Desde la llegada del primer caso de COVID-19 a Uruguay, el teletrabajo se convirtió en una de las principales medidas adoptadas por muchas empresas y trabajadores independientes.

Trabajar desde casa parecía ser una medida sencilla. Sin embargo, su implementación dejó en evidencia muchos desafíos para los que aún no estaban preparados. La ciberseguridad se convirtió en un tema de todos y el concepto de ciberhigiene se instaló con fuerza.

En esta nota, Santiago Paz, catedrático asociado de Ciberseguridad en la Universidad ORT Uruguay da su visión sobre estos temas y propone ideas para ejercer el teletrabajo de manera responsable.

¿Cómo evalúa el impacto de la pandemia del COVID-19 en las empresas con respecto al trabajo remoto?

En términos generales el COVID-19 dio el empujón final que necesitaban las empresas para su transformación digital. No solo en lo referente al trabajo remoto, sino a la transformación de sus servicios. Hoy, los servicios en línea en Uruguay no solamente aumentaron en cantidad, sino también en variedad. Además de los servicios a los que estábamos acostumbrados como Mercado Libre o PedidosYa, se agregaron otros como psicólogos online, profesores de educación física o yoga en línea, entre otros.

Si bien Uruguay es un país que se encuentra bien posicionado en Tecnologías de la Información y la Comunicación (TIC) en la región, lo que ayudó enormemente en este proceso, es importante tener presente que muchas empresas tuvieron que adoptar medidas drásticas en estos últimos días. En muchos casos estas medidas fueron implementadas sin una planificación adecuada o un análisis de riesgos profundo debido a la urgencia de la situación. Esto debe ser considerado. Si bien son medidas de contingencia ante una pandemia, estas deben ser revisadas y adecuadas lo antes posible.

¿A qué riesgos vinculados a la ciberseguridad se expusieron las empresas con la implementación del teletrabajo?

Uno de los principales riesgos de ciberseguridad al que se enfrentaron las empresas con el teletrabajo es la falta de sensibilización en torno a este tema entre los trabajadores. Una buena práctica de ciberhigiene es sensibilizar a todos los empleados respecto a los riesgos y amenazas de ciberseguridad a los que se enfrentarán y cómo actuar ante ellos. En este sentido, es fundamental contemplar alguna campaña de hábitos saludables, también conocido como "ciberhigiene" para los empleados que están trabajando.

Otro de los desafíos de ciberseguridad que se está enfrentando tiene que ver con que, inmediatamente, gran parte de las empresas, por falta de equipos, comenzó a utilizar los equipos personales de los empleados, generando un entorno de Bring-Your-Own-Device (BYOD). Estos entornos presentan riesgos por la falta de control sobre los equipos personales y así se dificulta aplicar políticas de antivirus, password, actualizaciones y demás.

Finalmente, otro de los grandes desafíos es contar con una infraestructura tecnológica que permita el teletrabajo, como laptops, VPN, sistemas de autenticación, firma electrónica, sistemas de trabajo colaborativo, telefonía y videoconferencias. Aquí es una realidad que pocas empresas ya contaban desde antes con toda esta infraestructura y, por ende, la mayor parte procedió a realizar un despliegue de nuevas tecnologías de manera apurada. En muchos casos, se hizo con bajos niveles de prueba y aseguramiento. Esto, sin dudas, es un riesgo que debe ser tenido en cuenta y tratado para comprobar que no se está exponiendo demasiado a la empresa.

En este contexto, ¿qué recomendaciones daría a las empresas?

En primera instancia, es importante realizar una capacitación adecuada en ciberhigiene para todos los trabajadores, incluso si estos ya están teletrabajando.

Por otra parte, es necesario utilizar soluciones de acceso remoto seguras como redes privadas virtuales siempre, sin excepciones y nunca exponer los servicios internos de la empresa directamente a internet. Si se utilizan escritorios remotos, estos deben ser escritorios remotos confinados con VPN.

Si es posible, deben validarse las posturas de seguridad de los equipos que acceden de forma remota, verificar el estado de sus antivirus y las actualizaciones de los respectivos sistemas operativos.

Otra de las cuestiones a tener en cuenta es la utilización de buenos sistemas de autenticación, que permitan establecer contraseñas seguras e individualizar a los usuarios y aplicar un monitoreo para todos los accesos y actividades: logs, logs y más logs. Finalmente, es recomendable implementar políticas claras y con procedimientos estrictos de validación de usuarios en los servicios de soporte remoto, de manera de evitar ingeniería social.

¿Y qué recomendaciones haría en torno a la ciberhigiene para usuarios?

Los trabajadores deben entender que ahora su casa, tanto su computadora personal como su red personal, tiene acceso a información de la empresa, por lo que debe tomar las precauciones adecuadas.

En primera instancia, debe tener su sistema operativo actualizado, si Windows recomienda un update, hay que aplicarlo. Además, el usuario debe asegurarse de contar con un antivirus actualizado, Windows tiene incluido uno sin costo: Windows Defender.

Por otro lado, los teletrabajadores deben evitar utilizar redes wifi que no le pertenezcan. De ninguna manera está permitido "utilizar el wifi del vecino".

Con respecto al uso de su wifi, se debe configurar su router wifi con seguridad, al menos WPA y, por supuesto, la contraseña no debe ser fácil de adivinar.

En este momento, es esencial contar con contraseña o PIN para el bloqueo de cualquier tipo de dispositivo y estar atentos a los software que se descargan. Estos no pueden ser de fuentes desconocidas.

Por último, el teletrabajador debe saber cómo identificar al personal de soporte de TI de la empresa y debe tener especial atención en la comunicación con ellos. Es decir, si lo llaman de TI y no está seguro de con quién está hablando, es importante cortar el llamado y validar de otra manera si esa llamada es legítima. En la misma línea, los usuarios no deben confiar en emails que dicen provenir del equipo de soporte de TI. Siempre que reciba un email que le solicite realizar alguna acción (cualquiera sea), se debe llamar por teléfono para constatar la veracidad del mail.