Recomendaciones técnicas para realizar teletrabajo

Recomendaciones

23/03/2020
Algunas organizaciones ya están habituadas a esta forma de trabajo, mientras que otras quizás la estén evaluando. Por ello, se plantean a continuación algunas pautas a considerar a la hora de implementar el teletrabajo en una organización.

Uso seguro 

Debido a que se estará accediendo a los servicios e infraestructura de la organización desde lugares potencialmente inseguros y/o fuera de nuestro control, es recomendable implementar, como mínimo, las siguientes buenas prácticas: 

  • Utilizar VPN seguras. 
  • Utilizar contraseñas seguras y, en la medida de lo posible, con doble factor de autenticación. 
  • Mantener actualizados los dispositivos de teletrabajo. 
  • Instalar antivirus en los dispositivos de teletrabajo. 
  • Preferentemente, no utilizar redes públicas.   

Escritorio remoto 

Pueden existir ocasiones en las que el acceso remoto por VPN no sea suficiente; de manera conjunta al uso de VPN, se puede utilizar el escritorio remoto. El protocolo de escritorio remoto o RDP (por sus siglas en inglés) permite a un usuario acceder de forma remota a su estación de trabajo a través de la red. De esta forma, se puede utilizar un equipo corporativo desde cualquier equipo conectado remotamente a una red interna. 

Es importante resaltar que RDP ha presentado múltiples vulnerabilidades conocidas, por lo que es se debe evitar exponerlo a internet. Se recomienda acceder a la organización por un canal seguro (por ejemplo VPN) y luego dentro de éste acceder al escritorio remoto. También es importante configurarlo con los permisos mínimos de acceso sobre el equipo servidor. 

En cuanto a la experiencia de usuario, es válido mencionar que la calidad y la velocidad de visualización que haya en el escritorio remoto son una combinación entre la velocidad de internet de origen y la velocidad de internet del destino.  

Cuidado de la información 

Además de los requisitos anteriores, es importante tener en cuenta los siguientes: 

  • Cifrar la información que pueda ser sensible. 
  • Realizar respaldos periódicos. 
  • Habilitar el borrado remoto para poder borrar la información ante pérdida de los dispositivos. 

Es importante tener en cuenta la sensibilidad de la información que se está gestionando para tomar las medidas mínimas necesarias. 

Canales de comunicación 

Es fundamental mantener una comunicación fluida entre los equipos de trabajo. Por eso, es recomendable: 

  • Definir los canales de comunicación entre el personal (incluir mensajería, chat, videoconferencia, otros.) 
  • Tener a disposición una lista de contactos claves dentro de la organización. 
  • Definir voceros oficiales para la comunicación interna.  

Recomendaciones para la continuidad de las operaciones 

El Plan de Continuidad del Negocio (BCP) no sólo apunta a la continuidad de las operaciones tecnológicas, sino también a la continuidad de todos los procesos operativos de la organización. 

Si tenés un BCP, es buen momento para probarlo y ver que se ajusta; de esta manera, si realmente se necesita utilizar, no habrá sorpresas. Si aún no contás con un BCP, hacete algunas de estas preguntas: ¿Qué pasa si falta el 10% del personal que atiende al público? ¿Cómo se continúa operando si el principal sistema informático de la organización se cae? ¿Cuál es la política de respaldos? ¿Se está respaldando bien?   

Algunos otros aspectos que se deberán contemplar 

Atención a usuarios 

  • Identificar todos los canales de atención a usuarios. 
  • Si existen líneas telefónicas, establecer mecanismos de desvió para atención remota. 
  • Determinar número mínimo de personas para cubrir el servicio. 

Operación interna de la organización 

  • Establecer los mecanismos para continuar brindado los servicios con los niveles de servicio habituales. 
  • Conocer los planes de continuidad de servicios de los proveedores críticos. 
  • Identificar personal clave y su contingente. 
  • Comité de crisis. Establecer quiénes serán los responsables de la toma de decisiones (titulares y alternos). 
  • Campaña antiphishing para personal. Se deben evitar la desinformación y los incidentes de ciberseguridad. Aquí se pueden encontrar materiales de concientización para utilizar libremente. 

Recomendaciones para la adopción de software de videoconferencias

En vista que actualmente se ha incrementado la demanda de herramientas de trabajo remoto, es esperable que se incremente el reporte de vulnerabilidades y debilidades de las distintas plataformas disponibles. El documento adjunto Recomendaciones para la adopción de software de videoconferencias tiene como objetivo analizar ventajas y riesgos asociados al uso de soluciones para videoconferencia, haciendo un especial énfasis en Zoom por ser una de las soluciones más difundidas.

Documentación de interés  

A continuación, se listan diversas fuentes que permitirán ampliar conocimiento, recursos e información en el abordaje del teletrabajo y las diversas medidas que se podrán adoptar para la continuidad de las operaciones. 

Ciberseguridad

Acceder al Marco de ciberseguridad de Uruguay 

Políticas 

Acceder a Políticas para acceso remoto y dispositivos móviles 

Plantillas 

Acceder al Plan de Continuidad de Negocio (BCP) y Plan de Recuperación ante Desastres (DRP)

National Institute of Standards and Technology (NIST)

SP 800-46 Rev. 2: Guide to Enterprise Telework, Remote Access, and Bring Your Own Device (BYOD) Security 

SANS (Organización operativa de investigación y educación sobre seguridad de la Información)

Consejos para asegurar su organización en un entorno de trabajo desde el hogar.

Modelos de políticas de seguridad

Contacto 

Por dudas, consultas o asesoramiento respecto a esta documentación: soporte@agesic.gub.uy 

Descargas

Etiquetas

Políticas de Ciberseguridad Herramientas para organismos