21/04/2020
Principales medidas de control y seguridad que una Institución debe aplicar para realizar teletrabajo en esta época de crisis y a futuro:
1. Medidas de Gobierno y Gestión
• El Nivel Directivo de la Institución NO debe asumir que todos los empleados pueden cambiar a una dinámica de teletrabajo de manera efectiva y con poca necesidad de asistencia u orientación, y tener claro que el hogar no es la oficina y pueden necesitar una ayuda y tiempo considerable para adaptarse a la modalidad de teletrabajo.
• Dividir la Institución en grupos de trabajo de acuerdo a las prioridades de operación de la Institución y atención a clientes, considerando el criterio de Proceso Crítico: “Es el indispensable para la continuidad del negocio y las operaciones de la institución, y cuya falta de identificación o aplicación deficiente puede generarle un impacto financiero negativo.”
o Personal estrictamente necesario que debe trabajar de manera presencial desde la oficina matriz (en el horario controlado por las autoridades nacionales y locales),
o Personal que realmente requiere trabajar en modalidad teletrabajo (accediendo a los recursos informáticos de la Institución de manera remota y ejecutando videoconferencias),
o Personal que requiere efectuar únicamente videoconferencias
o Personal que no requiere acceso al teletrabajo y puede efectuar otras actividades de apoyo, por ejemplo vía telefónica.
• Una vez establecidos los grupos para teletrabajo, se deben actualizar las políticas y procedimientos relacionados con seguridad de la información y ciberseguridad en la Institución y forma de trabajo, para adaptarlas a esta nueva modalidad de trabajo del personal. Las políticas y procedimientos actualizadas deben ser aprobadas por el Nivel Directivo de la Institución y socializadas al personal para su conocimiento y aplicación. Las actualizaciones de las políticas y procedimientos al menos deben incluir:
o Detalle del personal autorizado para realizar teletrabajo, y normas de trabajo para este personal: metas de trabajo y objetivos a alcanzar diariamente, semanalmente, mensualmente, reportes y entregables, medios de comunicación, niveles de supervisión, recursos requeridos.
o Horarios de acceso a los recursos tecnológicos vía teletrabajo.
o Actualización y/o mantenimiento del inventario de activos de información
o Medios de comunicación (enlaces) por los que se puede acceder (Internet, VPN, etc.).
o Herramientas autorizadas por el departamento de TI para el teletrabajo y videoconferencias.
o Utilización y medidas de cuidado y seguridad de equipos portátiles y otros equipos informáticos de la Institución, que el personal autorizado utilizará desde su hogar.
o Controles de acceso lógico a la Infraestructura y recursos tecnológicos de la Institución vía teletrabajo.
o Respaldo de la información generada y procesada vía teletrabajo, medios de almacenamiento y equipos de almacenamiento.
o Utilización de roles y cuentas de usuario de los sistemas informáticos de la Institución, a los que se accederá vía teletrabajo.
o Niveles de autorización para conceder accesos adicionales a recursos y sistemas de la red de datos Institucional al personal durante la ejecución del teletrabajo.
o Activación de registros (logs de auditoría) de las actividades y transacciones efectuadas por el personal en modalidad teletrabajo.
o Procedimiento de soporte técnico remoto por parte del personal del departamento de TI.
o Control de cambios y administración de los sistemas informáticos de la Institución vía remota.
o Refuerzo de medidas y reglas de control de los equipos de seguridad perimetral de la Institución.
• Los recursos mínimos requeridos para trabajar en modalidad teletrabajo son:
o Una computadora (de escritorio o portátil)
o Una buena conexión a Internet
o Aplicaciones informáticas para chat, webmail, videoconferencia (herramientas colaborativas)
o Un espacio de trabajo dedicado (preferiblemente)
o Un teléfono (opcional)
o Automotivación y disciplina
o Procedimientos para una rutina estricta de teletrabajo y objetivos a alcanzar.
• Es importante actualizar el inventario de activos de información con su clasificación de acuerdo a la metodología establecida por la Institución, con el objetivo de definir por ejemplo, cuáles son los datos sensibles que requieren mayores niveles de protección, a qué información se puede acceder desde dispositivos personales, a cuál por fuera de la red de la empresa y a cuál debe restringirse el acceso total.
• Las áreas de control de la Institución como: Auditoría Interna, Riesgos, Cumplimiento, Seguridades Físicas y Seguridad de la Información, deben adecuar sus procedimientos de verificación y control a las actividades de teletrabajo, para mantener el nivel de control interno y seguridad, minimizar riesgos, cumplimiento de la normativa interna de la Institución y de los organismos de control, y apoyar a la Gerencia y Nivel Directivo en el control y gobierno institucional.
• Conocer y aplicar las resoluciones, normas, leyes y acuerdos ministeriales de las autoridades del país y organismos de control relacionados con el teletrabajo y crisis sanitaria.
2. Medidas de Ciberseguridad
Es importante que las Instituciones se preparen a sí mismas y también a sus empleados para enfrentar los riesgos vinculados a la ciberseguridad con el teletrabajo, por lo que a continuación se describe los principales controles que deben ser considerados e implementados:
• Seguridad física de los equipos y dispositivos de la Institución
Los empleados que estén autorizados a llevar equipos y dispositivos de computación para trabajar desde su casa estarán exponiendo a un mayor riesgo a estos equipos de la Institución en la medida que no tengan presente la seguridad del lugar de trabajo en su hogar, por lo que deben establecer las siguientes medidas de seguridad física y control en su hogar con el apoyo del personal de TI para minimizar los riesgos de pérdidas, daños y fuga de información de la Institución:
o Cifrado completo de disco duro, esto garantiza que incluso si el dispositivo cae en las manos equivocadas, no se puede acceder a los datos de la Institución.
o Cierre de sesión cuando no esté usando la computadora, tanto en casa como en lugares públicos.
o Aplicar una política de contraseña segura: longitud mínima de caracteres, combinación de caracteres, números, letras mayúsculas, contraseña en el arranque del equipo, establecer tiempos para la suspensión del equipo según el tiempo de inactividad y prohibir las notas con contraseñas pegadas al equipo.
o Nunca perder de vista el equipo y si debe trasladarse fuera del hogar con el mismo, no dejarlo a la vista pública y si el traslado es en auto debe ser guardado en el baúl.
• Entorno tecnológico del hogar
Con el soporte del personal de TI de la Institución se debe efectuar una evaluación del entorno tecnológico del hogar de los empleados autorizados a efectuar teletrabajo, para detectar posibles vulnerabilidades en los equipos de comunicación y computadores que tienen en este entorno, como por ejemplo: servicio de internet compartido, claves débiles en los equipos del servicio de Wifi, proveedores de servicios de internet y comunicación no fiables, equipos domésticos conectados a Internet que pueden estar sujetos a vulnerabilidades relacionadas con el Internet de las Cosas (IoT), falta de uso de software antivirus o antivirus desactualizado, uso de herramientas de comunicación o videoconferencia de versión libre o gratuitas (free) que están expuestos a mayores vulnerabilidades, versiones antiguas de sistemas operativos instalados en los computadores del hogar que comparten la red Wifi que son otro punto de vulnerabilidad en el entorno tecnológico el hogar.
Si es factible el personal de TI debe aplicar una aplicación de monitoreo antes de permitir que los dispositivos y computadores de trabajo se conecten a las redes domésticas. El escaneo o monitoreo resaltará los dispositivos con vulnerabilidades conocidas, la existencia de software o firmware obsoleto o la presencia en uso de contraseñas predeterminadas que deberían cambiarse.
• Acceso a la red y sistemas de la Institución
Se deben establecer los siguientes controles y medidas de seguridad:
o Con el soporte del personal de TI se debe establecer si el personal autorizado para efectuar teletrabajo necesita acceso a la red de datos interna de la Institución o únicamente acceso a servicios y correo electrónico basados en la nube. Es importante que se otorgue a los empleados de teletrabajo el mismo nivel de acceso a los datos confidenciales de la Institución cuando trabajan de manera presencial, que cuando están trabajando de manera remota.
o Se debe evaluar si es necesario aplicar el Principio del Menor Privilegio, que es una estrategia de seguridad, aplicable a distintos ámbitos, en este caso al teletrabajo que se basa en otorgar a los empleados únicamente permisos cuando son necesarios para el desempeño de cierta actividad.
o Para el acceso a la red de datos interna de la Institución:
Únicamente se debe permitir acceso a la red interna de la Institución a través de un dispositivo o computador portátil que sea propiedad de la Institución, para que el control total del dispositivo que se conecta esté bajo el control del personal de seguridad de la información o del departamento de TI, solo para casos de excepción y justificados se debe otorgar acceso a través de otro equipo que no pertenezca a la Institución.
El uso obligatorio de una VPN (Virtual Private Network - Red Privada Virtual), para conectar a los trabajadores remotos a la red de datos interna de la organización.
Se debe controlar y normar el uso de dispositivos externos de almacenamiento, como memorias flash, discos duros externos, así como dispositivos periféricos.
o Si es necesario dar acceso al correo electrónico y a los servicios en la nube institucionales desde un dispositivo o computador de propiedad del empleado, se deben aplicar los siguientes controles:
Aplicar las mismas políticas de seguridad de antimalware, firewalls, IDS/IPS etc., que se aplica para una computadora administrada o de propiedad de la Institución. Si es necesario, se debe proporcionar al empleado una licencia para las mismas soluciones o herramientas informáticas utilizadas en los dispositivos y equipos de propiedad de la Institución, adquiriendo las licencias adicionales requeridas.
Se debe limitar la capacidad de almacenar, descargar o copiar datos.
Si es factible se debe hacer uso de máquinas virtuales para proporcionar acceso: esto mantiene al empleado en un entorno controlado y limita la exposición de la red de datos de la Institución al entorno doméstico.
• Herramientas colaborativas y procesos de autorización de transacciones
Las herramientas colaborativas (chat, videoconferencia, presentaciones virtuales, etc.), conjuntamente con los procesos de autorización de transacciones previenen problemas de seguridad o ataques malintencionados.
o Se debe proporcionar acceso controlado a sistemas y herramientas informáticas de chat y videoconferencias autorizadas y licenciadas por la Institución, para que los empleados puedan comunicarse entre sí. Esta es una estrategia que permitirá a la Institución proporcionar herramientas de productividad necesarias a los empleados y ayuda a que puedan mantenerse en contacto de manera segura entre ellos.
o El uso de herramientas colaborativas permite a la Institución protegerse contra instrucciones o transacciones no autorizadas, debido a que en el entorno de teletrabajo y presencial existe la probabilidad de que los ciberdelincuentes aprovechen la oportunidad para lanzar ataques de Business Email Compromise (BEC).
• Capacitación
Debido a la crisis sanitaria en el país y mundial por el COVID-19, hay numerosas estafas circulando por el Internet y redes sociales, que hacen uso de Ingeniería Social y otras técnicas de ciberataques. Cuando los empleados de la Institución están fuera de su lugar de trabajo, en lugares más informales como su hogar, pueden considerar hacer clic en los enlaces que reciben, ya que no están bajo el entorno de control y supervisión de la Institución, y pueden ver videos, correos de destinatarios desconocidos o visitar páginas web no autorizadas.
Las capacitaciones al personal de la Institución sobre concientización en seguridad informática y ciberseguridad es un control importante y preventivo para trabajar en un entorno de teletrabajo, por lo tanto, es importante reforzar esta capacitación a través del personal de la Institución experto en estos temas o proveedores externos especializados y minimizar el riesgo de errores humanos (Ingeniería Social) que los ciberdelincuentes permanentemente intentan explotar.
Se debe ejecutar una campaña y establecer como un requisito, la capacitación en estos temas antes de que el empleado comience a trabajar de forma remota vía teletrabajo o tan pronto como sea posible.
• Soporte Técnico y Gestión
o Es de suma importancia que ante la urgencia o exigencia de otorgar el servicio de teletrabajo o acceso remoto a un empelado de la Institución, no se sacrifique las medidas y controles de seguridad informática y ciberseguridad o la capacidad de administrar sistemas y dispositivos. La capacidad del personal del departamento de TI en brindar soporte a los usuarios que trabajan de manera remota será esencial para garantizar un funcionamiento sin problemas, especialmente si los usuarios quedan en cuarentena debido a problemas de salud. Los trabajadores remotos deben tener protocolos de comunicación claros, tanto para con el área de soporte de TI como para la gestión de crisis, si se enfrentan a problemas inusuales o si sospechan que podrían ser el resultado de una brecha de seguridad.
o Para el soporte técnico remoto por parte del personal de TI se debe eliminar o limitar el uso del protocolo RDP (Protocolo de Escritorio Remoto) por ser vulnerable.
o A continuación, se detallan algunos factores clave para el soporte y gestión de teletrabajo efectivo:
Comunicación: considere realizar llamadas grupales una vez al día, informar a las personas sobre la situación y darles a todos la oportunidad de compartir experiencias y problemas.
Capacidad de respuesta: el trabajo remoto no es lo mismo que trabajar en un entorno de oficina. Establezca pautas claras de qué tan rápido se espera que un trabajador remoto responda a una solicitud, dependiendo del tipo de comunicación, ya sea un correo electrónico, una invitación de calendario, etc.
Informes: las Gerencias, Jefaturas y Responsables de áreas deben implementar procedimientos que les permitan determinar si los trabajadores remotos están haciendo el trabajo: reuniones grupales obligatorias, colaboración en equipo, informes diarios / semanales / mensuales.
Horario de teletrabajo: acuerde un método de inicio y finalización de la jornada laboral, esto puede ser tan simple como pedir a los miembros de un chat grupal que digan “buenos días” cuando comienza su jornada.
Salud y seguridad: Trabajar desde casa no elimina la responsabilidad de proporcionar un buen ambiente de trabajo al empleado.
Responsabilidad: garantice la cobertura de los activos de la Institución mientras estén en manos del empleado.
Soporte técnico: envíe una lista con los contactos útiles y disponibles para el soporte técnico. De esta manera los trabajadores remotos sabrán con quien comunicarse cuando sea necesario.
Socialización: reúna a los trabajadores remotos, especialmente de manera virtual. La interacción social es una parte importante de la motivación y aumenta la productividad. Considere un esquema de amigo o mentor para que cada empleado esté emparejado y pueda resolver problemas, desahogarse, compartir o socializar virtualmente.