Uno de los pocos beneficios que ha traído esta pandemia que venimos sufriendo desde principios de este año 2020 es el uso y el aumento del teletrabajo o trabajo a distancia y que ha llegado incluso a regularizarse a través de un Real Decreto – Ley (BOE).
Pero ¿a qué riesgos o amenazas se enfrentan las empresas que proporcionan, muchas veces de manera rápida y forzada, este método de acceso a sus sistemas y a su información? ¿Qué medidas de seguridad debe implantar la empresa para tener un teletrabajo seguro? ¿Con qué medidas de seguridad deben contar los dispositivos de acceso remoto de los usuarios para mitigar los principales riesgos de ciberseguridad?
Riesgos de Seguridad de la Información
Independientemente del método de acceso, remoto o desde las propias instalaciones de una empresa, el objetivo de seguridad más importante que toda compañía persigue es proteger su principal activo, la información, y para ello se implantan infinitud de medidas y controles de seguridad; medidas que pueden ser de tipo organizativo, procedimental, técnico e incluso regulatorios o impuestos por organismos o terceros.
Si estas medidas de seguridad, también llamadas salvaguardas o contramedidas, no se implantan en su totalidad o no de una manera eficiente y eficaz, la probabilidad de que los riesgos o amenazas de seguridad se materialicen sobre los sistemas de información de una organización aumenta. Así, entre las principales amenazas a las que se encuentran sometidas las empresas al proporcionar acceso a su información de manera remota cabría destacar:
- Infección por malware. El permitir el acceso remoto a través de dispositivos personales aumenta el riesgo de propagación de malware si dichos dispositivos se encuentran infectados por su uso personal (uso del correo electrónico, acceso a redes sociales y páginas web libremente, descarga de archivos, etc.).
- Acceso desde redes o entornos no seguros. El acceso utilizando redes públicas o no securizadas para conectarse a la organización, aumenta la probabilidad de que los ciberdelincuentes accedan a la información de los dispositivos y acceder así al ámbito corporativo.
- Ausencia de medidas de seguridad física. El uso de dispositivos fuera de la organización (hogar, hoteles, etc.) o incluso accedidos por terceras personas (familiares, por ejemplo) aumenta el riesgo de pérdida o robo.
Medidas de seguridad de la información en el teletrabajo para las organizaciones
Desde el punto de vista de la empresa, el número de medidas de seguridad que ésta podría imponer o exigir a la hora de acceder remotamente a sus sistemas de información sería muy elevado, sin embargo se mencionan aquí unas medidas de seguridad básicas y mínimas que deberían implementarse:
- Establecer mecanismos seguros de conexión remota a los sistemas de información de la organización: uso de VPN (Virtual Private Network) para garantizar la integridad y la confidencialidad de la información estableciendo un canal de comunicación dedicado, junto con el uso de contraseñas robustas y complejas y de doble factor de autenticación, si es posible.
- Securizar los servidores de acceso remoto, manteniéndolos actualizados y dedicados para dicho cometido, posicionándolos en el perímetro de la red de la organización y aplicando autenticación mutua para verificar la legitimación de ambos extremos, usuario remoto y servidor, incluyendo además un chequeo de configuración de seguridad antes de conceder el acceso (antivirus, sistema operativo actualizado, etc.).
- Establecer límites de acceso. Los usuarios remotos tendrán única y exclusivamente acceso a los recursos y sistemas de información que necesiten para desempeñar sus funcionales laborales estableciéndose ventanas de acceso según la criticidad del sistema a acceder.
- Exigir configuraciones de seguridad a los dispositivos que se conectarán al entorno corporativo. Tanto si la conexión se realiza desde dispositivos proporcionados por la empresa, como si son aportados por el empleado, deben requerirse unas herramientas o soluciones mínimas de seguridad en dichos dispositivos (antivirus, sistema operativo actualizado en cuanto a versión y parches de seguridad, cifrado de datos, etc.).
- Reforzar la seguridad de las herramientas que permiten trabajar colaborativamente entre empleados (reuniones, videollamadas, etc.) de manera que las comunicaciones se realicen solo utilizando software corporativo, no permitiéndose aplicaciones gratuitas, se realicen con usuarios autorizados o formen parte de listas de contactos, se requiera autorización para acceder, así como permitan el cifrado de la información tratada en ellas garantizando su integridad y confidencialidad.
- Revisar de manera exhaustiva los procedimientos de copias de seguridad y de manera específica verificar que los procedimientos de restauración de datos se encuentran actualizados.
- Y, por último, sentar las bases del teletrabajo a nivel organizativo y corporativo. Elaborando una normativa o política de teletrabajo que estipule el uso aceptable de dispositivos móviles, los usos no permitidos, incluyendo procedimientos formales de solicitud y autorización del teletrabajo y estableciendo puntos de contacto para asistencia técnica y notificación de incidentes de seguridad asociados al teletrabajo, entre otros aspectos.
Medidas de seguridad de la información para los dispositivos de acceso remoto
En general, los dispositivos de teletrabajo deben contar como mínimo con las mismas medidas de seguridad que si estuvieran físicamente en la empresa, sin embargo es recomendable establecer controles de seguridad adicionales para reforzar aún más la seguridad de la información utilizando estos medios:
- Proporcionar dispositivos ya configurados y securizados, debidamente gestionados tanto a nivel de dispositivo como a nivel de las aplicaciones que pueden utilizarse en ellos (uso de soluciones MDM Mobile Device Management y MAM Mobile Application Management).
- Control de acceso al dispositivo, configurando el desbloqueo de los terminales móviles preferiblemente con factor biométrico (huella, iris, facción) o bien con contraseña compleja, robusta y forzando el bloqueo o cierre de sesión por inactividad.
- Dotar a los dispositivos de soluciones de cifrado para proteger la información almacenada, de herramientas de detección de modificaciones de restricciones del fabricante y posibilidad de limitar ciertos protocolos y configuraciones de redes inalámbricas inseguras.
- Garantizar que las aplicaciones de seguridad de los dispositivos se mantienen actualizadas (cortafuegos, antivirus, antimalware, etc.), exigiendo en el caso de dispositivos personales actualizaciones automáticas.
Sin duda, en el contexto actual, el teletrabajo se está implantando con fuerza y rapidez en las empresas. Con las medidas de seguridad de la información que hemos abordado, el teletrabajo, además de facilitar la labor profesional a distancia de las empresas, se configura también como un entorno seguro para evitar ataques de ciberseguridad y de fuga de información.
