Los equipos corporativos utilizados tienen que tener una serie de requisitos de seguridad cuando se utilizan para el teletrabajo. Aquí nos topamos con un problema, y es que los profesores, y el personal en general del centro, no tienen equipos corporativos en casa. Trabajan con sus equipos personales. Para esos casos, la Agencia dice que, si se permite el uso de dispositivos personales, al suponer un mayor riesgo, deben de exigirse unos requisitos mínimos para poder utilizarlos en conexiones remotas, entre otras cuestiones.
Si intentamos aplicar las medidas de seguridad que sugiere la recomendación a los equipos que tiene en casa el personal de los centros para trabajar, veamos cómo queda lo del mapa y el territorio. En negrita la recomendación de la Agencia y a continuación traduzco las cuestiones que puede implicar:
(1) Los equipos utilizados tienen que estar actualizados a nivel de aplicación y sistema operativo:
Implica cosas como que:
- No vale que cuando uno va a apagar el ordenador diga que no quiere actualizar el equipo porque Windows tarda mucho.
- No vale utilizar licencias de sistemas operativos pirata (las de Windows, generalmente), hay que comprar el sistema operativo (Windows para la mayoría. Aunque aprovecho para recordar que Linux es gratuito además de software libre).
- No vale utilizar aplicaciones piratas de ofimática (Word, Excel y todas esas).
(2) Los equipos utilizados deben tener deshabilitados los servicios que no sean necesarios
Traducido, eso significa, por ejemplo, que no vale tener el programa de Torrent de descarga de las películas instalado en el equipo desde el que se trabaja. (Aunque lo bajado sean copias legales de películas que ya se tienen, por supuesto)
(3) Los equipos utilizados deben tener una configuración por defecto de mínimos privilegios
Traducido eso implicaría cosas como:
- Ojo con las aplicaciones que se instalan en el equipo.
- No deberían usar el equipo varios miembros de la familia.
(4) Instalar únicamente las aplicaciones autorizadas por la organización:
Ya hemos dicho que el ordenador es personal, no el de la organización pero traducido sería:
- No se puede tener el programa de descargas de Torrent en el mismo equipo de trabajo.
- Esos programillas bajados de Internet en el ordenador del trabajo pueden tener su peligro.
(5) Contar con software antivirus actualizado:
La traducción de esto es que la licencia del antivirus que vino de regalo con el equipo hace 4 años, seguramente ya no sirva.
(6) Disponer de un cortafuegos local activado:
¿Corta quién? Pero si vivo en la ciudad no tengo ni un miserable bosque cerca, aquí no va a haber incendios.
(7) Tener activados solo las comunicaciones (wifi, bluetooth, NFC, …) y puertos (USB u otros) necesarios para llevar a cabo las tareas encomendadas.
Lo cual quiere decir desactivar el bluetooth y que no deberían entrar Pendrives por los puertos USB del equipo.
(8) Incorporar mecanismos de cifrado de la información.
Ese pendrive que circula del colegio a casa y de casa al colegio, incluso aquella vez del robo de la cartera o el bolso, tiene que estar protegido mediante cifrado y contraseña.
Yo veo bastante alejado el mapa del territorio. Precisamente al pensar eso, es cuando me he dado cuenta de que la frase tenía su utilidad después de todo. Pero tampoco vamos a tirar la toalla, empecemos por cosas aún más básicas.
(1) Correo del cole en el móvil personal
El correo corporativo del colegio está sincronizado en el móvil personal. Eso pasa. Es así. Y en esos correos sincronizados hay información confidencial del colegio. Datos personales y, casi seguro, algunos sensibles. Empecemos por proteger ese móvil:
- Contraseña al móvil: ya sea huella, patrón de desbloqueo o código.
- No prestar el móvil a nadie.
(2) Uso de pendrives y otros dispositivos
Hay que evitar guardar datos personales en dispositivos externos (pendrives, discos duros, etc).
Me impactó mucho en una implantación de protección de datos, cuando una persona me contó que había creído perder en el pasado un pendrive con información muy sensible de alumnos. Y contándolo, casi le vuelve a dar el ataque de pánico que le dio en el momento que lo perdió. Finalmente encontró el pendrive porque aquí cuento la historia con final feliz.
Es mejor no guardar información en dispositivos externos y, si no queda más remedio, siempre cifrados y con contraseña.
(3) Contraseñas de los equipos y aplicaciones
Sé que esto da mucha pereza. Pero las contraseñas tienen que ser robustas. Esto quiere decir que mínimo de 6 a 8 caracteres y esos caracteres tienen que ser varidaditos. No vale “12345678”, o mira qué contraseña tan original “password” o “contraseña”.
Contraseñas robustas y no la misma para todo. El equipo una contraseña, el correo electrónico otra y Educamos o la aplicación de gestión similar, otra contraseña.
Y cambiar las contraseñas cada 5 años no es cambiarlas “cada poco”. Hay que actualizarlas. Empecemos cada tres meses, como el que empieza unas pocas sentadillas cada día.
La contraseña es secreta. Así que no vale añadir “y sólo” después de afirmar que es una contraseña difícil de deducir.
Si la frase “mi contraseña es difícil” lleva el añadido “y sólo la conocemos dos personas más”, vamos mal. La contraseña tiene que ser individual e intransferible y sólo debe conocerla una persona.
(4) Cerrar las sesiones en las aplicaciones
Si hay buenas contraseñas pero luego se queda la sesión de Educamos o del correo electrónico abierta en el equipo, hacemos mal negocio.
Hay que acordarse siempre de cerrar la sesión
(5) Incidencias
Comunicar al centro si ocurre alguna incidencia relacionada con datos personales. El colegio ha tenido que facilitar al personal el modo en el que comunicar esas incidencias cuando ocurren. Hay que utilizar esos mecanismos y comunicarlas al centro para ver qué remedios se pueden aplicar si ocurre algo.
Siempre digo que en estas circunstancias de pandemia que vivimos los docentes son unas de mis superheroínas y superhéroes. Se han adaptado y lo han hecho muy bien, dadas las circunstancias. Y lo cierto es que cada vez noto más concienciación en la necesidad de proteger la información con la que trabajan. Espero que estas líneas puedan aportar algo más.
Otro día profundizo en la parte de las fotos, las videoconferencias, la confidencialidad y otras cosas que pasan.
Elena Pérez Gómez
Abogada en cohaerentis
Especializada en Derecho Tecnológico