Antes no podíamos elegir teletrabajar y ahora es obligatorio: ¿Cómo será el trabajo post pandemia?

No debemos olvidar que el teletrabajo que estamos experimentando hoy, es parte de un escenario donde lo hacemos obligatoriamente y en circunstancias no usuales: no estamos solo teletrabajando, sino navegando una crisis mientras intentamos trabajar.

¿Cómo será el mundo post pandemia? Pienso mucho en esto últimamente y creo que cuando volvamos a la “normalidad” será una normalidad diferente donde muchos aspectos cotidianos se verán atravesados por lo que nos tocó vivir a nivel global. Uno de esos aspectos, sin dudas, será el trabajo. Y el motivo es claro: en 2019, 62% de empresas de Latinoamérica no le permitían a sus empleados trabajar de forma remota (según el estudio El trabajador digital en 2019, Citrix). Vaya paradoja: ¡antes no podíamos elegir teletrabajar y ahora es obligatorio!

¿Pero cómo está resultando esa experiencia? Tal vez la respuesta a esta pregunta sea una mezcla de conformidad y disconformidad. El teletrabajo nos permite hoy estar seguros en nuestras casas conservando a la vez nuestro empleo. Nos está mostrando la maravilla de recuperar el tiempo que perdemos en el tránsito. Seguro hay empresas que estaban preparadas cultural y tecnológicamente para habilitar esta modalidad y sus empleados ya estaban preparados para teletrabajar de forma eficiente; pero aquellas que no, quizás estén creando contextos de micromanagement abrumadores, sus empleados estén perdiendo productividad al encontrarse con tecnología que funciona más como un obstáculo que como una solución, y que encima puede exponer los datos a grandes riesgos. Puede que haya personas pasando solas la cuarentena, que trabajan 24/7 con la excusa de mantenerse ocupados, pero que a la vez se sienten desgastados. O familias donde los padres además de trabajar tienen que atender en simultáneo a sus hijos, quedando con la sensación de no poder enfocarse 100% en nada. En este escenario, creo que no estamos solo teletrabajando. Estamos navegando una crisis mientras intentamos trabajar.

El teletrabajo es una modalidad con múltiples beneficios que tiene que realizarse en un contexto adecuado de trabajo. Tiene una curva de aprendizaje por parte de los empleados y requiere que los empleadores implementen un programa de calidad observando aspectos tecnológicos, culturales, de liderazgo y de recursos humanos. Todo esto hace que sea un modelo exitoso. Pero en la actualidad, con tantos factores externos impactando en la productividad de las personas, la clave para las empresas será documentar qué funcionó bien al implementarlo y aquellos puntos a trabajar a futuro sin sacar conclusiones apresuradas. Por parte de los empleados, si el teletrabajo no cumplió sus expectativas probablemente tampoco es el momento adecuado para hacer una evaluación determinante sobre este modelo.

En este sentido, uno de los mayores aprendizajes que podremos llevarnos en el mundo corporativo será que todo espacio de trabajo tiene que buscar lograr el bienestar de los empleados. Y ese espacio debe impulsarlos y motivarlos para que puedan lograr su máximo potencial. Pero por sobre todo tiene que estar muy relacionado al poder ELEGIR. Ese poder que muchos no tenían antes y que no tenemos ahora. Ni los cubículos, ni los espacios abiertos, ni el teletrabajo funcionan si los pensamos bajo el concepto de “lo mismo sirve para todos”. En el futuro los empleados deberían poder elegir desde donde trabajar, incluso deberían poder alternar entre distintos espacios de trabajo según los objetivos que deban lograr. Y las empresas deberían asumir a la movilidad empresarial como una estrategia para crear un negocio dinámico y resiliente.

Esto necesitará que las empresas migren hacia una cultura que fomente la movilidad y genere confianza mutua. El liderazgo también deberá adaptarse porque en esta nueva realidad no será importante cuánto tiempo pasamos sentados frente a un computador, sino que tengamos objetivos claros y medibles a lograr. Y por supuesto, contar con tecnología que sea una aliada para lograr estos propósitos.

En definitiva, el camino hacia una experiencia de trabajo superior está marcado por la personalización y es hacia allí donde las empresas deben dirigirse ahora que finalmente se comprobó que el trabajo no puede ser un lugar al que vamos… tiene que ser una actividad que hacemos desde cualquier lugar.

Por Juan Pablo Jiménez, vicepresidente de Citrix Latinaomérica y Caribe

Tomado de: Diario TI

Riesgos a considerar en las Implementaciones de VPN

Con la reciente implementación repentina y apresurada de servicios de red privada virtual (VPN) para soportar una avalancha de nuevos trabajadores remotos, muchas compañías están descubriendo de primera mano los matices de las VPN que pueden conducir a un mayor riesgo.

Identificamos cuatro áreas de riesgo principales: arquitectura de red general, control de acceso, denegación de servicio y endpoints.

Arquitectura de red y preocupaciones de topología

Incluso en empresas con implementaciones exitosas de VPN, solo un pequeño subgrupo de personal, como vendedores remotos y personal de operaciones de TI, utilizan la VPN, lo que nos lleva a la primera preocupación inmediata: el conjunto de direcciones IP que usan las VPN para conectar a los usuarios a la red local. Por lo general, estos grupos son relativamente pequeños, en comparación con las direcciones IP utilizadas en la red local.

Para proporcionar casi el 100% de la fuerza de trabajo remota, las empresas deben asignar miles o incluso cientos de miles de direcciones IP más a los grupos de VPN y, según su topología de red interna, pueden tener que buscar direcciones IP de los antiguos bloques asignados localmente.

En segundo lugar, mientras se conecta a una VPN en una ubicación central de la empresa (como la sede de una empresa) puede funcionar lo suficientemente bien para el personal de operaciones o el personal de ventas, el cambio de grandes poblaciones de usuarios que generalmente trabajan en oficinas remotas puede introducir una latencia de red inaceptable. El gran salto en el número de usuarios activos colocará una mayor carga en los sistemas VPN centralizados. Idealmente, una empresa puede proporcionar puntos de presencia de VPN cerca del lugar donde vive el personal, aprovechando las conexiones troncales existentes a los sistemas de la sede, pero esto no siempre es posible.

Finalmente, muchas políticas de acceso a la red suponen que los usuarios están accediendo a sistemas corporativos conectados a la red local. La segmentación de red tradicional utiliza firewalls para evitar que los usuarios de un segmento de red accedan a servicios en otro. Por lo que se debe configurar la VPN para asignar a los usuarios las direcciones de grupo de IP específicas para sus roles y recursos necesarios. Por ejemplo, haga que todos los desarrolladores remotos ingresen a una subred diferente que el equipo de contabilidad. Esto no solo facilita el control de acceso, sino que también facilita el enrutamiento interno a los sistemas.

Es muy importante recordar que, a menos que tome medidas adicionales para proporcionar una autenticación sólida, sus empleados pueden no ser sus únicos usuarios de VPN; los hackers también pueden usar su VPN.

Control de acceso y riesgos de autenticación

La clave para cualquier estrategia de VPN es proporcionar una autenticación extremadamente fuerte de cualquier usuario y sus dispositivos que intenten conectarse. Al menos en una implementación simplista, cualquier persona que pueda conectarse y autenticarse a un punto final VPN es lo mismo que alguien que ingresa a la sede central y conectar su computadora. Puede autenticar a los usuarios de VPN de varias formas, desde autenticar el nombre de usuario y la contraseña hasta configuraciones más complejas, incluida la autenticación multifactor con elementos como certificados de cliente o tokens de hardware. Garantizar el uso de contraseñas seguras y la autenticación multifactorial de algún tipo es un requisito mínimo para todos los sistemas que lo admiten.

Puede proporcionar autenticación multifactor a través de una serie de mecanismos, incluida una aplicación de autenticación móvil, mensaje de texto, token de hardware o algún otro sistema.

Las empresas deben monitorear de cerca los sistemas de autenticación para detectar cualquier ataque de relleno de credenciales. La amenaza de estos ataques puede incluir la sobrecarga de los servidores VPN, el bloqueo deliberado de la cuenta del usuario e incluso el acceso total a la red.

Es importante, implementar dispositivos reforzados proporcionados por la compañía para trabajadores remotos, con certificados de cliente y protección de punto final.

Riesgos del dispositivo VPN

Las empresas necesitan monitorear de cerca los dispositivos VPN, tanto para el uso de la CPU y la memoria como para los cambios de configuración y evidencia de ataques de negación del servicio. En estos tiempos inusuales, estos dispositivos ahora pueden ser la única forma de ingresar a la empresa. Las empresas deben vigilar, proteger y aprovisionar estos dispositivos para resistir los ataques, ya que la alternativa es apagarlos. En tiempos normales, tal vez, esto podría ser un inconveniente; ahora esto significa que toda la compañía podría perder funciones críticas. Idealmente, implemente VPN en configuraciones de alta disponibilidad por la misma razón.

Las VPN pueden manejar el tráfico de diferentes maneras. La mayoría ofrece una opción de túnel dividido y una opción de túnel completo.

Es importante utilizar un cifrado robusto con la VPN. que debe ser resistente a los ataques y estar libre de vulnerabilidades conocidas. Aun así, muchas VPN proporcionan cifrados poco seguros para la interoperabilidad o compatibilidad, así que tenga cuidado al configurar valores predeterminados seguros.

Ancho de banda de trabajo remoto y problemas de red

No todos los trabajadores tienen Internet de alta velocidad en sus hogares. Además, a medida que más usuarios están trabajando de manera remota, la evidencia muestra que los proveedores de servicios están luchando con el aumento de la carga en sus redes.

Las VPN no son económicas en términos de ancho de banda y pueden ser bastante sensibles a la calidad de la red en lo que respecta al rendimiento. Las compensaciones en los formularios VPN específicos pueden ser fundamentales para ofrecer un rendimiento aceptable a los trabajadores que lo hacen de manera remota. Es posible que las compañías también necesiten limitar a los trabajadores que lo hacen de manera remota a utilizar solo aquellos sistemas necesarios para hacer su trabajo y alentarlos a evitar el movimiento pesado de datos para preservar el ancho de banda de la red.

Riesgos del endpoint

Como se señaló anteriormente, la seguridad del punto final es crítica para asegurar las implementaciones. Idealmente, los dispositivos a los que se les permite conectarse a las VPN son sistemas totalmente parchados administrados por la empresa, con certificaciones de autenticación, contraseñas seguras y software de protección de punto final instalado. Estos se pueden administrar de forma remota como cuando están en la LAN, y muchas VPN ofrecen instalaciones para detectar si las máquinas que se conectan a ellas cumplen con políticas de seguridad específicas en términos de nivel de parche o software instalado.

Sin embargo, en implementaciones rápidas como las que estamos viendo actualmente, los puntos finales de los trabajadores que lo hacen a distancia pueden tener que usar cualquier computadora que tengan en casa. Estas pueden ser máquinas antiguas con poca potencia y sin parches. Las empresas tendrán una visibilidad limitada de su configuración y ninguna garantía sobre su seguridad. Es posible que estas computadoras ya estén infectadas con malware, que puede aprovechar la oportunidad de conexión a una VPN para infectar otras máquinas, incluidos los sistemas críticos dentro de la empresa. Si el punto final es parte de una botnet o tiene un troyano de acceso remoto instalado, los atacantes pueden usar el punto final como un pivote en la red corporativa.

La mejor práctica es asumir que cualquier conexión de dispositivo desconocido ya está fracturado e instituir un monitoreo y controles apropiados para detectar actividades maliciosas.

Algunas posibles alternativas

Dependiendo del acceso requerido para los nuevos trabajadores a distancia, las compañías pueden reducir algunos de estos riesgos limitando el acceso solo a los sistemas explícitamente necesarios.

Los escritorios remotos también pueden ser una buena herramienta, si está disponible. Los usuarios se conectan a una computadora virtual que está dentro de los límites de la red de la compañía. Este escritorio virtual permite que todos los datos y aplicaciones permanezcan dentro de la red de la empresa; solo la representación visual se envía a la pantalla del usuario. Por lo que el departamento de TI podrá monitorear, administrar y mantener estos escritorios virtuales como cualquier otra computadora en la red corporativa.

Los servicios de terceros, como el correo electrónico SaaS, el intercambio de archivos, el chat y especialmente los servicios en la nube, pueden ser útiles: la implementación rápida en una gran población de usuarios es más fácil si alguien más maneja los registros y proporciona el ancho de banda y los servidores. Simplemente hay que ser muy claro en la estrategia de nube y comprenda los riesgos.

Por F5 Networks

Tomado de: DiarioTI

Pautas de seguridad para realizar reuniones virtuales

En las últimas semanas ha aumentado la descarga y el uso de aplicaciones para realizar videollamadas y reuniones virtuales, como consecuencia de la implantación del teletrabajo. El Equipo de Respuesta a Incidentes de Seguridad del Centro Criptológico Nacional (CCN-CERT) plantea cómo teletrabajar de forma segura sin poner en riesgo a usuarios y organizaciones.

La pandemia del COVID-19 ha generado una mayor concienciación de la importancia que tiene la ciberseguridad en un escenario como el actual, en el que numerosas organizaciones, instituciones y profesionales desarrollan el grueso de su actividad profesional y personal de forma remota. 

El teletrabajo se ha generalizado y también lo ha hecho el empleo de herramientas y aplicaciones que permiten, a distancia, dar continuidad a las funciones y responsabilidades que numerosos profesionales tienen asignadas. Entre estas herramientas, destacan las aplicaciones que permiten la organización de reuniones virtuales y videollamadas.

Las recomendaciones de seguridad del CCN-CERT permitirían mejorar la seguridad de este tipo de comunicaciones. Entre las recomendaciones, se encuentra la descarga de aplicaciones únicamente de markets oficiales, como Apple Store o Play Store, la actualización constante de aplicaciones para mantener su seguridad o la implementación de diferentes medidas para llevar a cabo una correcta configuración de las reuniones virtuales.

Todos estos aspectos se recogen en la infografía publicada por el CCN-CERT, que tiene por objeto ayudar a las organizaciones a incrementar la seguridad de las comunicaciones que se mantienen a través de reuniones virtuales y mediante el uso de aplicaciones que facilitan este tipo de convocatorias.

Configuración segura de videollamadas y reuniones virtuales

Las sesiones y aplicaciones de videoconferencia deficientemente protegidas son un magnífico vector de ataque para los ciberdelincuentes. Por esta razón, resulta imprescindible respetar unos mínimos requisitos de seguridad en la configuración de reuniones virtuales y llevar a cabo buenas prácticas, con el fin de minimizar los riesgos asociados al empleo de las tecnologías de la información y la comunicación. 

Con este objetivo, el CCN-CERT ha puesto a disposición de los usuarios dos documentos que detallan el procedimiento de configuración segura de aplicaciones de uso generalizado que permiten llevar a cabo reuniones virtuales y muestran algunas de las pautas de seguridad para la configuración de dichas reuniones. Asimismo, se enseña también de manera visual el procedimiento para implementar dichas recomendaciones.

En el abstract “El uso de Zoom y sus implicaciones para la seguridad y privacidad. Recomendaciones y buenas prácticas” se muestran algunas de las pautas de seguridad para la configuración de reuniones virtuales y se enseña también el procedimiento para implementar dichas recomendaciones. Asimismo, se detallan las diferentes opciones que la aplicación ofrece para realizar convocatorias y se especifican los pasos a seguir para lograr una correcta configuración: uso de IDs de reunión aleatorios, configuración de contraseña, habilitación de salas de espera, opciones de chat entre los asistentes, los privilegios del anfitrión/organizador, etc.

Del mismo modo, en el documento CCN-STIC 885-D Guía de configuración segura de Microsoft Teams, se detalla el procedimiento para mejorar la comunicación y colaboración de los equipos de trabajo de las empresas, reforzando las funciones colaborativas de esta plataforma en la nube. 

Otras iniciativas para garantizar el teletrabajo seguro y fomentar la cultura de ciberseguridad.

Ante las circunstancias generadas por la pandemia del COVID-19, el CCN-CERT ha reforzado todas sus capacidades para la defensa del ciberespacio español y, en especial, del sector público y de los sectores estratégicos. Para ello, ha creado la sección ‘CiberCOVID19’ en su página web, en la que se ofrece información de interés para prevenir las ciberamenazas durante la crisis del coronavirus. Esta sección incluye un total de seis apartados:

• Concienciación, que permite acceder a las recomendaciones y consejos de seguridad ante las campañas de malware, y que también se publican en redes sociales con los hashtags #NoTeinfectesConElMail y #CiberCOVID19.
• Teletrabajo, para  consultar el Informe de Buenas Prácticas CCN-CERT BP/18 Recomendaciones de Seguridad para situaciones de teletrabajo y refuerzo en vigilancia.
• Alertas y avisos, apartado en el que se informa de la detección de campañas de malware que emplean temáticas y narrativas relacionadas con la pandemia del Coronavirus/COVID-19.
• Indicadores de compromiso, donde se recopilan en tres listas negras los indicadores que permiten la detección y bloqueo de muchas de las campañas que aprovechan la situación del COVID-19.
• Formación, sección que recoge todas las actividades docentes, desarrolladas por este organismo, en materia buenas prácticas y/o herramientas que puedan contribuir a la implantación del teletrabajo de manera segura.
• Informes, apartado en el que se encuentra disponible la documentación desarrollada por el CCN para abordar, desde el punto de vista de la ciberseguridad, algunos de los aspectos más destacados generados en esta crisis.

Tomado de: DiarioTI

10 secretos de Ciberseguridad para estar a salvo de los hackers

1. Tus datos personales están muy expuestos

Hay que tener cuidado con los mensajes y fotos que se comparten en redes sociales o por correo, ya que pueden ser usados por los hackers para obtener información sobre nosotros. También es recomendable evitar mostrar nuestra huella dactilar, para evitar una potencial réplica.

2. Las contraseñas deben ser difíciles de adivinar

Que son necesarias para nuestros dispositivos y cuentas es algo evidente, pero no hay que rascarse mucho la cabeza para lograr una efectiva. Normalmente combinando mayúsculas y minúsculas con números y símbolos es suficiente. Por supuesto nada de usar cosas muy sencillas o fechas señaladas.

3. Evita las redes wifi públicas

Aunque no todas tienen la misma seguridad, es mejor por lo general evitar este tipo de redes tan expuestas. Y si lo haces, actúa con precaución. No des datos personales y procura no descargar archivos.

4. Ojo con juegos y aplicaciones gratuitos

Aunque no haya que pagar para acceder a ellos, lo cierto es que en muchas ocasiones les das datos personales, por lo que se pone en riesgo la privacidad. Lo mejor es que te leas bien las condiciones antes de descargar nada y que ante cualquier cosa que no te guste no des los permisos.

5. Atención antes de comprar online

Antes de efectuar cualquier compra a través de Internet, es muy importante tener el antivirus actualizado, un cortafuegos activado y las aplicaciones en sus últimas versiones. Solo así se podrá efectuar la compra sin riesgo.

6. Usa VPN

Son redes privadas virtuales que tienen como ventaja el navegar siempre en conexiones seguras o hacerlo desde el extranjero. Al ser privadas, los hackers lo tienen mucho más complicado.

7. Actualiza las aplicaciones y sistema operativo

Es la mejor manera de mantenerse protegido en todo momento. Si se han identificado vulnerabilidades, las actualizaciones ayudarán a eliminar estos resquicios que podrían aprovechar los hackers.

8. Cifra el dispositivo

El encriptado permite ir más allá en la seguridad y se lo pone muy difícil a los hackers. En Android podrás encontrar la opción en los Ajustes, mientras que en Apple ya viene cifrada de manera automática la información.

9. Mucha atención con las aplicaciones falsas

Cuando vayas a descargar una aplicación presta atención que no sea fraudulenta y que intente robarte los datos. Normalmente un número alto de descargas será una buena señal en la que confiar, pero de todas formas extrema las precauciones.

10. Evita el perfil de administrador cuando navegues

El problema es que los sitios peligrosos de Internet podrán acceder a tu disco duro y borrar tus archivos. Usar cualquier otro usuario será más seguro y te evitará quebraderos de cabeza.

Tomado de: 20minutos.es

Diez recomendaciones para la adopción del teletrabajo en entidades públicas

Teletrabajo. Imagen tomada de: Colombia Digital.

La adopción del teletrabajo en las entidades públicas obedece a diferentes motivos. Por un lado está la conciliación de la vida laboral y familiar, la reducción del hacinamiento en las oficinas, el evitar alquilar edificios, la modernización tecnológica, entre otros.

Para su implementación se requiere una serie de pasos que las entidades y los funcionarios deben dar.

Algunas recomendaciones generales en este proceso son:

1. Carácter voluntario

El teletrabajo es voluntario, tanto para el funcionario como para la entidad pública. Es importante que quede soporte de que la vinculación del teletrabajador se realizó en tal sentido, a través de un documento previo donde se establezca la libertad del funcionario para optar por esta modalidad laboral.

2. Criterios de elegibilidad

El teletrabajo no es para todos los funcionarios. Las direcciones de talento humano deben revisar el respectivo manual de funciones y competencias laborales e identificar las actividades y cargos susceptibles de realizarse a través del teletrabajo.

3. Resolución de carácter general

La entidad que adopte el teletrabajo debe emitir una Resolución de carácter general, estableciendo la forma en que funcionará esta modalidad al interior de la entidad, incluyendo factores como: requisitos para poder acceder al teletrabajo, normas en materia de riesgos laborales, seguridad de la información, modalidad de teletrabajo, compromisos, obligaciones, entre otros.

4. Ayuda de la Administradora de Riesgos Laborales

Las ARL están en la obligación de promover la adecuación de las normas relativas a higiene y seguridad en el trabajo a las características propias del teletrabajo, así que ellas podrán ayudar a las entidades públicas en el proceso respectivo en este aspecto. De igual forma, la entidad debe entregar a la ARL copia del Acto Administrativo que autoriza a teletrabajar a los funcionarios.

5. Capacitación en competencias para el teletrabajo

Antes que los funcionarios inicien su etapa como teletrabajadores es recomendable que previamente realicen un proceso de formación en competencias para el teletrabajo, pues es fundamental que estén preparados para aspectos que a veces no se contemplan en el sitio de trabajo tradicional. En el caso de Estados Unidos, la capacitación para el teletrabajo es obligatoria en el sector público y hasta que no agote esta fase el funcionario no puede teletrabajar.

6. Creación de un comité para el funcionamiento del teletrabajo

Crear un comité compuesto por direcciones estratégicas de la entidad, como las áreas de gestión humana, tecnológica y administrativa, que permitan tomar decisiones en torno al proyecto de teletrabajo. También puede ser solo la oficina de talento humano la encargada de adoptar el teletrabajo en la entidad, para lo cual es recomendable que designe a un funcionario para el cumplimiento de este objetivo.

7. Sensibilización a funcionarios y jefes de los beneficios del teletrabajo

El teletrabajo supone un cambio en la organización del trabajo, tanto para el teletrabajador como para el compañero de trabajo que no va optar por esta opción, así como para los jefes; la transformación laboral, como todo cambio, genera resistencias que deben ser minimizadas a través de diversas estrategias de comunicación, entre ellas el evangelizar sobre sus beneficios hace posible gestionar el cambio de manera efectiva.

8. Tome medidas para la seguridad de la información y la seguridad informática

Las entidades públicas deben tener en cuenta al momento de adoptar el teletrabajo qué tipo de información va a gestionar el teletrabajador fuera de la entidad y el nivel de seguridad de la misma. En consecuencia deberá brindar mecanismos de seguridad informática que protejan los datos, así como ofrecer capacitación en buenas prácticas.

9. Mecanismos de seguridad en la salud y prevención de riesgos laborales en el teletrabajo

La guía en seguridad, salud y prevención de riesgos laborales en el teletrabajo, le permite al teletrabajador y las entidades gestionar aspectos relativos a la seguridad del sitio donde va a teletrabajar, los buenos hábitos, postura, adecuación del sitio de trabajo y buenas prácticas, entre otros.

10. Pida ayuda de la Comisión Asesora de Teletrabajo

Si no tiene idea por dónde iniciar el proceso de adopción de teletrabajo pida ayuda de la Comisión Asesora, conformada por el Ministerio TIC, del Trabajo y el DAFP. Esta comisión le asesorará sobre la forma adecuada en que debe adoptar el teletrabajo en su entidad, dándole recomendaciones y capacitación.

Tomado de: Colombia Digital