El teletrabajo supone un riesgo para la seguridad informática de las empresas

La Agencia Española de Protección de Datos (AEPD) ha señalado que las plataformas tecnológicas de productividad utilizadas en las organizaciones se han convertido en uno de los activos más interesantes para los ciberdelincuentes por la posibilidad de acceder a información estratégica y confidencial.

El correo profesional, que antes era el único canal de información interna en muchas entidades, ha dejado paso a las plataformas tecnológicas de productividad y ofimática en la nube. A través de estas plataformas fluye una gran parte de la información de la organización, en particular, datos de carácter personal y, en los últimos tiempos, las plataformas se han convertido en uno de los activos más interesantes para los ciberdelincuentes por la posibilidad de acceder a información estratégica y confidencial.

En la mayor parte de los casos, ya no se requiere disponer de una aplicación específica para el acceso, basta simplemente con un navegador web, y una única dirección común para el acceso de los empleados de todas las organizaciones que utilicen la misma plataforma corporativa. Esta es una de las ventajas de tener la información en la nube, pero a su vez un riesgo inherente a esta tecnología.

Debido a esta facilidad para conectarse, y que la superficie de ataque a estos sistemas sea todo Internet, pueden enumerarse, entre otros, las siguientes amenazas:

  • Intentos de acceso a plataformas corporativas por fuerza bruta.
  • Intentos de acceso a través de la reutilización de las credenciales en otros servicios de Internet que han sido objeto de una brecha de seguridad.
  • Robo de las credenciales a través de ataques de ingeniería social como el phishing, que acaban dando por resultado que el usuario introduzca sus credenciales corporativas en páginas fraudulentas controladas por los ciber atacantes.
  • Exposición de información personal al no diferenciar las herramientas empleadas en el entorno laboral del entorno privado.

El responsable del tratamiento ha de adoptar medidas para minimizar la probabilidad de que se materialicen las amenazas anteriores. Entre otras, podemos destacar:

  • Elegir soluciones y prestadores de servicio confiables y con garantías, y prestar atención a la configuración de las opciones de seguridad y privacidad que ofrecen las plataformas de productividad en la nube.
  • Establecer procedimientos y recomendaciones de acceso a las herramientas corporativas en movilidad y teletrabajo, que sean fácilmente entendibles y ejecutadas por todos los miembros de nuestra organización.
  • Establecer políticas restrictivas de acceso a las herramientas de productividad corporativas para uso personal o desde dispositivos no corporativos. En caso de permitirlo, establecer medidas de seguridad apropiadas y mecanismos de compartimentación de la información que mantengan separados el ámbito personal del profesional.
  • Usar un segundo factor de autenticación: esta es la medida más recomendada en acceso a servicios online. Las suites de ofimática online suelen contar con la posibilidad de no sólo acceder con usuario y contraseña, sino añadir robustez a la autenticación mediante un token, un mensaje SMS o el uso de una APP en otro dispositivo.
  • Emplear contraseñas robustas: el uso de contraseña difíciles de predecir y que no se usen en otros servicios es fundamental para protegerse de acceso indebidos. Es necesario implementar una correcta política de uso de contraseñas en la organización.

Encontrará más recomendaciones y guías de seguridad en el web de la AEPD