Desde que leí esta noticia sobre los riesgos de seguridad del teletrabajo para las empresas he estado prestando más atención a las personas de mi entorno, con el fin de descubrir hasta qué punto eran ciertas a mi alrededor las afirmaciones que se hacen en el artículo. Y creo que puedo estar satisfecho de poder decir que mis propias conclusiones no son tan negativas como las del artículo.
Para empezar creo que existe una gran diferencia entre el teletrabajador en casa y el desplazado. El primero, el que se lleva a casa el portátil, normalmente suele limitarse a realizar el mismo uso que en la oficina. Para el resto de actividades ya tiene, en la mayoría de los casos, un equipo propio, tan personalizado y a su gusto que difícilmente prefiere seguir utilizando el equipo corporativo para otras actividades fuera de las laborales. Un caso distinto suele ser el de los teletrabajadores desplazados, que sí pueden utilizar durante dichos desplazamientos ese equipo como sustituto del personal. En esos casos el uso "no profesional" del equipo se incrementa, evidentemente, pero por lo general suele ser un uso "comedido". Vamos, que en esos casos se suele navegar mucho más por webs de noticias y viajes que por páginas pornográficas. Y en general no suele haber tráfico P2P, al menos en la mayor parte de los casos que conozco, sobre todo porque los usuarios no tienen este tipo de programas instalados ni pueden instalarlos.
Otro de los casos que mi pequeño "estudio" tampoco ha corroborado es el relativo al uso de esos equipos por parte de otras personas. Sobre todo por el principio anterior: los que se lo llevan a casa ya suelen tener un equipo propio de uso familiar, y los desplazados suelen tener cada uno su propio equipo y generalmente pocas ocasiones para estar con alguien que no tenga y quiera usarlo libremente.
Lo que sí se suele dar más a menudo es la utilización de redes de acceso a Internet cuyas garantías de seguridad generalmente no se conocen o se pasan por alto. Es más habitual de lo que a mí me gustaría las conexiones a redes inalámbricas sin cifrar o el acceso a internet a través de redes que no cuentan con un simple firewall. Y la verdad es que, frente a esto, poco se puede hacer cuando la frase más habitual es que era "la única red disponible" para acceder a Internet. Probablemente la solución pase por que la propia organización proporcione una vía segura de acceso móvil a Internet, vía modem 3G, por ejemplo, pero si la propia organización no pone medios alternativos, la posibilidad de que estos hechos se repitan parece bastante alta...
Y por último, tampoco he detectado una mayor tasa de apertura de correos electrónicos desconocidos o sospechosos en el caso del teletrabajo que en la propia oficina. La política de seguridad que tenga establecida la compañía de turno, y sobre todo el grado de formación y concienciación de los usuarios al respecto son claves para que esto se produzca, pero en general no he identificado diferencias en estos aspectos entre los teletrabajadores y el resto.
En conclusión, sí que es cierto que el teletrabajo introduce nuevos riesgos en las compañías, pero también es evidente que introduce importantes beneficios si se articula de manera adecuada. Y con unos buenos programas de formación y el establecimiento de las medidas técnicas apropiadas creo que es posible conseguir un entorno de trabajo en el que los niveles de seguridad que se establezcan puedan ser totalmente equivalentes a los dispuestos en las sedes de la organización. Eso siempre que no dejemos de gestionar dicha seguridad. ¿Qué tal un SGSI para tenerlo bien atado? ;-)
Suscribirse a:
Enviar comentarios (Atom)
2 comentarios:
Comparto tus conclusiones respecto a que no creo que varíe mucho el uso que da un empleado al equipo del teletrabajo respecto al uso que tenga en la empresa si el dispositivo está adecuadamente configurado y con las restricciones pertinentes. Yo me planteé este tema en el post http://seguridad-de-la-informacion.blogspot.com/2007/11/riesgos-del-teletrabajo.html
y sinceramente creo que la mayor cuestión es que "confianza" nos merece el empleado como para dar un tipo de acceso así. Podría ser similar a entregar las llaves de la oficina para que entre cuando desee. Tal como expuse, en un entorno de teletrabajo, ¿Qué puede controlar una organización?
* a) Que no se acceda por canales inseguros o manipulables, o sea, no permitir teletrabajo sin una conexión cifrada y nada de redes wifi abiertas.
* b) Que no pueda acceder cualquiera, requiriendo una adecuada y robusta autenticación (olvidarse de usuario y contraseña)
* c) Que los servidores responderán las 24 horas los siete días de la semana, unos 365 días al año.
¿Qué es difícil que pueda controlar una organización? Pues, sencillamente que el usuario sea honrado. Nadie va a poder evitar que ese teletrabajador en su casa, no siente a su lado, por ejemplo, a un empresario que sea de la competencia, o al vecino que quiere ver un expediente donde es afectado.
Me encanta el resumen. Tecnología "securizable", usuarios no (sólo "convencibles"). Al menos, hasta que no inventen un chip que se implante en el cerebro para que te vuelvas más "seguro"...
Por cierto, a todo aquél que no haya sentido la curiosidad de leer el post que cita Javier, se lo recomiendo. Un análisis profundo y directo de la situación, desde un punto de vista de un SGSI. ¿Alguien se anima a comentar una implantación de ese tipo de controles?
Publicar un comentario