12 aspectos claves que deben definir una política de teletrabajo en cualquier organización
|
19/7/2020 01:25
|
Actualizado: 19/7/2020 01:26
|
Las circunstancias derivadas de la pandemia de coronavirus han convertido al teletrabajo en una las herramientas clave de organización laboral. Además, supone que las empresas se adapten con el fin de que sus empleados tengan un acceso remoto para desempeñar su trabajo.
El Instituto Nacional de Ciberseguridad (INCIBE), entidad dependiente del Ministerio de Asuntos Económicos y Transformación Digital, ha lanzado la guía ciberseguridad en el teletrabajo para orientar en esas buenas prácticas.
Este documento pretende orientar al empresario y profesional para gestionar esta práctica digital de forma segura en cualquier escenario.
Este acceso, ya sea a través de dispositivos corporativos o por medios personales que se incorporan en la oficina (BYOD), necesita estar protegido para garantizar la seguridad de la compañía.
En este documento se habla de definir una política de teletrabajo. Cada empresa debe tener la suya y tiene que estar alineada con sus objetivos empresariales.
Esta política debe contar con varios elementos claves:
1. Relación de usuarios que disponen de la opción de trabajar en remoto
Será necesario llevar un control de las personas que por su perfil dentro de la empresa o las características de su trabajo tienen la opción de teletrabajar.
2. Un procedimientos para la solicitud y autorización del teletrabajo
Es importante que dicha actividad se enmarque dentro de la estrategia de cualquier empresa y así quede definida, a nivel de organización.
3. Aplicaciones y recursos a los que tiene acceso cada usuario
Cada usuario tendrá acceso solo a las aplicaciones y recursos que requiera para realizar su trabajo, dependiendo del rol que desempeñe en la empresa. Se detallarán las aplicaciones colaborativas y de teleconferencia permitidas, así como sus condiciones de uso evitando utilizar programas no controlados por la empresa, práctica conocida como Shadow IT2.
4. Mecanismos de acceso seguro mediante contraseña
Para las credenciales de acceso se utilizarán siempre contraseñas robustas y el doble factor de autenticación siempre que sea posible, y forzando su cambio periódico.
Este mecanismo puede estar ligado a la gestión de cuentas de usuario y control de accesos a través de servicios de directorio LDAP.
5. Configuración que deberán tener los dispositivos desde los que se establezcan las conexiones remotas
Se trata de tener activos desde el sistema operativo, antivirus, control de actualizaciones, etc., tanto si son corporativos como si son aportados por el trabajador (BYOD).
En el caso del BYOD, dispositivos que trae el trabajador al lugar del trabajo, se puede controlar su configuración a través del ‘fingerprinting’ de dispositivos, es decir, registrando una huella digital del dispositivo autorizado generada con datos de uso, navegador y plugins instalados, operador de telefonía, ubicación, horarios, etc.
6. Procedimiento y tecnología para cifrar los soportes de información
Es importante tener procedimientos y herramientas que protejan de terceros. Se trata de proteger los datos de la empresa de posibles accesos malintencionados y garantizar así su confidencialidad e integridad.
7. Definición de la política de almacenamiento en los equipos de trabajo, así como de almacenamiento en la red corporativa
Es muy importante tener claro qué tipo de documentos se van almacenar y quien va a tener acceso a ello. No siempre un acceso masivo es bueno.
8. Procedimiento y planificación de las copias de seguridad
Deben ser periódicas de todos los soportes y comprobar regularmente que pueden restaurarse. Este es otro elemento básico que debe hacerse con regularidad para evitar cualquier fuga de información.
9. Uso de conexiones seguras a través de una red privada virtual o VPN, en lugar de las aplicaciones de escritorio remoto
De este modo, la información que intercambiamos entre nuestros equipos viaja cifrada a través de Internet.
Se ha de evitar el uso de aplicaciones de escritorio remoto si no es a través de una VPN (Virtual Private Network). Estas herramientas pueden crear puertas traseras a través de las cuales podría comprometerse el servicio o las credenciales de acceso de usuario y, por lo tanto, permitir el acceso a los equipos corporativos
Además, al usar este tipo de aplicaciones podemos estar aceptando ciertos términos y condiciones de uso que podrían otorgar algún tipo de privilegio a las mismas sobre nuestros equipos e información.
10. Virtualización de entornos de trabajo
Es otra herramienta que se suele utilizar para eliminar los riesgos asociados al uso de un dispositivo propio.
11. Uso de aplicaciones de administración remota
En el caso de utilizar dispositivos móviles para teletrabajar, usar aplicaciones de administración remota de manera que se definan los criterios para evitar el uso de redes wifi públicas y utilizar las conexiones 4G/5G en su lugar.
12. Formar a los empleados
Dar a los profesionales la formación adecuada para que sepan, antes de empezar a teletrabajar, qué pueden y qué no pueden hacer. Está claro que habrá una formación básica para todos y otra más adaptada a su puesto de trabajo.
Sin esa formación el profesional puede generar riesgos innecesarios a través de los cuales la empresa puede recibir ciberataques o sufrir alguna brecha de seguridad. Es muy importante realizar esta actividad formativa de manera periódica.
Política de teletrabajo en los despachos
A nivel práctico, Manuel Asenjo, director de IT de Eversheds Sutherland Nicea, explica a Confilegal las líneas básicas de la política de teletrabajo de este despacho internacional.
“Nuestras políticas engloban diferentes aspectos como, por ejemplo, dotar de equipos portátiles a todos los profesionales del despacho. Esto ya nos dota de una movilidad física importante”.
Al mismo tiempo aclara que “ dichos equipos van configurados dentro de unos estándares en seguridad y aplicaciones de las que ya disponemos, donde llevan los programas ‘endpoint’ tanto de seguridad como las herramientas propias de cada profesional”.
“Estas herramientas se sincronizan siempre bajo sistemas de nube donde almacenamos toda la información no habiendo accesos locales bajo ningún concepto. De este modo, la forma de trabajar no varía fuera de la firma. Si se produce extravío o robo, todos nuestros equipos se encuentran cifrados y disponen de acceso biométrico, por lo que se encuentran altamente seguros”, apunta este experto.
Manuel Asenjo, director de IT de Eversheds Sutherland Nicea.
Asenjo señala que “otro aspecto importante a tener en cuenta es el sistema de autenticación de doble factor que tenemos implementado para acceder a la información. Este sistema nos permite saber si hay intentos de acceso fraudulento y desde dónde se están produciendo. A la vez dota de un plus de seguridad a todos los accesos a la información”.
Otra cuestión es que “a nivel comunicativo nos hemos encontrado con el reto sobre cómo lograr que nuestras operadoras de centralita desarrollaran su actividad en remoto. Hemos tenido que enfatizar con nuestro proveedor en el uso de herramientas de voz IP”.
Este experto subraya que “estas herramientas instaladas en sus equipos portátiles les han permitido teletrabajar atendiendo las llamadas con plena normalidad”.
Por último, «hemos reforzado en un gran número las formaciones en sistemas de trabajo en grupo, así como en el uso de sistemas de videoconferencia, sin olvidar aspectos básicos de seguridad que estando fuera del despacho nos es más difícil monitorizar”, destaca.
“Ha sido y está siendo toda una experiencia exitosa para nuestros sistemas y para nuestros profesionales. Una experiencia tremendamente positiva que nos ha permitido confirmar una vez más qué todos los sistemas funcionaban correctamente”, asegura.
Noticias Relacionadas: