Aunque es probable que el teletrabajo haya llegado para establecerse definitivamente, lo que sí es un hecho hoy en día es que, en lo que podríamos denominar como ‘escenario pospandémico’, el trabajo híbrido está asentado en muchas organizaciones de todo el mundo.
Según el informe del ONTSI ‘Tecnologías digitales en la empresa’, el porcentaje de compañías que posibilitan a su personal el acceso en remoto a los recursos corporativos se situaba en 2022 en un 82,3%; el 46,7% en el caso de las microempresas. Son los sectores de las tecnologías digitales, actividades inmobiliarias, información y comunicaciones, actividades profesionales, científicas y técnicas y energía y agua los que más permiten este acceso en remoto.
Las necesidades de continuidad de negocio que propició la pandemia causaron que la adopción del teletrabajo se realizara de forma precipitada, sin tener en cuenta los requisitos de ciberseguridad, lo que seguramente aumentó el riesgo en muchos de los negocios. Garantizar conexiones remotas seguras, proteger los dispositivos de teletrabajo, el uso seguro de la nube y de las herramientas colaborativas y la seguridad en movilidad son los principales retos a abordar en materia de ciberseguridad en este modelo de trabajo.
En este sentido, las empresas que hayan adoptado algún grado de digitalización superior al que tenían antes de instaurar el modelo de trabajo híbrido tendrán necesidades crecientes de ciberseguridad.
Por lo tanto, habrán de incorporar a sus análisis de riesgos de ciberseguridad los cambios en sus procesos de negocio derivados de estos nuevos o adaptados a usos de la tecnología, actualizar las políticas de seguridad e impartir capacitación sobre los riesgos que implica su uso, entre otros.
Las grandes y medianas empresas contaban con un mayor nivel de madurez, mientras que las pequeñas y micropymes iban adaptando sus recursos a las necesidades del momento. Los ciberdelincuentes, conscientes de este panorama favorable, centraron sus esfuerzos en atacar estas tecnologías aprovechando vulnerabilidades de VPN y otros mecanismos de acceso remoto, como herramientas de teleconferencia o servicios en la nube.
Siempre insistimos en que los primeros pasos para estar protegido frente a cualquier amenaza son la concienciación y la formación. Como apuntamos anteriormente, la dependencia tecnológica no siempre avanza a la par que el conocimiento de la misma y las medidas de seguridad necesarias para evitar los ciberataques.
Una plantilla formada, consciente de las amenazas y con conocimiento para identificarlas y evitar que se materialicen, o en su defecto, saber cómo actuar ante un incidente de ciberseguridad, será una de las salvaguardas más importantes que pueda haber en una organización. Además, es necesario que la dirección de la empresa traslade al
personal todas las políticas y medidas de ciberseguridad que deben aplicarse durante el teletrabajo.
Desde INCIBE, conocedores de que las organizaciones con menor madurez tecnológica como pymes, micropymes y autónomos cuentan con menos recursos y necesitan un apoyo extra en materia de ciberseguridad, son muchas las iniciativas y servicios que ofrecemos, particularmente a través de ‘Protege tu empresa’, para ayudarles a implantar las medidas de seguridad que necesitan.
Ya en tiempos de pandemia, se elaboraron materiales específicos para que las organizaciones pudieran trabajar en remoto de forma más segura. Asimismo, y de forma continua, en este espacio pueden encontrase múltiples recursos especializados en las distintas temáticas que comprende la ciberseguridad, apoyados por una línea de ayuda gratuita y confidencial (017) para resolver dudas y responder a las consultas de cualquier persona en materia de ciberseguridad los 365 días del año.
El ABC de la ciberseguridad en el teletrabajo
Entre todos estos recursos, cabe destacar la guía Ciberseguridad en el teletrabajo, desarrollada con el objetivo de que cualquier empresa que vaya a usar (o que ya utilice) esta modalidad laboral conozca las amenazas y circunstancias que pueden derivar en incidentes en el caso de que no se hayan establecido correctamente las políticas de seguridad necesarias.
Esta guía está compuesta por diez apartados que proporcionan los conocimientos necesarios para teletrabajar minimizando los riesgos.
El primero de estos apartados detalla un modelo de política de teletrabajo. En esta política se recogen todos los aspectos que las organizaciones deben tener en cuenta a la hora de establecerla, abordando todos los escenarios posibles y las normas que se deben cumplir en cada uno de los ellos.
En segundo lugar, se tratan los objetivos de seguridad en el acceso remoto. En otras palabras, cómo las diferentes soluciones de teletrabajo y acceso remoto deben garantizar la protección de la información, teniendo en cuenta sus pilares básicos y, a la vez, las diferentes normativas legales que la organización está obligada a cumplir.
Una vez asimilados los objetivos, es necesario conocer los métodos de acceso remoto. En esta parte se resumen las opciones principales de acceso que tienen las empresas a su disposición, teniendo en cuenta las ventajas e inconvenientes de cada una de ellas, así como las medidas de seguridad que se implementan en cada tipo. A continuación, se aborda la seguridad del servidor de acceso remoto, ya que este es el que permite que los dispositivos externos puedan acceder a los recursos internos, proporcionando un entorno de teletrabajo seguro y aislado.
Además de la seguridad del servidor, es necesario tener en cuenta la del software cliente de acceso remoto. Por este motivo, se especifican las pautas de seguridad que deben configurarse en este software, planificando cómo se gestionan los diferentes dispositivos cliente (configuraciones, asistencia técnica, etc.) utilizados por los trabajadores.
Otro apartado lo componen las principales amenazas para los terminales de teletrabajo. Debido al auge de este modelo de trabajo, los dispositivos empleados se han convertido en objetivo de los ciberdelincuentes, por lo que, para evitar estas amenazas, se proporcionan una serie de pautas necesarias para mitigar y evitar que estas situaciones pongan en riesgo la seguridad de los dispositivos.
Una vez identificadas las amenazas, necesitamos conocer cómo asegurar los equipos de trabajo. Será conveniente implementar una política de actualizaciones de seguridad de sistemas operativos y aplicaciones junto con otras medidas de seguridad adicionales para la correcta protección de los dispositivos de teletrabajo.
Además de los equipos, también debemos asegurar los dispositivos móviles de teletrabajo. Estos dispositivos, tanto los corporativos como los de uso mixto (BYOD), deben estar contemplados en las políticas de seguridad de la empresa, ya que también están amenazados por riesgos inherentes a su uso y expuestos a sufrir incidentes de seguridad.
En el penúltimo apartado se habla de la protección de datos en terminales de teletrabajo. En estos dispositivos se gestionan documentos que pueden contener datos sensibles de la organización y, por lo tanto, deben contemplarse una serie de medidas de seguridad que ayuden a protegerlos.
Esta guía concluye con las recomendaciones necesarias para llevar a cabo las copias de seguridad de datos en dispositivos de teletrabajo y para que se tomen en consideración los datos de los equipos de teletrabajo y de los dispositivos móviles asignados a este fin.
Podríamos decir que este modelo de trabajo híbrido ha llegado para quedarse en muchos sectores, pero, como ocurre con todo cambio, requiere su tiempo para que las empresas puedan valorar tanto los riesgos como los beneficios asociados.
Como ya apuntábamos anteriormente, las pequeñas empresas siguen trabajando para alcanzar la madurez en ciberseguridad necesaria para poder considerar el teletrabajo como una oportunidad de crecimiento y competitividad en el mercado, sin aumentar las probabilidades de sufrir un incidente de seguridad.
Desde INCIBE, continuaremos apoyando a estas organizaciones para que, de la mano de la ciberseguridad, puedan tener negocios más seguros y competitivos.
