor la conexión móvil
¿No hay VPN disponible y es necesario transmitir una información que incluye datos sensibles o confidenciales? El wifi del bar de debajo de casa nunca es buena solución: “Es mucho más seguro utilizar la conexión 4G”, recuerda Julio Prats, director de productos y soluciones de Vodafone. Actualmente la inmensa mayoría de los smartphones pueden compartir su conexión con otros dispositivos del usuario, como un ordenador portátil, permitiendo conectarse a Internet con menos riesgos.
“La conexión móvil es más segura por varias razones. La principal es que partes de una situación distinta, porque la seguridad viene embebida en la propia red y no depende de alguien que puede no ser un experto a la hora de securizar sus conexiones: en todo lo que paso por 4G, se sabe que soy yo porque es mi línea personal y va encriptado de serie”, continúa Prats.
Utilizar dispositivos de la empresa siempre que sea posible
“Consideramos importante que la conexión a esa red se haga con equipos de la propia empresa. Es decir, desde equipos portátiles: no utilizar ordenadores domésticos”, pide Fírvida desde el Incibe. “¿Por qué? Porque los ordenadores portátiles que tiene la empresa tienen aplicadas un montón de medidas de seguridad, están preparados”. Una red segura y un equipo seguro forman el mejor dúo para evitar riesgos derivados del teletrabajo. Por ello, y teniendo en cuenta la excepcionalidad del teletrabajo a causa del coronavirus, vale la pena valorar la posibilidad de transportar equipos de sobremesa a la casa de los trabajadores si no hay portátiles disponibles.
En caso de no ser posible y tener que recurrir a equipos domésticos para teletrabajar, la recomendación número uno de todos los expertos consultados por eldiario.es es que el teletrabajo no sea una excusa para relajar las normas de ninguno de los procesos que se llevan a cabo en la oficina. “Evidentemente un empleado puede no conocer bien todas las políticas que se emplean para securizar el sistema operativo de la empresa, pero establecer contraseñas robustas, evitar conectar dispositivos USB sospechosos, realizar copias de seguridad periódicas, son cosas un poco más básicas y que el empleado sí puede realizar”, enfatiza el experto del Incibe.
El primer día del teletrabajo es un gran momento para actualizar la contraseña del wifi con una clave larga y alfanumérica (incluso aunque ya se cuente con una robusta) y poner al día todos los sistemas operativos y programas a la última versión. Prats, de Vodafone, da otro consejo: “Es aconsejable adoptar el paradigma zero trust (confianza cero). Normalmente puedes acceder a cualquier cosa menos a los sitios que resulten sospechosos. Ahora lo recomendable es no acceder a nada que no conozcas y que sepas que es un sitio seguro porque ya los utilizado antes”.
Si se utiliza software con licencia
Muchas empresas emplean en su rutina del día a día programas de software que no es sencillo instalar en los dispositivos del usuario, bien por una cuestión de licencias de uso, o por sus requisitos técnicos. Es otra de las razones por las que lo ideal es utilizar equipos de la empresa en la medida de lo posible. Cuando lo segundo no sea posible y lo primero, una necesidad, desde el Incibe recomiendan “buscar una solución de tipo cloud que te hacen de puente y te da acceso a ese ordenador o aplicación de manera remota”.
Oscar Maqueda, que ha colaborado en procesos de migración a la nube como los de la Cruz Roja, avanza que incluso “cuando es una aplicación interna y no hay manera de ponerla en nube, porque es muy antigua o porque no ha sido diseñada para trabajar en remoto, lo que se suele utilizar es una solución para acceder en remoto, como por ejemplo Citrix, que lo que te hacen es presentarte en un navegador, o en un escritorio de trabajo, igual que si estuvieras en una red local”.
“El equipo técnico o los informáticos también pueden habilitar un acceso a ese equipo que tiene instalado el programa en remoto, o instalar esas licencias en ordenadores virtuales que sean accesibles para un conjunto de ordenadores a través de VPN”, continúa Fírvida. “Si no lo tienes previsto y no lo tienes probado, no es algo que en todos los casos lo puedas hacer en cuestión de 20 minutos pero sí que hay métodos técnicos para solucionar estos problemas”.
Hacer una prueba de carga
Con el grueso de la plantilla teletrabajando algunos sistemas informáticos de la empresa pueden verse sometidos a un volumen de uso en el que no han sido testados antes. Esto no debería ser un problema en las empresas de menor tamaño, pero sí en las más grandes, donde pueden generarse cuellos de botella. Uno de los sistemas que se pueden sobrecargar son precisamente los túneles VPN. Para evitarlo es necesario realizar lo que el sector conoce como “prueba de carga”.
Las empresas más grandes las han realizado desde la semana pasada. “En nuestro caso no fue tanto por la conectividad o por testar las herramientas de colaboración en la nube, que están preparadas para absorber un tráfico enorme, sino por comprobar que los túneles seguros que cerrábamos contra una máquina que normalmente está acostumbrada a generar túneles para 300 personas, era capaz de generarlas, en este caso, para 2.500”, detalla Prats, de Vodafone.
Y lo principal: no improvisar
Todas estas medidas deberían estar contempladas en los planes de digitalización de las empresas. No obstante, desde Cepyme señalan que la digitalización es precisamente “una asignatura pendiente de la pyme española, especialmente las empresas de menos de 10 empleados (93,5% total)”. Solo el 14% de las pymes cuenta con un plan de digitalización en España según el Índice de Economía y Sociedad Digital que elabora la Comisión Europea.
Si el trabajo debido al coronavirus ha encontrado a la empresa sin un plan de contingencia, lo principal es no improvisar soluciones. “A lo mejor no es necesario que todos los empleados tengan acceso a absolutamente todos los servicios, es necesario pensar en qué es imprescindible para que la empresa funcione”, pide Fírvida, del Incibe. Establecer prioridades y evitar implementar nuevos protocolos en este período. “Lo peor es improvisar. Lo ideal es tener un mínimo plan y ahora mismo estar repasándolo y comprobando que todo funciona. Si no, hay que pensar en esas partes mínimas e imprescindibles que puedan permitir que la actividad de la empresa no se venga abajo”.
11