RECOMENDACIONES DE SEGURIDAD
PARA TRABAJAR A DISTANCIA.
Recomendaciones respecto a los usuarios de los sistemas:
1. Evitar conectarse a internet desde Wi-Fi público a la red institucional.
2. Reforzar a los usuarios permanecer alerta respecto a correos electrónicos fraudulentos, ya que CSIRT ha constatado un aumento de Phishing y spear Phishing en el último tiempo. Ante cualquier duda o sospecha del funcionario sobre una amenaza, Phishing o malware, contactarse con el encargado de su área de ciberseguridad/TI/soporte.
3. Recalcar a los funcionarios las políticas de seguridad de información interna, como uso de los dispositivos móviles, uso de los equipos personales, borrado de datos y documentación confidencial, así como la política de escritorio limpio
4. Si se utiliza un equipo compartido en el hogar, crear un perfil nuevo específico para trabajar.
5. Tener equipos de conexión remota fuera de la oficina con softwares y sistema operativo actualizados.
6. Tener equipos de conexión remota fuera de la oficina con software antivirus
Recomendaciones Institucionales
1. Utilizar una conexión VPN ya que, a través de ella, se establece una conexión remota segura (encriptada) a la red institucional.
2. Velar por la seguridad física existente del sitio de trabajo a distancia, considerando la seguridad física del edificio y del entorno local.
3. Establecer un canal de comunicación oficial con el área de soporte para la resolución de problemas técnicos de los usuarios.
4. Establecer canales de comunicación oficiales para la comunicación del equipo de trabajo y jefatura.
5. Evitar instalar software corporativo en equipos personales. Se recomienda instalarlos en equipos institucionales o ingresar a través de escritorio remoto por VPN.
6. Utilizar equipos institucionales con los resguardos de seguridad correspondientes. De no ser posible, el usuario deberá utilizar su equipo personal y, en conjunto con la institución, deberá verificar que su dispositivo se encuentre en condiciones de seguridad aptas: antivirus reconocido y actualizado, sistema operativo debidamente licenciado y con sus parches al día, y aplicaciones debidamente licenciadas y actualizadas.
7. Advertir a los funcionarios que los equipos institucionales y personales utilizados para trabajar de forma remota son susceptibles a auditoría.
8. Establecer medidas para evitar el acceso de forma fortuita a información institucional por otros usuarios del equipo del funcionario, como familiares o amigos.
9. Contratar servicios de videoconferencia con niveles de seguridad alto para la sustitución de reuniones presenciales.
10. Aplicar la lógica de respaldo de la información en este nuevo escenario. 11. Establecer medidas de seguridad como doble factor de autenticación tanto en el correo institucional como en las plataformas que se utilizan para trabajar.
12. Verificar los accesos a sistema o plataformas según el rol que posea cada trabajador.
13. Revisar la política de seguridad para la conexión de forma segura de externos.
14. Evaluar la implementación de cifrado de discos en equipos institucionales.
15. Revisar las políticas y procedimientos para evitar disputas en cuanto a los derechos de propiedad intelectual desarrollados en equipos de propiedad privada.
16. Establecer requisitos de protección de malware y reglas de firewall (cortafuegos).
17. Establecer una definición del trabajo permitido, las horas de trabajo, la clasificación de información que se puede tener y los sistemas y servicios internos a los que está autoriza el teletrabajador.
18. Establecer la revocación de autoridad y derechos de acceso y la devolución de los equipos cuando concluyen las actividades de trabajo a distancia.
19. Las conexiones VPN deberán ser restringidas, se recomienda conexión VPN sólo a accesos locales de la institución, sin conexión a internet remota. De requerir internet, se recomienda utilizar el mismo túnel VPN.
20. En caso de necesitar múltiples VPN, se recomienda conexión VPN personalizadas para sólo acceder a tomar control remoto del equipo asignado al interior de la institución y utilizar los permisos de acceso ya asignados a dicho equipo.
Fuente: CSIRT
