Recomendaciones

Recomendaciones técnicas para teletrabajo y continuidad operativa

Recomendaciones

Conjunto de recomendaciones y buenas prácticas para implementar el teletrabajo. El documento ofrece un abordaje rápido para facilitar la continuidad de las operaciones de las organizaciones afectadas por la pandemia de coronavirus Covid-19.

La Organización Internacional del Trabajo (OIT) define el teletrabajo como una forma de trabajo que se realiza en una ubicación alejada de una oficina central o instalaciones de producción, separando al trabajador del contacto personal con colegas de trabajo que estén en esa oficina.

El teletrabajo implica la necesidad de contar con mayor información, cuando por defecto esta no es gestionada dentro de un ambiente controlado. De esta forma, para que la persona pueda realizar su trabajo, deberá acceder continuamente a información y sistemas que muchas veces tienen un alto grado de sensibilidad y no están expuestos a Internet. Esto requiere el uso de determinadas tecnologías y prácticas que aseguren la confidencialidad, integridad y disponibilidad de la información.

Es importante tener en cuenta las políticas para la gestión de la Seguridad de la Información definidas en la organización, pero las necesidades y características pueden cambiar en función de cada situación.

Las recomendaciones y buenas prácticas mencionadas a continuación no pretenden ser exhaustivas, ni cubrir todas las aristas asociadas. Fueron pensadas para un abordaje rápido con el propósito de facilitar y mejorar rápidamente las operaciones de las organizaciones que se estén viendo afectadas por la pandemia de coronavirus Covid-19.
 

Recomendaciones para trabajo remoto o “teletrabajo”

Algunas organizaciones ya están habituadas a esta forma de trabajo, mientras que otras quizás la estén evaluando. Por ello, se plantean a continuación algunas pautas a considerar a la hora de implementar el teletrabajo en una organización.
 

Uso seguro

Debido a que se estará accediendo a los servicios e infraestructura de la organización desde lugares potencialmente inseguros y/o fuera de nuestro control, es recomendable implementar, como mínimo, las siguientes buenas prácticas:

• Utilizar VPN seguras.
• Utilizar contraseñas seguras y, en la medida de lo posible, con doble factor de autenticación.
• Mantener actualizados los dispositivos de teletrabajo.
• Instalar antivirus en los dispositivos de teletrabajo.
• Preferentemente, no utilizar redes públicas.
 

Escritorio remoto

Pueden existir ocasiones en las que el acceso remoto por VPN no sea suficiente; de manera conjunta al uso de VPN, se puede utilizar el escritorio remoto.

El protocolo de escritorio remoto o RDP (por sus siglas en inglés), permite a un usuario acceder de forma remota a su estación de trabajo a través de la red. De esta forma, se puede utilizar un equipo corporativo desde cualquier equipo conectado remotamente a una red interna.

Es importante resaltar que RDP ha presentado múltiples vulnerabilidades conocidas, por lo que es se debe evitar exponerlo a internet. Se recomienda acceder a la organización por un canal seguro (por ejemplo VPN) y luego dentro de éste acceder al escritorio remoto. También es importante configurarlo con los permisos mínimos de acceso sobre el equipo servidor.

En cuanto a la experiencia de usuario, es válido mencionar que la calidad y la velocidad de visualización que haya en el escritorio remoto son una combinación entre la velocidad de internet de origen y la velocidad de internet del destino.

 

Cuidado de la información

Además de los requisitos anteriores, es importante tener en cuenta los siguientes:

• Cifrar la información que pueda ser sensible.
• Realizar respaldos periódicos.
• Habilitar el borrado remoto para poder borrar la información ante pérdida de los dispositivos.

Es importante tener en cuenta la sensibilidad de la información que se está gestionando para tomar las medidas mínimas necesarias.

 

Canales de comunicación

Es fundamental mantener una comunicación fluida entre los equipos de trabajo. Por ello, es recomendable:
 

• Definir los canales de comunicación entre el personal (incluir mensajería, chat, videoconferencia, otros.)
• Tener a disposición una lista de contactos claves dentro de la organización.
• Definir voceros oficiales para la comunicación interna.

 

Recomendaciones para la continuidad de las operaciones

El Plan de Continuidad del Negocio (BCP) no solo apunta a la continuidad de las operaciones tecnológicas, sino también a la continuidad de todos los procesos operativos de la organización.

Si tenés un BCP, es buen momento para probarlo y ver que se ajusta; de esta manera, si realmente se necesita utilizar, no habrá sorpresas.

Si aún no contás con un BCP, hacete algunas de estas preguntas. ¿Qué pasa si falta el 10% del personal que atiende al público? ¿Cómo se continúa operando si el principal sistema informático de la organización se cae? ¿Cuál es la política de respaldos? ¿Se está respaldando bien?

 

Algunos otros aspectos que se deberán contemplar:

- Atención a usuarios
a. Identificar todos los canales de atención a usuarios.
b. Si existen líneas telefónicas, establecer mecanismos de desvió para atención remota.
c. Determinar número mínimo de personas para cubrir el servicio.

 

- Operación interna de la organización
a. Establecer los mecanismos para continuar brindado los servicios con los niveles de servicio habituales.
b. Conocer los planes de continuidad de servicios de los proveedores críticos.
c. Identificar personal clave y su contingente.
d. Comité de crisis. Establecer quiénes serán los responsables de la toma de decisiones (titulares y alternos).
e. Campaña antiphishing para personal. Se deben evitar la desinformación y los incidentes de ciberseguridad. Aquí se pueden encontrar materiales de concientización para utilizar libremente.

 

¿Qué hacer si la organización es víctima de un ataque?

Se puede reportar el ataque al Centro Nacional de Respuesta a Incidentes de Seguridad Informática (CERT) a través de diferentes canales:

·         Formulario de reporte de incidentes.

·         Teléfono: (+598) 2 901 2929 Extensión 8567 en caso de urgencias.

·         Correo electrónico: contacto@cert.uy Se debe proporcionar, al menos, los siguientes datos: nombre, vía de contacto, organización y problema. Se recomienda el uso de cifrado por este medio, aplicando nuestra clave pública.

Descargas

Etiquetas