Seguridad en el Teletrabajo

Seguridad en el Teletrabajo Pulsa en "Acciones" para descargar PDF 3 y 5 de noviembre de 2009 Emilio Rodríguez Priego

Qué es y para qué sirve el teletrabajo? Ventajas e inconvenientes Qué medidas de seguridad puedo aplicar? Qué objetivos puedo conseguir? De qué herramientas disponemos? Cómo montar un puesto de teletrabajo?

Qué es el teletrabajo? Trabajo a distancia Uso de tecnologías de la información y comunicaciones (TICs) Por cuenta ajena (generalmente) Teletrabajo es enviar el trabajo al trabajador, en lugar de enviar el trabajador al trabajo. (Jack Nilles, European Community Telematics / Telework Forum)

Ventajas Para el trabajador o Conciliación vida familiar/laboral o Mayor autonomía y libertad o Menos desplazamientos o Mayor comodidad o Menor estrés o Mayor tiempo libre o Obliga a una mayor organización -> más productividad

Ventajas Para la empresa o Menor coste (~50%) o Mayor productividad (orientación por objetivos) o Menores conflictos entre empleados o Facilidad para movilidad geográfica o Facilidad para crecer sin mayores costes estructurales o Posibilidad de contratar a expertos de otros lugares o Menor absentismo: ej. Nieve, Lesiones que dificultan desplazamientos o Mayores inversiones en TICs

Ventajas Para la sociedad o Ayuda a evitar la desploblación de las zonas rurales o Ayuda a reducir las diferencias entre regiones o Mayor integración de discapacitados, personas mayores, etc. o Menores accidentes de tráfico

Ventajas Para el medio ambiente o Menor contaminación gases o Menor contaminación acústica o Menor explotación de recursos naturales o Menor consumo de papel y tóner

Desventajas Para el trabajador o Posibilidad de aislamiento o Sensación de ser infravalorado o Conflictos familiares o Peligro de horarios ilimitados o Posible pérdida de relaciones personales en la empresa o Puede ser más fácil el despido

Desventajas Para la empresa o Menor identificación del trabajador con la empresa o Dificultad de control del trabajo o Mayor esfuerzo en seguridad o Mayor riesgo de infelidad a la empresa o Mayor riesgo fuga de información

Dónde se puede teletrabajar? Domicilio Oficinas satélites Telecentros Teletrabajo móvil

Cuánto teletrabajo? Tiempo completo: geomovilidad Tiempo parcial: o Reuniones semanales en oficina o Tareas restringidas a oficina o Asistencia técnica

Cuántos puestos de trabajo? Tiempo completo: sólo el puesto de teletrabajo. Puede ser un PC de sobremesa Tiempo parcial: o El puesto es un portátil que también se lleva a la oficina. No hay PC en oficina para el usuario o El usuario además del portátil tiene su puesto en la oficina. Puede acceder vía Acceso remoto o El usuario además del portátil comparte un PC con otros teletrabajadores en la oficina

Los objetivos Acceso a sistemas corporativos Comunicación con otros empleados Trabajo en equipo Comunicación con otras empresas Asistencia técnica Formación

Cómo montar el teletrabajo? 1. Analizar puestos más adecuados 2. Definir los objetivos de cada puesto 3. Comprobar la disposición de tecnología 4. Configurar el puesto de teletrabajo (equipos y comunicaciones) 5. Formar a los teletrabajadores y al resto de la empresa

El Kit de teletrabajo

Conectividad (RTB): ancho de banda limitado 64 Kbits/seg ADSL: hasta 12 Mbits/seg Telefonía móvil: hasta 3 Mbits/seg (con 3G)

Seguridad conectividad Problemas o Disponibilidad de la conexión: la falta de conexión puede impedir trabajar o Solución: Disponer de conexión alternativa: ADSL->RTB 3G->RTB

Seguridad conectividad Problemas (cont.) o Compartición de la conexión: el trabajador usa la misma red para conectarse a nivel particular y de trabajo o Soluciones: Usar exclusivamente 3G Si se comparte ADSL: separar redes mediante VLAN o Router (neutro)

Acceso a Internet/Intranet Problema o Acceso a red interna de manera segura: el trabajador necesita estar conectado a la red interna para usar sus servicios como si lo estuviera físicamente o Solución: Usar una red privada virtual (VPN)

Seguridad Acceso a Internet/Intranet: Solución OpenVPN

Seguridad Acceso a Internet/Intranet: Solución OpenVPN (cont.) Características OpenVPN o Es de código abierto o Permite usar criptografía basada en certificados digitales o Soporta dos modos: TUN (túnel IP) y TAP (red privada Ethernet) o Su instalación y configuración es sencilla

Seguridad Acceso a Internet/Intranet: Solución equipo especializado (appliance)

Seguridad Acceso a Internet/Intranet Problema (cont.) o Acceso a Internet de manera segura: la empresa quiere que el acceso a Internet por el trabajador esté sujeto a las mismas políticas que el resto de los trabajadores (filtros, control virus, antispam, etc.) o Solución: Habilitar acceso únicamente a través de la VPN. Uso de proxies Habilitar cortafuegos personal (control de IPs en el equipo del trabajador). Ej. Zonealarm, Outpost

El equipo Ordenador portátil configurado como puesto de teletrabajo

Seguridad equipo Problemas o Uso compartido: el equipo también se utiliza para uso personal. o Soluciones: Restringir el acceso a un sólo usuario Utilizar directivas para impedir instalación de aplicaciones Bloquear dispositivos externos (mediante BIOS) Usar Linux

Seguridad equipo Problemas (cont.) o Acceso indebido por pérdida o robo o Soluciones: Vigilar la fortaleza de las contraseñas Uso de certificados digitales Bloqueo de equipo mediante BIOS Cifrado de discos completos (ej. TrueCrypt) Virtualización (ej. VirtualBox) Evitar almacenamiento de información sensible en local. Control de ficheros temporales

Seguridad equipo Problemas (cont.) o Averías: fallo de disco duro. o Soluciones: Uso de imágenes (Ej. Ghost) Copias de seguridad on-line (ej. Dropbox) Virtualización (ej. VirtualBox) Evitar almacenamiento de información en local (únicamente programas)

El software Aplicaciones informáticas usadas en la empresa Tipos básicos o Cliente/Servidor: requiere uso de VPN o Intranet: su dominio no es visible desde Internet-> requiere uso VPN o Web: su dominio es visible, podrían accederse desde Internet

Aplicaciones cliente/servidor Cliente/Servidor: generalmente el cliente es Windows y el servidor: gestor base de datos Están siendo migradas progresivamente a entorno web: o Son más difíciles de mantener (el código está en local) o Más sensibles a cambios en el software (actualizaciones de sistema operativo, leng.prog,etc.) o No son aptas para partipación de empresas externas como usuarios

Seguridad Aplicaciones cliente/servidor Problema: control de acceso Soluciones: o Uso obligatorio de VPN o Soluciones típicas: El software cliente en el puesto de teletrabajo El software cliente en un puesto de oficina y acceso remoto El software cliente se accede a través de un servidor de terminales: Ej. Windows Terminal server

Aplicaciones Intranet Acceso por navegador Dominio no visible desde Internet Posibilidad de plugin específicos para navegador

Seguridad Aplicaciones Intranet Problema: control de acceso Soluciones: caso particular C/S o Uso obligatorio de VPN o Soluciones típicas, las mismas que C/S: Navegador en el puesto de teletrabajo Navegador en un puesto de oficina y acceso remoto El navegador se accede a través de un servidor de terminales : Ej. Windows Terminal server

Aplicaciones Web. El navegador Tendencia actual: migración de aplicaciones cliente/servidor a web Acceso basado en navegador web

Seguridad navegador web Problemas o Vulnerabilidades del código o Soluciones: Elegir un navegador confiable Instalar puntualmente las actualizaciones de seguridad

Seguridad navegador web Problemas (cont.) o Phishing o Soluciones: Habilitar control anti-phishing en navegadores (ej. Firefox) No pulsar enlaces en mensajes de correo desconocidos Comprobar dominio al que se accede

Seguridad navegador web Problemas (cont.) o Pérdida o acceso indebido a las claves de sitios web o Soluciones: Utilizar siempre Contraseña maestra en Firefox y nivel alto de seguridad en IE Usar contraseñas seguras: mín 8 caracteres alfanuméricos, no diccionario, may./minús., caracteres especiales No utilizar la misma contraseña para sitios que necesiten diferente nivel de seguridad Gestores de contraseñas para navegador (no son completos)

Seguridad navegador web Problemas (cont.) o Débil protección de certificados digitales o Soluciones: Utilizar siempre Contraseña maestra en Firefox y nivel alto de seguridad en IE Hacer copia de seguridad protegida con contraseña Utilizar contraseña más fuerte para este tipo de dispositivos No tener abiertas otras ventanas/pestañas mientras se accede a sitios mediante certificados digitales Usar tarjetas criptográficas

Seguridad navegador web Problemas (cont.) o Débil protección de datos accedidos mediante navegador o Soluciones: Limpiar siempre caché y sesiones al salir Usar modo privado (ej. Firefox) Utilizar modo SSL siempre que sea posible (ej. Gmail)

Los objetivos (repetición) Acceso a sistemas corporativos Comunicación con otros empleados Trabajo en equipo Comunicación con otras empresas Asistencia técnica Formación

Herramientas web Comunicación Compartición Soporte Los 5 tipos básicos Colaboración Formación

Herramientas web. La nube Tendencias o El CPD de empresa ya no es la única posibilidad de hospedar aplicaciones web (Intranet) o Existen un conjunto de servicios en Internet conocidos como Cloud computing Escalabilidad Alta disponibilidad Buena relación calidad/precio

Tipos de Cloud computing Infraestructura como servicio (IAAS): se ofrece una máquina (generalmente virtual) dedicada o no. Ej. Arsys, Amazon S3 Plataforma como servicio (PAAS): se ofrece una infraestructura (S.O., BBDD, etc.). Ej. Google App Engine, Amazon RDS, Windows Azure, etc. Software como servicio (SAAS): se ofrece un software preinstalado (código abierto) ej. cheapdomain o sólo uso (no acceso al código): ej. gmail

Seguridad Cloud Computing Problemas o Dependencia o Privacidad (LOPD) o Solvencia de proveedor o Fiabilidad (medidas seg. Adoptadas) o Disponibilidad

Seguridad Cloud Computing Soluciones o Diversificar proveedores. Realizar siempre copias de seguridad locales o Revisar legislación aplicable sobre protección de datos o Elegir proveedores con capacidad demostrable o Revisar medidas de seguridad del proveedor o La disponibilidad es típicamente superior al 98%. Evaluarla según criticidad

Herramientas de Comunicación Correo-e Voz Microblogs Chat Videoconferencia/Telepresencia El futuro

Seguridad Correo-e Problemas o Spam o Soluciones: Uso de las protecciones antispam corporativas (vía VPN) Utilizar un cliente de correo con control de spam (ej. Gmail) Filtrar correo conocido y etiquetarlo (ej. Gmail)

Seguridad Correo-e Problemas (cont.) o Confidencialidad o Soluciones: Usar SSL cuando sea posible Evitar el envío de documentos confidenciales por correoe->uso de herramientas seguras de compartición o cifrar documentos adjuntos (ej. PGP) Separar las cuentas de correo personales de las corporativas Para los registros dudosos usar siempre una cuenta de correo auxiliar

Seguridad Correo-e Problemas (cont.) o Código malicioso o Soluciones: Habilitar uso de sólo texto (cuando sea posible) No descargar/ejecutar archivos de remitentes desconocidos Mostrar siempre extensiones de archivos (Windows) Hacer uso de filtros corporativos (a través de VPN) Habilitar antivirus

Herramientas de Comunicación Voz (IP) o Permite hablar a través de una conexión a Internet o Ofrece comodidad (agenda telefónica accesible desde ordenador) y tarifas bajas o gratis o Ej. Skype, Gtalk, etc

Herramientas de Comunicación Chat o Es una herramienta muy útil al ser menos intrusiva que el teléfono o Algunos chat permiten el guardado automático de las conversaciones (ej. Gtalk)->mismo problema confidencialidad que correo-e

Herramientas de Comunicación Microblogs o Permite al trabajador comunicar su actividad a otros empleados Ej. Twitter

Seguridad Chat y Microblogs Problema: o Privacidad Soluciones o Uso de diferentes cuentas (personal y trabajo) o Restringir el acceso. Principio de mínimo privilegio

Herramientas de Comunicación Videoconferencia o Permite hablar y ver al interlocutor por conexión a Internet y una cámara (webcam) o Idónea para reuniones o Herramientas auxiliares (pizarra). Ej. Windows Live Messenger

Herramientas de Comunicación Algunas herramientas útiles o Skype o Gtalk con video o Sclipo (teleformación) o Tokbox (videoconferencias públicas y privadas) o DEMO: http://www.tokbox.com/view/homepage?v=how

Herramientas de Comunicación El futuro y el presente: la Telepresencia

Herramientas de Comunicación Holopresencia Ciencia ficción? Asombroso holograma en vivo transmitido por Internet (29/5/2008) Científicos japoneses crean hologramas que se pueden tocar (7/8/2009)

Herramientas de Comunicación Video muy real (CISCO) http://bit.ly/2dpcpi

Seguridad Videoconferencia Problema o Confidencialidad: escuchas (visionado) de la comunicación Soluciones o VPN o Cifrado de comunicaciones (https) o Uso de sistemas propietarios (menos económicos)

Seguridad Videoconferencia Problema o Captura y envío de imágenes por hackers. Ej. Virus Rbot-GR Soluciones o Antivirus (en PC y/o corporativo) o Realización puntual de actualizaciones de sistemas operativos y aplicaciones de video/audio

Seguridad Videoconferencia

Herramientas de compartición Opciones o Datos en local. Uso de USB o Datos en remoto: Ej. Google groups o Datos en local y remoto. Ej. Dropbox Pueden compartirse todo tipo de ficheros

Seguridad Herramientas de compartición Datos en local. Uso de USB: no es el mejor sistema. No apto para compartición en tiempo real o Problema Confidencialidad o Soluciones Cifrado de particiones (Ej.Truecrypt) Cifrado de USBs (Ej. Truecrypt,

Seguridad Herramientas de compartición Datos en remoto: o Web: los datos están en el servidor o Red local ficheros Problema o Confidencialidad Soluciones o Web: cifrado de las comunicaciones (SSL) o Ficheros en red local remota: por VPN

Seguridad Herramientas de compartición Datos en local y remoto: o Los datos en local se sincronizan con servidor otros equipos. Ej. Dropbox o Se pueden compartir carpetas con usuarios concretos Problema o Confidencialidad Soluciones o Cifrado (Ej Truecrypt) En local En remoto En local y remoto

Herramientas de colaboración Permiten la modificación simultánea de un recurso entre varios usuarios Son herramientas muy productivas No sólo para empleados, también colaboración de empresas externas

Herramientas de colaboración. Ejemplos Documentos de texto Hojas de cálculo Presentaciones

Herramientas de colaboración. Ejemplos Texto Hojas de cálculo Presentaciones Wiki CRM Bases de datos Proyectos Informes. Etc.

Herramientas de colaboración. Ejemplos Gestión de proyectos Gestión de incidencias Diagramas de Gantt

Herramientas de colaboración. Ejemplos Multiples calendarios compartidos Sincronización con otras herramientas Avisos SMS gratuitos

Herramientas de teleformación Cursos participativos Evaluación continua Tutorías on-line Video clases Ej. Moodle, Atutor

Herramientas de asistencia Control remoto: Permite el control del ordenador por un técnico en caso de problemas informáticos Ejemplos: o VNC o Terminal Server o Windows Asistencia remota

Seguridad Herramientas de asistencia Problema Confidencialidad Soluciones Usar siempre contraseña Activar siempre conformidad usuario del equipo controlado Habilitar sólo cuando sea necesario

Control teletrabajo Auditoría de comunicaciones Auditoría de login/logout Auditoría de mensajes de correo Auditoría de acceso a Internet.. Etc. Debate: protección de datos vs derecho del empresario a supervisar el trabajo de sus empleados

Muchas gracias