Ante la pandemia de COVID-19, las organizaciones han implementado mecanismos de teletrabajo para seguir operando. Para muchos colaboradores es una novedad y los expone a nuevos riesgos digitales que pueden ser aprovechados por los atacantes, quienes buscan constantemente diversas formas de comprometer la información personal y empresarial. En una encuesta realizada por la Compañía Apricorn el año 2018 a 100 organizaciones del Reino Unido de más de mil empleados, un 25% de los colaboradores encuestados respondieron que no tenían implementados mecanismos básicos de seguridad como antivirus y 30% no tenía ningún mecanismo de restricción de archivos (Gordon, 2020). Esta situación es similar o inclusive con mayor nivel de inseguridad de acuerdo con la realidad de cada país.

Por esta razón, consideramos que los usuarios que utilizan los dispositivos como PCs, laptops, tablets y teléfonos inteligentes para el teletrabajo deberían seguir los siguientes diez consejos que se describen a continuación:

1. Consulte si su organización tiene reglas o políticas para el teletrabajo, si es así, asegúrese de cumplirlas. Por ejemplo, puede ser aceptable que use su propia computadora o teléfono inteligente para únicamente leer el correo electrónico de la empresa, pero no para acceder a datos confidenciales de los clientes.
2. Proteja las comunicaciones de su computadora contra escuchas. Si utiliza Wi-Fi (redes inalámbricas) en casa, asegúrese de que su red esté configurada de forma segura. Verifique si está utilizando la seguridad “WPA2” o “WPA3”, y asegúrese que su contraseña sea difícil de adivinar y que esté compuesto por lo menos con 8 caracteres alfanuméricos.
3. Verifique cuidadosamente el correo electrónico y redes sociales. Revise que el remitente sea alguien conocido de la organización y si es posible, verifíquelo por otro medio. Solo revise información en redes sociales en fuentes oficiales. Los atacantes están realizando phishing relacionados a la pandemia y que nos dirigen a paginas falsas. En redes sociales, se aprecian innumerables “fake news” que desorientan y desinforman a los colaboradores para realizar un engaño y solicitar información sensible.
4. Si su organización tiene una VPN (red privada virtual), úsela en su dispositivo de teletrabajo que le asigno la organización para una mayor protección (Su organización a través de las reglas o políticas de teletrabajo probablemente le dirán si cuenta con VPN). Si no es así, considere usar su propia VPN de acuerdo a los lineamientos que le brinde su organización. Es preferible que su organización utilice doble factor de autenticación para su VPN.
5. Si está utilizando su propia computadora o dispositivo móvil (dispositivo no asignado por su organización) para el teletrabajo, asegúrese de haber habilitado las funciones básicas de seguridad. Simplemente habilitar la función de PIN o password, huella dactilar o identificación facial evitará que las personas entren a su dispositivo. Cualquier PIN o contraseña que use debe ser difícil de adivinar. También debe asegurarse de tener un antivirus y firewall habilitado.
6. Consulte a su organización si se cuenta con una solución de cifrado para el dispositivo que se le ha asignado. Si el dispositivo es propio, coordine con su organización para habilitar la funcionalidad de criptografía “BitLocker” de Windows y en el caso de un dispositivo inteligente utilice la aplicación Veracrypt para Android o iOS.
7. Aplique parches de sistema operativo y aplicaciones de su computador y dispositivo móvil para mantenerlos actualizados. La mayoría ofrece una opción para verificar e instalar actualizaciones automáticamente. Habilitar esa opción puede ser una idea adecuada si no se desea buscar actualizaciones periódicamente.
8. Si observa actividad inusual o sospechosa en cualquier dispositivo que esté utilizando para teletrabajo, solicite ayuda de su organización, más vale prevenir que lamentar. Comuníquese con la mesa de ayuda o el centro de operaciones de seguridad de su organización para informar la actividad.
9. Cuando convoque a reuniones o clases virtuales como Microsoft Meetings, Zoom, Google Hangout o Blackboard no publique el enlace en redes sociales u otros sitios públicos. Asegúrese que solo las personas autorizadas reciban el hipervínculo y password de la reunión. Deshabilite audio y video, también habilite la sala de espera, hasta que verifique que la persona está autorizada para participar en la reunión caso contrario retirarlo.
10. Revise y escuche las recomendaciones de seguridad de su organización, los expertos de seguridad de su organización monitorean constantemente las conexiones remotas y conocen los intentos de ataques de los ciberdelincuentes. La organización le capacitará y concientizará para el buen uso de las tecnologías digitales.

Referencias

NIST (2016). Guide to Enterprise Telework, Remote Access, and Bring Your Own Device (BYOD). Security. https://www.nist.gov/blogs/cybersecurity-insights/telework-security-basics

NIST (2020). Telework Security Basics. https://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-46r2.pdf

NIST (2020). Preventing Eavesdropping and Protecting Privacy on Virtual Meetings https://www.nist.gov/blogs/cybersecurity-insights/preventing-eavesdropping-and-protecting-privacy-virtual-meetings

Gordon, S. (2020). Securing workers beyond the perimeter. https://www.sciencedirect.com/science/article/pii/S135348582030009X/pdfft?md5=9d4c51314c9afb7c7d45a30409d796ad&pid=1-s2.0-S135348582030009X-main.pdf