El teletrabajo en los colegios

¿Os ha pasado alguna vez que lleváis toda la vida escuchando una expresión o un dicho pero no os habíais parado a analizar lo que significa?

Es algo que me ha pasado muchas veces a lo largo de la vida. Una de las primeras que recuerdo fue con la expresión “sacar de quicio”. En algún momento, analizando la frase, pensé “¿esto tendrá que ver con sacar del quicio de la puerta?”. 

Y hace no mucho tiempo vengo oyendo la expresión “una cosa es el mapa y otra cosa es el territorio”. Pero no le había echado tiempo a analizar la expresión pensando que a estas alturas y con tanto satélite, lo de la topografía tiene que estar más que dominado. 

Y es ahora cuando me acuerdo de la expresión que habré escuchado en algún charla, pensando en lo complicado que es llevar al territorio de los colegios, el mapa que presenta la Agencia de Protección de Datos en las recomendaciones para proteger los datos en el teletrabajo. 

¿Cómo aplicarlo por parte de los profesores cuando tienen que trabajar desde casa?

Dice la recomendación de la Agencia que los equipos corporativos utilizados tienen que tener una serie de requisitos de seguridad cuando se utilizan para el teletrabajo. Aquí nos topamos con un problema, y es que los profesores, y el personal en general del centro, no tienen equipos corporativos en casa. Trabajan con sus equipos personales. Para esos casos, la Agencia dice que, si se permite el uso de dispositivos personales, al suponer un mayor riesgo, deben de exigirse unos requisitos mínimos para poder utilizarlos en conexiones remotas, entre otras cuestiones. 

Si intentamos aplicar las medidas de seguridad que sugiere la recomendación a los equipos que tiene en casa el personal de los centros para trabajar, veamos cómo queda lo del mapa y el territorio. En negrita la recomendación de la Agencia y a continuación traduzco las cuestiones que puede implicar:

(1) Los equipos utilizados tienen que estar actualizados a nivel de aplicación y sistema operativo:

Implica cosas como que:

  • No vale que cuando uno va a apagar el ordenador diga que no quiere actualizar el equipo porque Windows tarda mucho.
  • No vale utilizar licencias de sistemas operativos pirata (las de Windows, generalmente), hay que comprar el sistema operativo (Windows para la mayoría. Aunque aprovecho para recordar que Linux es gratuito además de software libre).
  • No vale utilizar aplicaciones piratas de ofimática (Word, Excel y todas esas). 

(2) Los equipos utilizados deben tener deshabilitados los servicios que no sean necesarios

Traducido, eso significa, por ejemplo, que no vale tener el programa de Torrent de descarga de las películas instalado en el equipo desde el que se trabaja. (Aunque lo bajado sean copias legales de películas que ya se tienen, por supuesto)

(3) Los equipos utilizados deben tener una configuración por defecto de mínimos privilegios 

Traducido eso implicaría cosas como:

  • Ojo con las aplicaciones que se instalan en el equipo.
  • No deberían usar el equipo varios miembros de la familia. 

(4) Instalar únicamente las aplicaciones autorizadas por la organización:

Ya hemos dicho que el ordenador es personal, no el de la organización pero traducido sería:

  • No se puede tener el programa de descargas de Torrent en el mismo equipo de trabajo. 
  • Esos programillas bajados de Internet en el ordenador del trabajo pueden tener su peligro. 

(5) Contar con software antivirus actualizado:

La traducción de esto es que la licencia del antivirus que vino de regalo con el equipo hace 4 años, seguramente ya no sirva.

(6) Disponer de un cortafuegos local activado:

¿Corta quién? Pero si vivo en la ciudad no tengo ni un miserable bosque cerca, aquí no va a haber incendios.

(7) Tener activados solo las comunicaciones (wifi, bluetooth, NFC, …) y puertos (USB u otros) necesarios para llevar a cabo las tareas encomendadas.

Lo cual quiere decir desactivar el bluetooth y que no deberían entrar Pendrives por los puertos USB del equipo. 

(8) Incorporar mecanismos de cifrado de la información.

Ese pendrive que circula del colegio a casa y de casa al colegio, incluso aquella vez del robo de la cartera o el bolso, tiene que estar protegido mediante cifrado y contraseña. 

 

Yo veo bastante alejado el mapa del territorio. Precisamente al pensar eso, es cuando me he dado cuenta de que la frase tenía su utilidad después de todo. Pero tampoco vamos a tirar la toalla, empecemos por cosas aún más básicas.

 

(1) Correo del cole en el móvil personal

El correo corporativo del colegio está sincronizado en el móvil personal. Eso pasa. Es así.  Y en esos correos sincronizados hay información confidencial del colegio. Datos personales y, casi seguro, algunos sensibles. Empecemos por proteger ese móvil:

  • Contraseña al móvil: ya sea huella, patrón de desbloqueo o código. 
  • No prestar el móvil a nadie. 

(2) Uso de pendrives y otros dispositivos

Hay que evitar guardar datos personales en dispositivos externos (pendrives, discos duros, etc). 

Me impactó mucho en una implantación de protección de datos, cuando una persona me contó que había creído perder en el pasado un pendrive con información muy sensible de alumnos. Y contándolo, casi le vuelve a dar el ataque de pánico que le dio en el momento que lo perdió. Finalmente encontró el pendrive porque aquí cuento la historia con final feliz.

Es mejor no guardar información en dispositivos externos y, si no queda más remedio, siempre cifrados y con contraseña. 

(3) Contraseñas de los equipos y aplicaciones

Sé que esto da mucha pereza. Pero las contraseñas tienen que ser robustas. Esto quiere decir que mínimo de 6 a 8 caracteres y esos caracteres tienen que ser varidaditos. No vale “12345678”, o mira qué contraseña tan original “password” o “contraseña”. 

Contraseñas robustas y no la misma para todo. El equipo una contraseña, el correo electrónico otra y Educamos o la aplicación de gestión similar, otra contraseña. 

 

Y cambiar las contraseñas cada 5 años no es cambiarlas “cada poco”. Hay que actualizarlas. Empecemos cada tres meses, como el que empieza unas pocas sentadillas cada día. 

La contraseña es secreta. Así que no vale añadir “y sólo” después de afirmar que es una contraseña difícil de deducir. 

Si la frase “mi contraseña es difícil” lleva el añadido “y sólo la conocemos dos personas más”, vamos mal. La contraseña tiene que ser individual e intransferible y sólo debe conocerla una persona.

(4) Cerrar las sesiones en las aplicaciones

Si hay buenas contraseñas pero luego se queda la sesión de Educamos o del correo electrónico abierta en el equipo, hacemos mal negocio. 

Hay que acordarse siempre de cerrar la sesión 

(5) Incidencias

Comunicar al centro si ocurre alguna incidencia relacionada con datos personales. El colegio ha tenido que facilitar al personal el modo en el que comunicar esas incidencias cuando ocurren. Hay que utilizar esos mecanismos y comunicarlas al centro para ver qué remedios se pueden aplicar si ocurre algo. 

 

Siempre digo que en estas circunstancias de pandemia que vivimos los docentes son unas de mis superheroínas y superhéroes. Se han adaptado y lo han hecho muy bien, dadas las circunstancias. Y lo cierto es que cada vez noto más concienciación en la necesidad de proteger la información con la que trabajan. Espero que estas líneas puedan aportar algo más. 

Otro día profundizo en la parte de las fotos, las videoconferencias, la confidencialidad y otras cosas que pasan.

Comentarios

Entradas populares de este blog

Sobre estándares abiertos e interoperabilidad

Propiedad intelectual, cylons y vampiros

¿Tienen los vampiros derecho a la propia imagen?