Seguridad en el Teletrabajo - ader.es · ¿Qué es y para qué sirve el teletrabajo? Ventajas e...
Transcript of Seguridad en el Teletrabajo - ader.es · ¿Qué es y para qué sirve el teletrabajo? Ventajas e...
Seguridad en el Teletrabajo
Pulsa en "Acciones" para descargar PDF
3 y 5 de noviembre de 2009
Emilio Rodríguez Priego
¿Qué es y para qué sirve el teletrabajo?
Ventajas e inconvenientes
¿Cómo montar un puesto de teletrabajo?
¿De qué herramientas disponemos?¿Qué objetivos puedo
conseguir?
¿Qué medidas de seguridad puedo aplicar?
¿Qué es el teletrabajo?
• Trabajo a distancia • Uso de tecnologías
de la información y comunicaciones (TICs)
• Por cuenta ajena (generalmente)
Teletrabajo es enviar el trabajo al trabajador, en lugar de enviar el trabajador al trabajo. (Jack Nilles, European Community Telematics / Telework Forum)
Ventajas
• Para el trabajadoro Conciliación vida
familiar/laboralo Mayor autonomía y
libertado Menos desplazamientoso Mayor comodidado Menor estréso Mayor tiempo libreo Obliga a una mayor
organización -> más productividad
Ventajas
• Para la empresao Menor coste (~50%) o Mayor productividad (orientación por objetivos)o Menores conflictos entre empleadoso Facilidad para movilidad geográficao Facilidad para crecer sin mayores costes estructuraleso Posibilidad de contratar a expertos de otros lugareso Menor absentismo: ej. Nieve, Lesiones que dificultan
desplazamientoso Mayores inversiones en TICs
Ventajas
• Para la sociedado Ayuda a evitar la desploblación de las zonas
ruraleso Ayuda a reducir las diferencias entre regioneso Mayor integración de discapacitados, personas
mayores, etc.o Menores accidentes de tráfico
Ventajas
• Para el medio ambienteo Menor contaminación gaseso Menor contaminación acústicao Menor explotación de recursos naturaleso Menor consumo de papel y tóner
Desventajas
• Para el trabajadoro Posibilidad de aislamientoo Sensación de ser infravaloradoo Conflictos familiareso Peligro de horarios ilimitadoso Posible pérdida de relaciones personales en la
empresao Puede ser más fácil el despido
Desventajas
• Para la empresao Menor identificación del trabajador con la
empresao Dificultad de control del trabajoo Mayor esfuerzo en seguridado Mayor riesgo de infelidad a la empresao Mayor riesgo fuga de información
¿Cuánto teletrabajo?
• Tiempo completo: geomovilidad• Tiempo parcial:
o Reuniones semanales en oficinao Tareas restringidas a oficinao Asistencia técnica
¿Cuántos puestos de trabajo?
• Tiempo completo: sólo el puesto de teletrabajo. Puede ser un PC de sobremesa
• Tiempo parcial:o El puesto es un portátil que también se lleva a
la oficina. No hay PC en oficina para el usuario
o El usuario además del portátil tiene su puesto en la oficina. Puede acceder vía “Acceso remoto”
o El usuario además del portátil comparte un PC con otros teletrabajadores en la oficina
Los objetivos
Acceso a sistemas corporativos
Comunicación con otros empleados
Trabajo en equipo
Comunicación con otras empresas
Asistencia técnica
Formación
¿Cómo montar el teletrabajo?
1. Analizar puestos más adecuados2. Definir los objetivos de cada puesto3. Comprobar la disposición de tecnología4. Configurar el puesto de teletrabajo (equipos y
comunicaciones)5. Formar a los teletrabajadores y al resto de la
empresa
Conectividad
• (RTB): ancho de banda limitado 64 Kbits/seg
• ADSL: hasta 12 Mbits/seg
• Telefonía móvil: hasta 3 Mbits/seg (con 3G)
Seguridad conectividad
• Problemaso Disponibilidad de la conexión: la falta de
conexión puede impedir trabajaro Solución:
Disponer de conexión alternativa:ADSL->RTB3G->RTB
Seguridad conectividad
• Problemas (cont.)o Compartición de la conexión: el trabajador
usa la misma red para conectarse a nivel particular y de trabajo
o Soluciones:Usar exclusivamente 3GSi se comparte ADSL: separar redes mediante VLAN o Router (neutro)
Acceso a Internet/Intranet
• Problemao Acceso a red interna de manera
segura: el trabajador necesita estar conectado a la red interna para usar sus servicios como si lo estuviera físicamente
o Solución:Usar una red privada virtual (VPN)
Seguridad Acceso a Internet/Intranet:Solución OpenVPN (cont.)
• Características OpenVPNo Es de código abiertoo Permite usar criptografía basada en
certificados digitaleso Soporta dos modos: TUN (túnel IP) y TAP
(red privada Ethernet)o Su instalación y configuración es sencilla
Seguridad Acceso a Internet/Intranet
• Problema (cont.)o Acceso a Internet de manera segura: la
empresa quiere que el acceso a Internet por el trabajador esté sujeto a las mismas políticas que el resto de los trabajadores (filtros, control virus, antispam, etc.)
o Solución:Habilitar acceso únicamente a través de la VPN. Uso de proxiesHabilitar cortafuegos personal (control de IPs en el equipo del trabajador). Ej. Zonealarm, Outpost
Seguridad equipo
• Problemaso Uso compartido: el equipo también se utiliza
para uso personal. o Soluciones:
Restringir el acceso a un sólo usuarioUtilizar directivas para impedir instalación de aplicacionesBloquear dispositivos externos (mediante BIOS)Usar Linux
Seguridad equipo
• Problemas (cont.)o Acceso indebido por pérdida o roboo Soluciones:
Vigilar la fortaleza de las contraseñasUso de certificados digitalesBloqueo de equipo mediante BIOSCifrado de discos completos (ej. TrueCrypt)Virtualización (ej. VirtualBox)Evitar almacenamiento de información sensible en local. Control de ficheros temporales
Seguridad equipo
• Problemas (cont.)o Averías: fallo de disco duro. o Soluciones:
Uso de imágenes (Ej. Ghost)Copias de seguridad on-line (ej. Dropbox)Virtualización (ej. VirtualBox)Evitar almacenamiento de información en local (únicamente programas)
El software
• Aplicaciones informáticas usadas en la empresa
• Tipos básicoso Cliente/Servidor: requiere uso de VPNo Intranet: su dominio no es visible desde Internet->
requiere uso VPNo Web: su dominio es visible, podrían accederse
desde Internet
Aplicaciones cliente/servidor
• Cliente/Servidor: generalmente el cliente es Windows y el servidor: gestor base de datos
• Están siendo migradas progresivamente a entorno web:o Son más difíciles de mantener (el
código está en local)o Más sensibles a cambios en el
software (actualizaciones de sistema operativo, leng.prog,etc.)
o No son aptas para partipación de empresas externas como usuarios
Seguridad Aplicaciones cliente/servidor
• Problema: control de acceso• Soluciones:
o Uso obligatorio de VPNo Soluciones típicas:
El software cliente en el puesto de teletrabajoEl software cliente en un puesto de oficina y acceso remotoEl software cliente se accede a través de un servidor de terminales: Ej. Windows Terminal server
Aplicaciones Intranet
• Acceso por navegador• Dominio no visible desde
Internet• Posibilidad de plugin
específicos para navegador
Seguridad Aplicaciones Intranet
• Problema: control de acceso• Soluciones: caso particular C/S
o Uso obligatorio de VPNo Soluciones típicas, las mismas que C/S:
Navegador en el puesto de teletrabajoNavegador en un puesto de oficina y acceso remotoEl navegador se accede a través de un servidor de terminales : Ej. Windows Terminal server
Aplicaciones Web. El navegador
• Tendencia actual: migración de aplicaciones cliente/servidor a web
• Acceso basado en navegador web
Seguridad navegador web
• Problemaso Vulnerabilidades del códigoo Soluciones:
Elegir un navegador confiableInstalar puntualmente las actualizaciones de seguridad
Seguridad navegador web
• Problemas (cont.)o Phishingo Soluciones:
Habilitar control anti-phishing en navegadores (ej. Firefox)No pulsar enlaces en mensajes de correo desconocidosComprobar dominio al que se accede
Seguridad navegador web
• Problemas (cont.)o Pérdida o acceso indebido a las claves de sitios webo Soluciones:
Utilizar siempre Contraseña maestra en Firefox y nivel alto de seguridad en IEUsar contraseñas seguras: mín 8 caracteres alfanuméricos, no diccionario, may./minús., caracteres especialesNo utilizar la misma contraseña para sitios que necesiten diferente nivel de seguridadGestores de contraseñas para navegador (no son completos)
Seguridad navegador web
• Problemas (cont.)o Débil protección de certificados digitaleso Soluciones:
Utilizar siempre Contraseña maestra en Firefox y nivel alto de seguridad en IEHacer copia de seguridad protegida con contraseñaUtilizar contraseña más fuerte para este tipo de dispositivosNo tener abiertas otras ventanas/pestañas mientras se accede a sitios mediante certificados digitalesUsar tarjetas criptográficas
Seguridad navegador web
• Problemas (cont.)o Débil protección de datos accedidos mediante
navegadoro Soluciones:
Limpiar siempre caché y sesiones al salirUsar modo privado (ej. Firefox)Utilizar modo SSL siempre que sea posible (ej. Gmail)
Los objetivos (repetición)
Acceso a sistemas corporativos
Comunicación con otros empleados
Trabajo en equipo
Comunicación con otras empresas
Asistencia técnica
Formación
Herramientas web. La “nube”
• Tendenciaso El CPD de empresa ya no es la única posibilidad
de hospedar aplicaciones web (Intranet)o Existen un conjunto de servicios en Internet
conocidos como “Cloud computing”EscalabilidadAlta disponibilidadBuena relación calidad/precio
Tipos de “Cloud computing”
• Infraestructura como servicio (IAAS): se ofrece una máquina (generalmente virtual) dedicada o no. Ej. Arsys, Amazon S3
• Plataforma como servicio (PAAS): se ofrece una infraestructura (S.O., BBDD, etc.). Ej. Google App Engine, Amazon RDS, Windows Azure, etc.
• Software como servicio (SAAS): se ofrece un software preinstalado (código abierto) ej. cheapdomain o sólo uso (no acceso al código): ej. gmail
Seguridad Cloud Computing
• Problemaso Dependenciao Privacidad (LOPD)o Solvencia de proveedoro Fiabilidad (medidas seg. Adoptadas)o Disponibilidad
Seguridad Cloud Computing
• Solucioneso Diversificar proveedores. Realizar
siempre copias de seguridad locales o Revisar legislación aplicable sobre
protección de datoso Elegir proveedores con capacidad
demostrableo Revisar medidas de seguridad del
proveedoro La disponibilidad es típicamente
superior al 98%. Evaluarla según criticidad
Herramientas de Comunicación
• Correo-e• Voz• Microblogs• Chat• Videoconferencia/Telepresencia• El futuro…
Seguridad Correo-e
• Problemaso Spamo Soluciones:
Uso de las protecciones antispam corporativas (vía VPN)Utilizar un cliente de correo con control de spam (ej. Gmail)Filtrar correo conocido y etiquetarlo (ej. Gmail)
Seguridad Correo-e
• Problemas (cont.)o Confidencialidado Soluciones:
Usar SSL cuando sea posibleEvitar el envío de documentos confidenciales por correo-e->uso de herramientas seguras de compartición o cifrar documentos adjuntos (ej. PGP)Separar las cuentas de correo personales de las corporativasPara los registros dudosos usar siempre una cuenta de correo auxiliar
Seguridad Correo-e
• Problemas (cont.)o Código maliciosoo Soluciones:
Habilitar uso de sólo texto (cuando sea posible)No descargar/ejecutar archivos de remitentes desconocidosMostrar siempre extensiones de archivos (Windows)Hacer uso de filtros corporativos (a través de VPN) Habilitar antivirus
Herramientas de Comunicación
• Voz (IP)o Permite hablar a través
de una conexión a Internet
o Ofrece comodidad (agenda telefónica accesible desde ordenador) y tarifas bajas o gratis
o Ej. Skype, Gtalk, etc
Herramientas de Comunicación
• Chato Es una herramienta muy
útil al ser menos intrusiva que el teléfono
o Algunos chat permiten el guardado automático de las conversaciones (ej. Gtalk)->mismo problema confidencialidad que correo-e
Herramientas de Comunicación
• Microblogso Permite al trabajador
comunicar su actividad a otros empleados
• Ej. Twitter
Seguridad Chat y Microblogs
• Problema: o Privacidad
• Solucioneso Uso de diferentes cuentas (personal y trabajo)o Restringir el acceso. Principio de mínimo
privilegio
Herramientas de Comunicación
• Videoconferenciao Permite hablar y ver
al interlocutor por conexión a Internet y una cámara (webcam)
o Idónea para reuniones
o Herramientas auxiliares (pizarra). Ej. Windows Live Messenger
Herramientas de Comunicación
• Algunas herramientas útileso Skypeo Gtalk con videoo Sclipo (teleformación)o Tokbox (videoconferencias públicas y privadas)o DEMO: http://www.tokbox.com/view/homepage?v=how
Herramientas de Comunicación
“Holopresencia” ¿Ciencia ficción?
“Asombroso holograma en vivo transmitido por Internet” (29/5/2008)
“Científicos japoneses crean hologramas que se pueden tocar” (7/8/2009)
Seguridad Videoconferencia
• Problemao Confidencialidad: escuchas (visionado) de la comunicación
• Solucioneso VPNo Cifrado de comunicaciones (https)o Uso de sistemas propietarios (menos económicos)
Seguridad Videoconferencia
• Problemao Captura y envío de imágenes por hackers. Ej. Virus Rbot-GR
• Solucioneso Antivirus (en PC y/o corporativo)o Realización puntual de actualizaciones de sistemas
operativos y aplicaciones de video/audio
Herramientas de compartición
• Opcioneso Datos en local. Uso de USBo Datos en remoto: Ej. Google groupso Datos en local y remoto. Ej. Dropbox
• Pueden compartirse todo tipo de ficheros
Seguridad Herramientas de compartición
• Datos en local. Uso de USB: no es el mejor sistema. No apto para compartición en tiempo realo Problema
Confidencialidado Soluciones
Cifrado de particiones (Ej.Truecrypt)Cifrado de USBs (Ej. Truecrypt,
Seguridad Herramientas de compartición
• Datos en remoto: o Web: los datos están en el servidoro Red local ficheros
• Problemao Confidencialidad
• Solucioneso Web: cifrado de las comunicaciones (SSL)o Ficheros en red local remota: por VPN
Seguridad Herramientas de compartición
• Datos en local y remoto: o Los datos en local se sincronizan con servidor otros equipos.
Ej. Dropboxo Se pueden compartir carpetas con usuarios concretos
• Problemao Confidencialidad
• Solucioneso Cifrado (Ej Truecrypt)
En localEn remotoEn local y remoto
Herramientas de colaboración
• Permiten la modificación simultánea de un recurso entre varios usuarios
• Son herramientas muy productivas• No sólo para empleados, también
colaboración de empresas externas
Herramientas de colaboración. Ejemplos
• Texto• Hojas de cálculo• Presentaciones• Wiki• CRM• Bases de datos• Proyectos• Informes• …. Etc.
Herramientas de colaboración. Ejemplos
• Gestión de proyectos
• Gestión de incidencias
• Diagramas de Gantt
Herramientas de colaboración. Ejemplos
• Multiples calendarios compartidos
• Sincronización con otras herramientas
• Avisos SMS gratuitos
Herramientas de teleformación
• Cursos participativos• Evaluación continua• Tutorías on-line• Video clases• Ej. Moodle, Atutor
Herramientas de asistencia
• Control remoto: Permite el control del ordenador por un técnico en caso de problemas informáticos
• Ejemplos:o VNCo Terminal Servero Windows Asistencia
remota
Seguridad Herramientas de asistencia
• ProblemaConfidencialidad
• SolucionesUsar siempre contraseñaActivar siempre conformidad usuario del equipo controladoHabilitar sólo cuando sea necesario
Control teletrabajo
• Auditoría de comunicaciones• Auditoría de login/logout• Auditoría de mensajes de correo• Auditoría de acceso a Internet.. Etc.
Debate: protección de datos vs derecho del empresario a supervisar el trabajo de sus empleados