8 pasos para garantizar la seguridad de los empleados que teletrabajan

Podemos considerar el teletrabajo como la modalidad de trabajo más extendida a día de hoy, pero también es una de las que supone un mayor reto para todos. Reto para los empleados que han de conciliar su vida familiar y laboral. Reto para los directivos que han de conseguir una gestión eficiente de sus equipos a distancia. Y reto para los departamentos de IT, responsables de garantizar la seguridad y la privacidad de los empleados que teletrabajan.

En los últimos meses el teletrabajo se ha afianzado como la formula preferida por las empresas para cuidar de sus empleados frente a la Covid-19. Sin embargo, muchas empresas y trabajadores no son todavía lo bastante conscientes de la importancia de adoptar medidas para garantizar la seguridad y la privacidad de la información.

La mayoría de empleados utilizan el acceso remoto para acceder a los recursos de la empresa y desarrollar su actividad diaria. En muchas ocasiones estas conexiones se realizan a través de dispositivos portátiles (Smartphone, tablets, ordenador portátil, etc.), lo que añade mayor dificultad a los departamentos de IT para proteger y garantizar la seguridad de toda la información que se genera en la empresa.

Principales amenazas a las que se enfrentan

Que los empleados puedan acceder de forma remota a la información de la empresa da a los ciberdelincuentes más oportunidades para vulnerar los protocolos de seguridad de la empresa.

Si los dispositivos utilizados por los empleados no tienen una protección adecuada puede suponer un riesgo adicional para toda la información y las redes de la empresa. Hoy en día existen muchas amenazas que afectan a la seguridad de los dispositivos. Veamos las más habituales:

• Malware. Este tipo de amenazas pueden infectar los dispositivos a través de muchos medios, como el correo electrónico, las descargas, el uso compartido de archivos o las redes sociales.
• Uso de dispositivos no autorizados. Estos dispositivos no autorizados como memorias flash, usb, etc. pueden contener virus y transmitirlos a los dispositivos sí autorizados. Otro caso es que se guarde información vital para la empresa en ellos y quede desprotegida frente a ataques cibernéticos y otros riesgos de seguridad.
• Pérdida o robo del dispositivo. Cualquiera que tenga acceso al dispositivo robado o perdido puede acceder a información muy valiosa para la compañía y hacer un uso indebido de la misma.

Generalmente, los dispositivos portátiles de teletrabajo deben tener los mismos controles de seguridad que los que se encuentran físicamente en la oficina. Sin embargo, se recomienda aplicar controles de seguridad adicionales que garanticen una protección extra.

Los 9 pasos que garantizaran la seguridad de los dispositivos durante el teletrabajo

Para asegurarse que todos los dispositivos utilizados por los empleados tengan la misma protección es importante que el departamento de IT lleve a cabo los siguientes pasos de la forma más exhaustiva posible:

1. Establecer una política de teletrabajo en la empresa.
2. Marcar los objetivos de seguridad en el acceso remoto.
3. Determinar los métodos de acceso remoto.
4. Implantar las medidas de seguridad adecuadas.
5. Mantener actualizados los sistemas operativos y aplicaciones.
6. Asegurar los dispositivos móviles de teletrabajo.
7. Proteger los datos en terminales de teletrabajo.
8. Realizar copias de seguridad de datos completas.

1.      Establecer una políticas de teletrabajo en la empresa

Si queremos tener un entorno de trabajo seguro, lo primero que se debe hacer en la empresa es establecer una política de teletrabajo que incluida todas las normas a seguir sobre el uso y los métodos de acceso a los dispositivos.

Esta política ha de incluir los siguientes aspectos, entre otros:

• Qué usuarios pueden acceder al teletrabajo.
• Los procedimientos a seguir para solicitar y autorizar el teletrabajo.
• A qué aplicaciones y recursos puede acceder cada empleado.
• Los mecanismos de acceso seguro que se deben considerar en cada caso.
• La configuración que deben tener los dispositivos que se conectan remotamente a la empresa.
• Qué política de almacenamiento se ha de utilizar en los equipos de trabajo.
• Los procedimientos y la planificación a seguir para realizar copias de seguridad.
• Qué aplicaciones de administración remota se utilizaran en los dispositivos móviles.
• La formación que se dará a los empleados.

2.      Marcar los objetivos de seguridad en el acceso remoto

Independientemente de si trabajamos en la oficina o utilizamos el teletrabajo, todos y cada uno de los miembros de la empresa debemos tener claro que hay que proteger el principal activo de esta, la información.

Para marcar los principales objetivos de seguridad a seguir es importante que se tengan en cuenta las dimensiones sobre las cuales se aplicarán las medidas de seguridad:

• Disponibilidad: se ha de asegurar que los empleados puedan acceder a los recursos cuando lo necesiten.
• Autenticidad: hay que controlar y garantizar que solo las personas con permiso pueden acceder a la información.
• Integridad: se debe mantener la información completa y exacta y detectar cualquier posible cambio, ya sea intencionado o no.
• Confidencialidad: los datos almacenados en la empresa no pueden ser leídos por personas que no tienen autorización.
• Trazabilidad: hay que contar con procedimientos y mecanismos que permitan llevar a cabo análisis de seguridad en caso de sufrir un incidente.

Pero no son solo estas las consideraciones que debemos tener en cuenta.  Para marcar la política y objetivos de seguridad, también se han de tener presentes las leyes en materia de seguridad que afectan a la empresa y cumplir lo que establecen.

3.      Determinar los métodos de acceso remoto

En el mercado existen varias opciones para dar acceso remoto a los empleados de una empresa. Como responsables de la seguridad, el departamento de IT debe determinar cuál es la más adecuada a las necesidades de la empresa y que permita garantizar la seguridad de las actividades que se realizarán en remoto.

Tipos de acceso remoto más utilizados:

• Escritorio virtual: consiste en virtualizar los entornos de trabajo de los empleados y alojarlos en una ubicación controlada por la empresa a la que el trabajador puede acceder desde cualquier dispositivo. Es la mejor opción para empresas en las que gran parte de la plantilla teletrabaja o cuando hay empleados con alta movilidad física.
• VPN: Se trata de una tecnología de red que se utiliza para conectar uno o más dispositivos que permite una extensión segura de la red de área local(LAN) sobre una red pública o no controlada como Internet. Con la VPN se garantiza la seguridad, la integridad y la confidencialidad de los datos ya que se crea un “túnel” al que solo tienen acceso personas autorizadas. En nuestro post VPN:¿Sabemos cómo escoger la que más nos conviene? te contamos más acerca de este tipo de acceso remoto.
• VMI: la Infraestructura Móvil Virtual es una tecnología emergente que proporciona capacidades similares a las del escritorio remoto a los dispositivos móviles. Consiste en facilitar un entorno de dispositivo móvil virtual seguro que permite acceder a aplicaciones móviles remotas que se ejecutan en servidores corporativos desde un dispositivo móvil. Este tipo de acceso remoto evita la pérdida o robo de datos aunque se robe el dispositivo.
• Escritorio remoto: A diferencia del escritorio virtual, en el escritorio remoto el usuario tiene control remoto del equipo que tiene en la oficina de la empresa. Es decir, se conecta directamente al equipo físico de trabajo y no a una red virtual.
• Soluciones en la nube: otra de las opciones para dar acceso remoto a los empleados son los portales para aplicaciones. Un portal es un servidor que proporciona el acceso a una o más aplicaciones corporativas a través de una interfaz centralizada. La mayoría de los portales están basados en web, lo que facilita el acceso a los empleados pues solo necesitan utilizar un navegador para acceder con su correspondiente acceso.

4.      Implantar las medidas de seguridad adecuadas

Habitualmente para acceder a la información interna que necesitamos durante nuestra jornada debemos acceder a un servidor de acceso remoto. Por lo que un servidor comprometido puede permitir un acceso no autorizado para obtener información confidencial. Implantando medidas de seguridad en estos servidores se garantiza la seguridad y la privacidad de la información corporativa.

Los servidores de acceso remoto deben colocarse en el perímetro de la red corporativa, mantenerse actualizados y utilizar la configuración de seguridad marcada por la organización. Además, tan solo han de ser gestionados por administradores autorizados.

Respecto a las soluciones de trabajo, estas deben ser evaluadas y analizar su sistema de seguridad para evitar que puedan comprometer todo el servidor.

Adicionalmente solo se debe otorgar autorización a los empleados para utilizar aquellos recursos que realmente utilizan. Se ha de evitar que los recursos estén disponibles de manera generalizada. Para ello es imprescindible crear un sistema de autenticación que solicite las credenciales a cada teletrabajador. Siempre que sea posible, es recomendable aplicar una política de autenticación mutua que permita a los usuarios verificar la autenticidad del servidor antes de introducir sus credenciales.

Pero sin duda, la mejor práctica para garantizar la seguridad es contar con un servidor de acceso remoto que solo se utilice para este servicio.

5.      Mantener actualizados los sistemas operativos y aplicaciones

Una de las medidas más importantes para el teletrabajo es la aplicación de actualizaciones de seguridad de los sistemas operativos y aplicaciones.

Las empresas deben contar con una política de actualizaciones de los equipos de teletrabajo que les ayude a garantizar la seguridad y privacidad de los empleados y la información que gestionan en su día a día.

Es muy importante que todas las aplicaciones se mantengan actualizadas. De esta manera se dificulta la aparición de brechas de seguridad y/o el acceso a terceros no autorizados. Lo más adecuado es configurar los dispositivos de teletrabajo para que realicen las actualizaciones automáticas.

6.      Asegurar los dispositivos móviles de teletrabajo

Los dispositivos móviles tienen que estar contemplados en las políticas de seguridad de la organización, ya que hay riesgos asociados a su uso.

Para elaborar estas políticas de seguridad podemos utilizar las soluciones de gestión de dispositivos móviles y las soluciones de gestión de aplicaciones móvil. Con ellas se podrá controlar el uso de dispositivos móviles y aplicar aquellas medidas de seguridad más adecuadas para garantizar la seguridad de los mismos.

Entre los consejos de seguridad para los dispositivos móviles más utilizados destacan:

• Limitar las capacidades de red y evitar el uso de redes inalámbricas públicas.
• Instalar software antimalware en los dispositivos móviles.
• Aplicar las actualizaciones y parces cuando sea necesario para proteger el dispositivo.
• Solicitar la autenticación de usuario para acceder a cualquier recurso de la empresa.
• Limitar la instalación de aplicaciones mediante listas blancas y/o negras.

7.      Proteger los datos

Durante el día, los empleados elaboran y manipulan gran cantidad de información como consecuencia de su actividad. Esta información puede contener datos sensibles que han de ser tratados con la seguridad que corresponde.

Para proteger dicha información en los dispositivos hay dos medidas que se pueden tomar:

• Asegurar los datos en el propio dispositivo de teletrabajo.
• Realizar copias de seguridad periódicas en una ubicación controlada por la empresa.

Existe una alternativa para proteger los datos y consiste en evitar que la información se almacene en los dispositivos. Para ello hay que establecer una política de almacenamiento centralizado en la empresa para garantizar su seguridad y evitar que los datos sean modificados o dañados.

8.      Realizar copias de seguridad de datos completas

Generalmente, las empresas suelen contar con políticas para realizar copias de seguridad de forma periódica. Sin embargo, esta política también deben tener en consideración los equipos de teletrabajo y los dispositivos móviles y aplicar las disposiciones adecuadas para cada una de las ubicaciones.

No es lo mismo realizar una copia de seguridad en una ubicación interna, que en una ubicación externa. La segunda requiere que se tengan en cuenta consideraciones de seguridad adicionales para asegurarse que las copias de seguridad y las comunicaciones que transportan los datos sean cifradas y así garantizar la seguridad de los mismos.

Para ofrecer asegurar la máxima rigurosidad y protección es importante contar con una solución de respaldo segura y fiable. Por eso desde Interbel s) os recomendamos BackupAssist, la solución líder en copias de seguridad y recuperación.

Por qué descargar BackupAssist: 

– Backup y restauración  granular para Windows. 

– Gestión de múltiples medios de almacenamiento, incluso en la nube. 

– Administración y monitorización centralizada y remota.