- Administració oberta
Noves guies de recomanacions per millorar la implantació dels serveis AOC
Debido al estado de alarma provocado por el coronavirus, muchas administraciones y organismos públicos están promoviendo el teletrabajo para garantizar la continuidad de sus funciones y servicios. El teletrabajo, sin embargo, puede plantear riesgos de ciberseguridad si no se ha planificado con tiempo, no se ha formado adecuadamente al personal y no se han configurado de forma segura los equipos y las conexiones. Dado el contexto actual de urgencias, es posible que todo esto no se haya podido realizar en muchos casos; por este motivo os ofrecemos una selección de las principales medidas de protección básicas a tener en cuenta que os pueden ayudar a teletrabajar minimizando los riesgos de seguridad en el tratamiento de la información de vuestra organización.
Es imprescindible tener en cuenta que que la situación actual es muy atractiva para “hackers” criminales para robar contraseñas y secuestrar información confidencial a cambio de un rescate. Casos de este tipo han sucedido en los últimos meses en administraciones públicas con grave perjuicio económico y de reputación.
Esta selección se ha elaborado con el objetivo de facilitar una guía práctica y ejecutiva, dirigida a usuarios no expertos de administraciones públicas medianas y pequeñas, que no disponen de recursos para aplicar un plan completo y avanzado de seguridad. Queremos evitar un exceso de información y hacer recomendaciones no viables en las circunstancias en que nos encontramos. Para los usuarios que tengan interés en profundizar en este tema, facilitamos enlaces adicionales al final de la guía.
Estas recomendaciones son de carácter general. Si su organización dispone de una guía de ciberseguridad propia haga caso de aquella.
Sigue las instrucciones de seguridad del responsable tecnológico de tu organización
Haz uso de las herramientas y aplicaciones autorizadas por parte de tu organización. Si tienes la necesidad de utilizar otras soluciones sé prudente y utiliza sólo aplicaciones de confianza.
Además…
Desde tu equipo de trabajo de casa tendrás acceso a la información confidencial de tu organización. Tanto si utilizas un ordenador corporativo como un ordenador personal hay que tener en cuenta un conjunto de medidas de protección y preventivas. Si utilizas un equipo de trabajo corporativo lo más habitual es que ya cumpla la mayoría o la totalidad de las recomendaciones a través de las políticas de seguridad que ha forzado el administrador.
Asegúrate de que el sistema y las aplicaciones están actualizadas con la última versión de cada una de ellas y que la actualización automática de versiones está activada.
– Para Windows
– Para MAC
Comprueba que tu ordenador tiene un sistema anti-virus y anti-malware activo.
– Para Windows: activa Microsoft Defender Anti-malware
– Para MAC: instala alguna solución de mercado con una versión gratuita: Kaspersky, Avast, AVG, Bitdefender, etc.
Aplica el bloqueo automático de la pantalla al cabo de diez minutos.
Además…
Evita utilizar redes públicas WiFi que no sean conocidas y de confianza para acceder remotamente a los servicios de la organización.
Además…
Toda la documentación ofimática que generes en el ordenador privado que uses para tele y no sea guardada en el servidor de la organización, seguramente no dispondrá de un sistema de copia de seguridad automatizado. Por lo tanto, es recomendable que tomes la precaución de realizar copias de seguridad.
Haz copias de seguridad de los documentos generados en local a través de alguno de los siguientes mecanismos:
– Memorias USB: previamente deberías haber limpiado o formateado el dispotitivo para garantizar que no supone ningún riesgo
– Disco duro externo
– Servicio de almacenaje en la nube autorizado por la organización
Utiliza, siempre que sea posible, el acceso a los sistemas de información con certificado digital o sistemas de autenticación de doble factor para evitar que te roben la contraseña. (Los sistemas de doble factor se basan en códigos de un solo uso que se envían por SMS o bien a una APP)
Usa contraseñas complejas: combinación de caracteres especiales, números y letras mayúsculas y minúsculas.
No apuntes las contraseñas corporativas en ningún lugar
Si instalas certificados digitales en software en tu ordenador personal (TCAT-P, idCAT Certificado) utiliza la opción “Escribir la Contraseña para la clave privada”: de esta forma sólo se podrá utilizar el certificado digital si se conoce la contraseña.
Además…
Evitar la navegación por páginas no seguras y evitar la instalación de cualquier software o contenido dudoso.
Además…
El phishing es un tipo de ciberdelito que consiste en el envío de correos fraudulentos con el objetivo de robar la contraseña u otra información personal. Es una de las estafas más utilizadas por los delincuentes informáticos. El funcionamiento del phising es sencillo: se recibe un correo electrónico, con una apariencia legítima que pide actualizar, validar o confirmar información mediante un enlace. Tras pulsar en él, se te redirige a una página web falsa, en la que se procede al robo de la contraseña u otros datos.
No hagas clics en enlaces, ni descargues ningún documento adjunto de correos electrónicos sospechosos. Sospecha de correos electrónicos que piden hacer actuaciones no habituales de renovar contraseñas. Revisa la dirección del remitente (no el alias) de los correos electrónicos aparentemente legítimos.
Además…
Cerrar todas las conexiones a los sistemas de información y webs corporativas.
Haz una copia de seguridad de los documentos locales que has trabajado y que no están cubiertos por la copia de seguridad corporativa.
Y además…
A los usuarios que deseen ampliar esta información les recomendamos que visiten las siguientes páginas web especializadas:
Este conjunto de recomendaciones ha sido elaborado a partir de recursos propios de AOC, de las directrices de la Agència de Ciberseguretat de Catalunya, la Associació Catalana d’Enginyers de Telecomunicació (Telecos.cat), los consultores Genís Margarit Contel y Cristina Ribas Casademont, y de los documentos del apartado “Más información”.
Desde AOC queremos agradecer todas las aportaciones desinteresadas y proactivas que hemos recibido y que son muy útiles y valiosas en este momento para garantizar la seguridad de los sistemas de información del sector público.