Mucho se ha escrito sobre la seguridad de la información en el entorno del teletrabajo y más en estos días debido al coronavirus SARS-CoV-2 (popularmente conocido como Covid-19). Desde Sothis queremos plantear cuáles son los riesgos más genéricos y cómo combatirlos, así como unas pautas generales para poder trabajar con un mínimo de seguridad de forma remota.
El teletrabajo, como parte de la transformación digital, es algo que las empresas han ido incorporando como un mecanismo laboral adicional que les permite ser más eficientes, a la vez que pueden contribuir al balance profesional/personal y a una reducción significativa de la huella de carbono. Para ello el uso de tecnologías que permiten virtualizar cualquier entorno de trabajo resultan útiles para su incorporación en el catálogo de servicios TI de las organizaciones modernas. Entre ellas podemos mencionar escritorios virtuales en la nube, o en en entornos híbridos, que pueden ser desplegados de una forma ágil, rápida y eficiente.
En las circunstancias actuales, es importante saber que se pueden contar con mecanismos de control y despliegue de entornos virtuales que permitan a aquellas organizaciones, o personas dentro de ellas, que no han adoptado todavía esta forma de trabajo, el poder seguir realizando su labor profesional con garantías de calidad y seguridad.
Esto supone, entre otras cosas, poder tener:
- Despliegues rápidos de puestos de trabajo virtuales.
- Herramientas de colaboración.
- Seguridad de la información.
- Administración y soporte centralizado.
Dado que en el escenario actual, en el cual está limitada la movilidad y las recomendaciones generales son las de no abandonar la residencia, la mayoría de las empresas se han visto forzadas a implantar el teletrabajo para todo aquel empleado que no requiera su presencia física en las instalaciones de la empresa.
Riesgos asociados al teletrabajo
Esto trae consigo una serie de riesgos asociados al teletrabajo, que se podrían resumir en:
- Exposición directa de servicios a Internet.
Publicación de servicios a Internet. Según diversas fuentes, el viernes 13 de marzo se publicaron en España mas de 300 nuevos servicios RDP (Remote Desktop Protocol) de los cuales al menos cien eran vulnerables.
- Publicación de acceso a redes.
Publicación en intranets a Internet directamente, publicación de accesos a Citrix directos, accesos de VPN poco seguras.
- Uso de dispositivos remotos inseguros.
Muchas empresas no tenían la posibilidad de dotar a todos sus empleados de ordenador portátil y han optado por usar los equipos de los propios empleados implantando BYOD (Bring your own device, “trae tu propio dispositivo” en inglés), sin política de uso, ni medidas de seguridad. Sistemas operativos desactualizados, piratas, sin protección del dispositivo, con malware residente, entre otros problemas.
- Dimensionamiento insuficiente de la plataforma de acceso.
Plataformas diseñadas para una capacidad inferior a la requerida en este momento.
- Descuidos del usuario en el uso de la herramientas.
No estando acostumbrado a usar herramientas de colaboración en cloud el usuario por descuido o desconocimiento puede compartir información sensible con terceros.
- Falta de políticas claras de uso.
Es importante destacar que en estas circunstancias, y con la adopción de un medida urgente de teletrabajo, uno de los mayores riesgos para la seguridad de la información es el propio usuario y su falta de formación en este tipo de entorno. Ya que para la mayoría de estos es un nuevo entorno de trabajo y no saben como utilizar las funcionalidades disponibles, qué pueden hacer y qué no.
Por ello, uno de los primeros pasos que debe dar cualquier organización es informar a las personas de sus funciones y obligaciones, para que estos sean conscientes de los posibles riesgos que el teletrabajo conlleva. También proporcionar formación sobre la gestión de las conexiones seguras y las operaciones necesarias para llevar a cabo su trabajo.
Un ejemplo puede ser el de las políticas de uso de herramientas, con el fin de garantizar la seguridad de todo el entorno.
Por otra parte, dentro de dichas políticas se deberán establecer claramente las responsabilidades de las personas. Específicamente en lo referente al control de acceso a la red, al sistema o a la aplicación que requiera para trabajar, así como al cuidado del equipo que vaya a utilizar, no dejándolo en cualquier sitio, bloqueando o cerrando siempre la sesión y evitando que alguien desconocido pueda observar lo que se está haciendo.
De no tomar estas medidas, cualquier persona ajena que tenga acceso al equipo, por mucho que la información contenida en él esté asegurada y cifrada, podrá romper esa seguridad y hacerse con el control de la información. Incluso podrá conectarse a la red interna de la empresa con las consecuencias que ello conlleva. Podrá obtener las credenciales del personal para hacerse pasar por parte de la empresa y tomar el control de los sistemas y aplicaciones de la organización.
Aunque el teletrabajo sea una forma de trabajar novedosa y productiva para las personas, estas deben concienciarse de los riesgos y peligros que supone trabajar a distancia para que tomen las medidas preventivas necesarias. Solo así será posible disfrutar de esta opción de trabajo, que en las circunstancias actuales se hace mucho más necesaria.
Medidas que recomendamos implantar
- Política: definir e implantar una política de buen uso del teletrabajo.
- Parcheo: tener implantada la última versión de todos los sistemas es un elemento vital de la seguridad.
- Implantación correcta: implantar solo las herramientas colaborativas que sean necesarias y que conozcan sus trabajadores y que sean necesarias para facilitar la comunicación y la gestión de proyectos.
- Sincronización: si la información que utiliza el empleado está en los equipos locales, debería dotarse de algún sistema para sincronizar o respaldar la misma en algún sistema centralizado (nube o propio). De esa manera no se perderá información.
- Cifrado en las comunicaciones: las conexiones en el ámbito del teletrabajo deben ser seguras. Para ello es recomendable usar VPN o servicios seguros SSL.
- Seguridad local en dispositivos:
-
- Es imprescindible que los dispositivos que se usan en las residencias de las personas se encuentren cifrados para protegerlos en caso de pérdida o robo. (No tiene coste, los SO ya lo incorporan tanto para desktop como para móviles).
- Una solución antimalware/antivirus que garantice la protección del equipo.
-
- Securizar el entorno de acceso:
-
- Implantar usuarios nominales. Es necesario saber quién entra realmente al sistema.
- Activar las auditorías de sistemas para saber quién accede a nuestro entorno y qué es lo que hace.
- Activar si es posible el multifactor de autentificación, donde hay algo que sabes (la contraseña) y se combina con algo que tienes (el teléfono móvil, por ejemplo).
-