El trabajo remoto es una oportunidad a tener en cuenta para cualquier empresa. Ofrece flexibilidad, reducción de costes y facilita la conciliación. En el caso de las pymes, por sus condiciones concretas pueden llegar a tenerlo más difícil, ya que tecnológicamente no suelen tener tantos recursos. Sin embargo, hay situaciones como la actual, que están poniendo a prueba a todas las empresas, especialmente a las pequeñas y medianas.
La pandemia de COVID-19 ha supuesto un antes y un después en la implantación del teletrabajo . Un punto de inflexión que ha provocado que las empresas deban adoptar esta modalidad, en ocasiones a contrarreloj. Pero precisamente esta rápida implementación del teletrabajo puede exponerlas a incidentes de ciberseguridad en el teletrabajo , si no se hace de la manera adecuada. De hecho, los ataques por parte de los ciberdelincuentes están aumentando las últimas semanas. Los cibercriminales están usando como señuelo la pandemia para enviar correos electrónicos infectados , como ha alertado el Centro Criptológico Nacional .
En este contexto, es muy importante gestionar el teletrabajo de forma segura para evitar el phishing. Tanto la dirección de la empresa como los empleados deben colaborar para mantener la compañía lo más segura posible, siguiendo una serie de recomendaciones básicas y haciendo uso de herramientas de ciberseguridad .
El 95% de los ciberataques tiene un componente de fallo humano. Estudio IBM X-Force Threat Intelligence Index 2018 análisis de las causas de diversos incidentes de seguridad revelados públicamente a lo largo de 2015, 2016, 2017 y 2018.
8 Recomendaciones para un teletrabajo seguro
Invierte en soluciones de seguridad
Si no lo has hecho ya, es un buen momento para plantearse invertir en soluciones de seguridad que puedan detectar amenazas y proteger la información. Existen distintos tipos de soluciones antimalware, cortafuegos o herramientas de seguridad que pueden ser instaladas en los equipos corporativos o incluso funcionar desde la nube. Si no sabemos por dónde empezar, podemos apoyarnos en una compañía de seguridad gestionada que nos ayude a elegir e implementar las mejores tecnologías para nuestra pyme.
Estas soluciones pueden ayudarnos a bloquear amenazas que llegan a través de correo electrónico, archivos adjuntos infectados o a securizar la navegación online. En definitiva, a proteger los valiosos datos de la compañía.
La ingeniería social es muy utilizada por los ciberdelincuentes y consiste en al aplicaciones de técnicas de engaño y manipulación para hacerse con información confidencial
No olvides las copias de seguridad
Se trata de uno de los pasos más básicos, pero que muchas empresas olvidan. Realizar copias de seguridad frecuentes es una de las medidas de seguridad más importantes, ya que nos permitirán recuperar los datos si sufrimos algún incidente. Además, por lo menos una de las copias de seguridad no debe estar conectada a la misma red corporativa, ya que en caso de ciberataque podría verse perjudicada también.
Usa una red privada
Tener que acceder de forma remota a los servicios de la empresa puede ser un riesgo. En sus casas, los empleados pueden estar conectados a redes inseguras si, por ejemplo, no han cambiado la contraseña por defecto de su router. Existe una forma de tomar precauciones en este sentido, y es usar una VPN (Virtual Private Network, o Red Privada Virtual). Se trata de una solución que permite cifrar las comunicaciones , de forma que si son interceptadas no puedan ser leídas. En definitiva, facilitar una VPN corporativa a los empleados les permitirá un acceso más seguro y privado a los recursos de la empresa mientras trabajan en remoto.
Esquema Incibe. Infografia que es una VPN
Mantén una política de actualización apropiada
Todos los sistemas operativos y programas son susceptibles de tener problemas de seguridad en un momento dado. Sus desarrolladores corrigen estos fallos en sucesivas actualizaciones que van poniendo a disposición de los usuarios, por lo que es muy importante mantener los programas y equipos actualizados.
Algunas herramientas incluyen sistemas de actualizaciones automáticas y otras hay que actualizarlas de forma manual. En estos casos, hay que tener en cuenta que la fuente de donde se obtenga el software sea de confianza, y ofrecer a los empleados estas directrices para que lo tengan en cuenta a la hora de actualizar sus equipos.
Atención: siempre que se envíe información privada mediante una web esta debería tener una url que comience por https lo cual indica que la información que se envía cifrada
Revisa las contraseñas
Otra de las políticas de seguridad a revisar dentro de nuestra pyme es la de las contraseñas. Por descontado, en la oficina no se deben escribir en un “post-it” y pegarlas en el monitor, pero las recomendaciones deben ir más allá del puesto físico de trabajo. Las contraseñas deben ser robustas, incluyendo símbolos, mayúsculas, minúsculas y números. Existen diferentes mecanismos de gestión de identidades y control de accesos que las empresas pueden implementar si quieren mejorar su seguridad en este sentido.
Facilita equipos corporativos
En la medida de lo posible, es mejor evitar que los empleados usen equipos personales para trabajar , también desde casa. Lo ideal es suministrar a todos los miembros de la empresa un equipo corporativo que contenga las medidas de seguridad necesarias. Entre ellas, la solución antimalware antes mencionada, así como la VPN, y a ser posible una herramienta de cifrado de la información almacenada en el dispositivo.
Atención al correo electrónico
El e-mail es una de las herramientas de comunicación más usadas dentro de la empresa, pero también es uno de los principales puntos de entrada de ataques informáticos. Es muy importante prestar atención a las diferentes amenazas que nos pueden llegar en forma de mensaje. Existen herramientas que nos pueden ayudar a eliminar una parte de los correos no deseados o spam (herramientas anti-spam), pero también es importante que todos los miembros de la empresa sepan detectar e-mails fraudulentos.
Ejemplo email de phishing detectado por Incibe
Concienciación continua
En relación a lo anterior, y aunque las soluciones de seguridad nos pueden ayudar a bloquear muchas amenazas, hay otras que no son capaces de detectar. En ocasiones son muy avanzadas o novedosas y en otras porque hacen uso de la ingeniería social. Esta técnica consiste básicamente en manipular a las personas para obtener información personal o corporativa. La buena noticia es que con entrenamiento es posible aprender a detectar muchos de estos engaños. Por eso es muy importante formar a los empleados para que sepan distinguir cuándo están siendo víctimas de un fraude en la red.
Es el mejor momento para lanzar campañas de formación y concienciación a los empleados, y que aprendan a reconocer un ataque de phishing (suplantación de identidad) o ransomware (secuestro de información). No dejes de formarlos para que mejores su seguridad online también en casa y a nivel familiar, sobre todo ahora para que puedan tener un teletrabajo seguro. Un empleado seguro que ha creado unos buenos hábitos los pondrá en práctica en casa y en la oficina. Debemos pensar en este aspecto como una inversión a largo plazo en nuestra propia empresa.
