Consejos de ciberhigiene en el trabajo

En esta época de crisis, provocada por la pandemia, todas las empresas han tenido que acelerar su modelo de teletrabajo, cuando la gran mayoría sólo estaba preparada (tanto en su infraestructura de sistemas como en su cultura organizativa) para el trabajo en remoto. Una de las grandes afectadas por esta precipitación, ha sido la ciberseguridad, entendida como seguridad de la información y de las redes y sistemas por donde circula y se almacena.

El teletrabajo es una manera de trabajar que, por sus propias circunstancias, suele provocar una mayor relajación de los empleados a la hora de implementar y cumplir con las medidas de ciberseguridad necesarias para la protección de la integridad, confidencialidad o accesibilidad de la información de la que somos responsables. Eso se debe a que, al encontrarnos físicamente fuera de nuestro entorno habitual, tendemos a comportarnos de una manera distinta y, en ocasiones, menos diligente a la hora de proteger nuestras comunicaciones.

Las medidas de protección de la información, y de los sistemas que la alojan, deben ser de dos tipos: Técnicas y Organizativas.

La implantación de las medidas Técnicas es, principalmente, responsabilidad del departamento de sistemas (IT, informática…) de la empresa. Y, así hay que exigírselo a nuestro proveedor, para el caso en que tal obligación esté externalizada[1].

Mientras que las medidas de tipo Organizativo (pe., formación de los empleados, sensibilización de los directivos, políticas internas, implantación de un SGSI, nombramiento de un DPO, etc.) deben ser implementadas por la propia organización, siendo responsabilidad compartida, entre todos sus miembros, la de su observancia y cumplimiento[2].

Además, las medidas de protección cibernética también deben cubrir aspectos preventivos y reactivos. Sólo así podremos ser eficientes en la lucha contra los incidentes de ciberseguridad que nos amenazan durante el teletrabajo.

Por ello, adicionalmente a las obligaciones Técnicas que puedan resultar de aplicación a cada caso en concreto, podemos desarrollar una serie de buenas prácticas que, si las convertimos en hábito, nos ayudarán a reducir al máximo la probabilidad de que suframos un incidente de ciberseguridad que pueda poner en peligro la infraestructura tecnológica de la empresa, y comprometer la información de terceros. Nos referiremos a este tipo de actuaciones, como medidas de ciberhigiene.

Dentro de estas medidas de ciberhigiene desde Ecix queremos recomendar la puesta en práctica de 8 muy concretas:

  1. No desatender los habituales hábitos de seguridad.

Al trabajar desde casa hay una mayor tendencia a levantarse de la silla, olvidando que nuestros hijos, mascotas, u otras personas que convivan con nosotros en estos momentos, pueden acceder a nuestro ordenador y -sin querer- enviar mensajes no solicitados, o modificar los documentos que estamos redactando o dañar el trabajo que estamos realizando.

Por eso es importante mantener la costumbre de bloquear la pantalla del ordenador cada vez que nos levantemos y dejemos desatendido nuestro equipo. Aunque el objetivo de esta medida no sea, esta vez, la de proteger la confidencialidad de nuestro trabajo, sí estaremos protegiendo su integridad.

Y, al terminar nuestro trabajo, cerremos la correspondiente de sesión de trabajo que tuviéramos iniciada.

  1. Mantengamos la prudencia en nuestras conversaciones

En situaciones de teletrabajo, atendemos llamadas y videoconferencias en abierto, hablando a través del micrófono de nuestro equipo, y escuchando a través de sus altavoces, lo que, en función de la tipología de vivienda en la que teletrabajamos, podría ir en detrimento de la confidencialidad y el secreto profesional.

Con relación a este asunto, en algunos supuestos se ha recomendado a los profesionales evitar trabajar en zonas de la casa en las que estén activados asistentes virtuales, tipo Alexa, Siri o similares[3].

  1. Aumentemos las precauciones y desconfiemos de correos y publicidad de la que no estemos seguros.

En estos días, los cibercriminales, sabedores del uso masivo de recursos tecnológicos al que nos hemos visto obligados a hacer, han redirigido toda su actividad maliciosa hacia los canales online. Durante el teletrabajo estamos más expuestos a recibir campañas de phishing, con las que los delincuentes pretenden engañarnos y robarnos información, y que, además perjudicar a los sistemas de nuestra empresa. Pueden poner en peligro a tu empresa y a tu familia.

Es recomendable no mezclar las conexiones profesionales con las domésticas, y usar, en la medida de lo posible, dispositivos diferenciados. Y en los dispositivos profesionales, únicamente descargar aquellas aplicaciones y programas que hayan sido previamente autorizados por los departamentos técnicos de nuestra organización.

Aprovechemos para reforzar nuestras capacidades defensivas contra eventuales campañas de phishing, así como de otro tipo de engaños, y practiquemos con recursos y herramientas como la que nos ofrece Google a través de su plataforma “phishingquiz”: https://phishingquiz.withgoogle.com/

  1. Protejamos nuestra conexión

Aunque pueda ser responsabilidad de la empresa la configuración de seguridad de los dispositivos que nos facilite para trabajar desde casa, eso no significa que nosotros, en cuanto usuarios, no podamos contribuir a reforzar la seguridad de las conexiones y de los dispositivos que utilizamos.

Por ejemplo, al trabajar desde casa existe un mayor riesgo de que los ciberdelincuentes vulneren nuestra conexión, por ejemplo, cuando utilizamos el wifi doméstico para conectarnos y trabajar.

Por ello es importante que extrememos las precauciones y reforcemos la protección de nuestro router (pe., usando una contraseña robusta). Es importante pedirle a nuestra empresa que implemente herramientas de cifrado efectivo de la información, así como que mantenga actualizado el antivirus y el resto de medidas de protección.

Como ejercicio para comprobar el estado de nuestra conexión, es recomendable hacer la prueba con la herramienta “chequea tu conexión” que ofrece la Oficina de Seguridad del Internauta (OSI), denominada Servicio Antibotnet: https://www.osi.es/es/servicio-antibotnet

  1. Refuerza tus contraseñas

El confinamiento es un buen momento para actualizar todas nuestras contraseñas y comprobar que tienen una robustez suficiente como para que un tercero no pueda adivinarlas.

Podemos comenzar a familiarizarnos con algún tipo de sistemas de gestión de contraseñas, de cara a que cuando volvamos a la normalidad, tengamos contraseñas fuertes y seguras.

También podemos revisar si durante estos días hemos podido ser víctimas de algún tipo de fuga de información que haya afectado a nuestras cuentas.

Podemos hacerlo en el servicio Haveibeenpwnd.com, introduciendo la cuenta de correo que queremos comprobar. Tengamos en cuenta que, en el caso de que nuestra cuenta aparezca dentro de algún tipo de fuga de información, será imprescindible que modifiquemos de inmediato la contraseña correspondiente a esa cuenta.

  1. Sigue las instrucciones de tu departamento de Sistemas

En estos momentos más que nunca, es importante que atendamos a todas las instrucciones y recomendaciones que nos vengan dadas desde el departamento técnico de nuestra empresa. Especialmente, en todo lo que tiene que ver con la actualización de sistemas, y la instalación de determinados programas o aplicaciones en nuestros dispositivos.

En caso de duda sobre algún procedimiento, o en caso de detectar alguna anomalía en nuestros terminales, comunícate de inmediato con el responsable de sistemas para que te ayude.

  1. Securiza tus videoconferencias

Ante el intenso uso que hacemos estos días de plataformas de videoconferencia, procura programar tus reuniones de la manera más restrictiva posible, no aceptando a más personas de las necesarias, o limitando el acceso a las personas convocadas.

Previamente, confirma con tu departamento técnico la conveniencia de utilizar una determinada plataforma, a la vista de los problemas de seguridad de los que hemos sido testigos últimamente en relación con alguna de dichas herramientas.

  1. ¿Has sufrido un incidente? Actúa con rapidez

Si detectas algún tipo de incidente de seguridad durante tu trabajo, contacta inmediatamente con tu departamento técnico, y ponlo en su conocimiento.

Además, recuerda que si dicho incidente pueda haber producido algún tipo de brecha de seguridad que involucre información de carácter personal, la normativa de protección de datos obliga a la empresa afectada a comunicar dicho incidente, a través del procedimiento de notificación contemplado en la norma.

Si eres autónomo y has sufrido algún tipo de incidente de ciberseguridad de relevancia, contacta con el Incibe-CERT a través de la dirección de correo: incidencias@incibe-cert.es. En caso de duda o de querer realizar cualquier otra consulta, puedes contactar con dicho organismo a través del número 017.

Y recuerda que, en ciberseguridad, al igual que con el coronavirus, si te proteges a ti mismo, proteges a los demás.

Desde Ecix queremos que tu Teletrabajo sea seguro, si quieres conocer en profundidad estas y otras medidas que pueden constituir un Riesgo para tu empresa no dudes en contactar con nosotros.

[1] El informe RBP/18 Recomendaciones de seguridad de situaciones de teletrabajo y refuerzo en vigilancia, publicado por el CCN-CERT, incluye controles y medidas de seguridad específicas a tener en cuenta durante una situación de trabajo en remoto.

[2] https://www.aepd.es/sites/default/files/2020-04/nota-tecnica-proteger-datos-teletrabajo.pdf

[3] https://www.telegraph.co.uk/technology/2020/03/30/lawyers-urged-switch-alexa-working-home/

Compartir

Share on facebook
Facebook
Share on twitter
Twitter
Share on linkedin
LinkedIn
Share on whatsapp
WhatsApp