Los equipos corporativos facilitados por la organización a las personas trabajadoras deben que tener una serie de requisitos de seguridad cuando se utilizan para el teletrabajo. Aquí nos encontramos con un problema y es que, los profesores, y el personal en general del centro, no suele tener equipos corporativos en casa. Trabajan con sus equipos personales.
Para esos casos, la Agencia de Protección de Datos dice que, si se permite el uso de dispositivos personales, al suponer un mayor riesgo, deben de exigirse unos requisitos mínimos para poder utilizarlos en conexiones remotas.
Si intentamos aplicar las medidas de seguridad que sugiere la recomendación a los equipos que tiene en casa el personal de los centros para trabajar, veamos cómo queda el tema. En negrita la recomendación de la Agencia y, a continuación, explico las cuestiones que puede implicar:
(1) Los equipos utilizados tienen que estar actualizados a nivel de aplicación y sistema operativo:
Implica cosas como que:
- No vale que cuando uno va a apagar el ordenador diga que no quiere actualizar el equipo porque Windows tarda mucho.
- No vale utilizar licencias de sistemas operativos pirata (las de Windows, generalmente), hay que comprar el sistema operativo (Windows para la mayoría. Aunque aprovecho para recordar que Linux es gratuito además de software libre).
- No vale utilizar aplicaciones piratas de ofimática (Word, Excel y todas esas).
(2) Los equipos utilizados deben tener deshabilitados los servicios que no sean necesarios
Traducido, eso significa, por ejemplo, que no vale tener el programa de Torrent de descarga de las películas instalado en el equipo desde el que se trabaja.
(3) Los equipos utilizados deben tener una configuración por defecto de mínimos privilegios
Traducido eso implicaría cosas como:
- Ojo con las aplicaciones que se instalan en el equipo.
- No deberían usar el equipo varios miembros de la familia.
(4) Instalar únicamente las aplicaciones autorizadas por la organización:
Ya hemos dicho que el ordenador es personal, no el de la organización pero traducido sería:
- Esos programas bajados de Internet en el ordenador del trabajo pueden tener su peligro.
(5) Contar con software antivirus actualizado:
La traducción de esto es que la licencia del antivirus que vino de regalo con el equipo hace 4 años, seguramente ya no sirva.
(6) Disponer de un cortafuegos local activado:
¿Corta quién? Pero si vivo en la ciudad no tengo ni un miserable bosque cerca, aquí no va a haber incendios.
(7) Tener activados solo las comunicaciones (wifi, bluetooth, NFC, …) y puertos (USB u otros) necesarios para llevar a cabo las tareas encomendadas.
Lo cual quiere decir desactivar el bluetooth y que no deberían entrar pendrives por los puertos USB del equipo.
(8) Incorporar mecanismos de cifrado de la información.
Ese pendrive que circula del colegio a casa y de casa al colegio, incluso aquella vez del robo de la cartera o el bolso, tiene que estar protegido mediante cifrado y contraseña.
Empecemos por cosas aún más básicas.
(1) Correo del cole en el móvil personal
El correo corporativo del colegio está sincronizado en el móvil personal. Eso pasa. Es así. Y en esos correos sincronizados hay información confidencial del colegio. Datos personales y, casi seguro, algunos sensibles. Empecemos por proteger ese móvil:
- Primero de todo, verifiquemos si las políticas del colegio permiten sincronizar el correo corporativo en dispositivos personales. Y, si es asi:
- Contraseña al móvil: ya sea huella, patrón de desbloqueo o código.
- No prestar el móvil a nadie.
(2) Uso de pendrives y otros dispositivos
Hay que evitar guardar datos personales en dispositivos externos (pendrives, discos duros, etc).
Me impactó mucho en una implantación de protección de datos, cuando una persona me contó que, una vez le sucedió, que creía haber perdido un pendrive con información muy sensible de alumnos. Y, mientras me lo contaba, casi le volvió a dar el ataque de pánico que le dio en el pasado cuando pensó que lo había perdido. Finalmente encontró el pendrive pero podría haber sido drama.
Es mejor no guardar información en dispositivos externos y, si no queda más remedio, siempre cifrados y con contraseña.
(3) Contraseñas de los equipos y aplicaciones
Sé que esto da mucha pereza. Pero las contraseñas tienen que ser robustas. Esto quiere decir que mínimo de 6 a 8 caracteres y esos caracteres tienen que ser variados. No vale “12345678”, o mira qué contraseña tan original «password» o “«contraseña».
Contraseñas robustas y no la misma para todo. El equipo una contraseña, el correo electrónico otra y Educamos o la aplicación de gestión similar, otra contraseña.
Cambiar las contraseñas cada 5 años no es cambiarlas «cada poco». Hay que actualizarlas. Empecemos cada tres meses, como el que empieza unas pocas sentadillas cada día.
La contraseña es secreta. Así que no vale añadir «y sólo la conocemos yo y…»” después de afirmar que es una contraseña difícil de deducir.
La contraseña tiene que ser individual e intransferible y sólo debe conocerla una persona.
Además, es recomendable implementar siempre doble factor de autenticación.
(4) Cerrar las sesiones en las aplicaciones
Si hay buenas contraseñas pero luego se queda la sesión de Educamos o del correo electrónico abierta en el equipo, hacemos mal negocio.
Hay que acordarse siempre de cerrar la sesión.
(5) Incidencias
Comunicar al centro si ocurre alguna incidencia relacionada con datos personales. El colegio ha tenido que facilitar al personal el modo en el que comunicar esas incidencias cuando ocurren. Hay que utilizar esos mecanismos y comunicarlas para ver qué medidas se pueden aplicar si ocurre algo.
Siempre digo que en estas circunstancias de pandemia que vivimos las personas docentes son mis superheroínas. Se han adaptado y lo han hecho muy bien, dadas las circunstancias. Y lo cierto es que cada vez noto más concienciación en la necesidad de proteger la información con la que trabajan. Espero que estas líneas puedan aportar algo más.
