Riesgo: El uso de VPNs de uso gratuito puede conllevar el riesgo de pérdida parcial del control de la información que pasa por los servidores de terceros. 

El uso de otras herramientas de acceso remoto puede conllevar riegos similares al uso de VPNs gratuitas y puede favorecer acceso no autorizado a través de aplicaciones de conexión remota como TeamViewer, AnyDesk, etc.

Recomendación: Implementar soluciones VPNs propias como medida de protección para los conexiones de los trabajadores en #teletrabajo. Estas medidas protegen el uso de escritorios remotos al no encontrarse directamente accesibles a través de internet.

Riesgo: Sin un inventario de equipos podemos perder el control de los dispositivos lo que puede conllevar una pérdida de información de la organización.

En función de la política establecida para el uso de equipos, de la empresa o propiedad del trabajador (Bring your own device - BYOD) será necesario establecer distintas medidas de seguridad.

Recomendación: Crear un inventario de equipos o implementar herramientas de inventariado.

• Para equipos propios diseñar una plantilla tipo con las aplicaciones necesarias preinstaladas y aprobadas por la organización.
• Para equipos propiedad de los trabajadores verificar su estado y las medidas de seguridad mínimas para conectarse a la organización

Riesgo (3.1): Si el Sistema Operativo o las aplicaciones no están actualizadas podrían ocasionar problemas de seguridad debido a las vulnerabilidades del software.

Recomendación: Establecer sistemas para la actualización de aplicaciones y Sistema Operativo. Uso de herramientas para la gestión de actualizaciones y aplicación de parches de seguridad.

Riesgo (3.2): Los equipos personales en casos como el teletrabajo comparten el uso para el trabajo y el uso personal por lo que puede existir riesgo de pérdida de información o propagación de malware.

Recomendación: Revisar el equipo propiedad del trabajador para comprobar su estado general, antivirus, actualizaciones, aplicaciones para garantizar conexiones seguras.

Riesgo: La gestión descentralizada de las soluciones antivirus puede provocar que el usuario pueda desactivar o pausar la protección. Además no podemos controlar que este actualizado y realice análisis periódicos.

Recomendación: Centralizar el control de las soluciones antivirus o EndPoint para garantizar que la protección esta siempre activa, actualizada y que se realizan los análisis periódicamente.

Riesgo: El acceso a sitios web que puedan infectar con código malicioso el equipo, acceder a enlaces de correos electrónicos con intentos de "phishing".

Recomendación: Utilizar herramientas o aplicaciones que permitan el control de navegación web como complemento a las herramientas antivirus que pueden bloquear el acceso a sitios web en función de las políticas de seguridad de la empresa.

Riesgo: En caso de pérdida de un equipo toda la información puede verse comprometida.

Recomendación: Utilizar aplicaciones para cifrar los datos, pueden usarse la herramientas nativas de los Sistemas Operativos y de los dispositivos móviles. También es posible gestionarlo desde aplicaciones de terceros.

Riesgo: En caso de infección puede verse comprometida información poniendo en riesgo disponibilidad e integridad de la información. Poniendo en riesgo incluso la continuidad de negocio.

Recomendación: Centralizar el control a través de soluciones EndPoint para garantizar que la protección y la recuperación ante incidentes. Establecer políticas de copia de seguridad.

Riesgo: Pérdida de información fundamental de la empresa. En función del tipo de pérdida puede poner en riesgo la continuidad de negocio.

Recomendación: Definir e implementar una política de "backup" con copias automatizas, dentro y fuera de las instalaciones de la organización.

Riesgo: Si no se ha establecido un criterio para la gestión de contraseñas así como su complejidad estas pueden verse comprometidas.

Recomendación: Implementar procedimientos para la gestión de contraseñas y su custodia pudiendo usar aplicaciones para una gestión centralizada. Implementar el segundo factor de autenticación en aquellos accesos que sea posible.

Riesgo: Pérdida de información por falta de conocimientos y procedimientos seguros a la hora de acceder a correos electrónicos maliciosos como estafas e intentos de phishing y ransomware.

Recomendación: Implementar planes de concienciación y entrenamiento ante los riesgos más habituales (phishing, ransomware, ….)