Reduciendo el riesgo de ciberincidentes en el teletrabajo improvisado
Debido a la reciente pandemia, las organizaciones se encontraron repentinamente ante una situación de estrés, pánico y ausentismo masivo. Por ello, una de las medidas adoptadas para sobrevivir fue habilitar el trabajo remoto para muchos de sus empleados. Al momento, gran parte de las organizaciones lo hicieron como pudieron, de un día para el otro, sin ningún tipo de previsión.
Por esta razón, hoy se encuentran ante un gran desafío, ya que podrían haber descuidado aspectos importantes de la seguridad en el teletrabajo.
En esta circunstancia, uno de los desafíos es lograr que los usuarios puedan seguir accediendo a los recursos de la organización desde una conexión a Internet fuera de las oficinas, igualando las condiciones de seguridad que tienen dentro. Una de las soluciones más prácticas, que brinda el equilibrio ideal entre seguridad, rendimiento y asequibilidad, son las redes privadas virtuales (VPN).
Una VPN permite acceder a los recursos de la organización evitando la revelación y manipulación de la información que viaja a través de Internet (desde el sitio remoto hacia la organización y viceversa), como así también accesos no autorizados. Esto último es posible gracias al proceso de autenticación, en donde el sistema confirma la identidad del usuario.
Además, podemos mejorar la seguridad si la organización le facilita al teletrabajador un equipo corporativo (ej. portátil) que cuente con una serie de controles técnicos y el usuario, por su parte, se compromete a seguir unas buenas prácticas.
Consejos para la organización
Las soluciones técnicas de acceso remoto seguro (por ejemplo, VPN) pueden ser basadas en sistemas locales o en la Nube. Lo más habitual es implementar un sistema local de VPN con acceso directo a los propios equipos de los usuarios.
Algunos consejos para mejorar la seguridad en el acceso remoto
Realizar una implementación segura de la VPN (por ejemplo, elección del protocolo y algoritmo de cifrado adecuados, modo túnel en lugar de modo transporte, etc.).
Aplicar actualizaciones y parches de seguridad en los equipos de red, sobre todo en el que establece la VPN.
Validar la identidad del equipo de usuario remoto a través de un certificado digital.
Restringir las direcciones IP origen desde las que se permite originar las conexiones.
Implementar Doble Factor de Autenticación (2FA) en el acceso VPN.
Revisar las características de seguridad del equipo remoto, para garantizar que dispone de:
- Endpoint antimalware actualizado, configurado adecuadamente y programado para realizar análisis periódicos.
- Despliegue de actualizaciones y parches de seguridad periódico.
- Cifrado de disco para la protección de los datos en caso de robo o pérdida.
- Medidas para evitar el almacenamiento local de datos sensibles (ej. Endpoint DLP).
- Permiso de administrador local deshabilitado.
- Autenticación por usuario y contraseña segura, que puede ser forzada mediante un controlador de dominio. Evaluar incorporar un segundo factor de autenticación para equipos críticos que puedan almacenar información sensible.
Aplicar listas de acceso en el finalizador del túnel VPN (donde se hallan los recursos) para garantizar que el usuario sólo puede acceder a los servicios y aplicaciones específicas.
Restringir accesos y unidades en los equipos remotos (ej. dispositivos extraíbles).
Disponer de registros de auditoría de las conexiones (direcciones IP origen y destino, horario de inicio y fin y usuario) y revisarlos con frecuencia.
Realizar la inspección de tráfico generado en el túnel.
Limitar el ancho de banda y priorizar a los usuarios críticos.
Alertar sobre el Phishing y otros ataques dirigidos a los teletrabajadores, a través de un programa de formación y concienciación en seguridad de la información.
Consejos para los teletrabajadores, usuarios remotos
Nunca conectarse a redes públicas (tengan o no contraseña). Un atacante podría publicarla o estar conectada a ella para obtener nuestras credenciales y acceder a la información.
- Si nos conectamos desde casa, verificar que la red Wifi al menos se nos solicite una clave de acceso.
Desconectar el equipo de la red de la organización siempre que sea posible.
Ejemplo:
Conectarse a la VPN, descargar ficheros del servidor al escritorio, trabajar sobre ellos, volverse a conectar y cargar los archivos al servidor de la organización. El ejemplo es a modo ilustrativo, ya que cada organización debería definir sus políticas de trabajo remoto.
Almacenar la información de la organización en los directorios indicados por la organización donde se realicen copias de seguridad.
Hacer buen uso del equipo de usuario corporativo, evitando:
- Almacenamiento de archivos personales.
- Navegación web a sitios de entretenimiento o interés personal.
- Uso por parte de otros miembros de la familia.
No compartir credenciales de acceso al equipo con otros individuos. Si se hizo por error solicitar al administrador de sistemas un cambio de contraseña.
Bloquear el equipo siempre que quede desatendido.
- Al transportar el equipo de un lugar a otro, llevarlo en un bolso o funda y nunca perderlo de nuestro rango de visión.
Prevenir daños en el equipo: evitar dejarlo en el bode de un escritorio, protegerlo de la luz del sol, de altas temperaturas, etc.
Comunicar incidentes o comportamientos anómalos del equipo al administrador de sistemas por los canales apropiados.
Comentarios finales
Estas son algunas recomendaciones puntuales que servirán para ayudar al negocio a operar de manera segura en estas circunstancias. Más allá de eso, es sumamente necesario que las organizaciones incorporen formalmente el teletrabajo seguro, ya sea de forma regular o para
casos de fuerza mayor, a sus procesos mediante políticas, procedimientos y otro tipo de documentación. En esta instancia habrá que definir canales de comunicación transparentes y seguros con empleados y terceros (videoconferencias y reuniones virtuales), la habilitación de
canales de comunicaciones para reuniones mediante Internet, la actualización del listado de perfiles de personas que pueden teletrabajar, entre otras.