La implantación apresurada del teletrabajo ha puesto en riesgo a muchas empresas y algunas todavía no lo saben. La situación de emergencia derivada de la crisis sanitaria obligó a muchas empresas a convertir esta alternativa en la solución para poder ejercer su actividad. Aunque muchas de ellas pudieron reaccionar rápidamente, a otras les pilló desprevenidas, sin haber analizado en detalle los controles necesarios de privacidad y ciberseguridad requeridos por los sistemas de trabajo a distancia.
Para que los empleados puedan asumir sus tareas desde casa, la empresa les ha tenido que facilitar soluciones para acceder remotamente a sistemas de información corporativos y otros recursos, además de herramientas para interactuar y coordinarse entre ellos y sistemas para compartir y/o editar información de forma colaborativa. Este paradigma provoca riesgos y exposiciones para la seguridad de la información y datos que se manejan.
Entre las principales amenazas se encuentran el incremento en la superficie de exposición al tener que habilitar conexiones de forma remota, ya que el área perimetral de la red corporativa se extienda a las casas de los empleados; también el principio de mínimo privilegio seguramente ha tenido que ser modificado para permitir un tipo de acceso que antes no era necesario; la concurrencia masiva de usuarios puede ser aprovechada para robar credenciales y llevar a cabo escalado de privilegios, y la flexibilización en el marco de control de seguridad permitiendo al empleado utilizar equipos de su propiedad no supervisados y a menudo inseguros para conectarse a la red corporativa.
La solución pasa por adaptarse a los retos que presenta el nuevo método de trabajo, aplicando unas medidas se seguridad mínima. En primer lugar, es necesario contar con una cultura de teletrabajo, es decir, disponer de normas y políticas de uso de los sistemas de información. En este sentido, la Agencia Española de Protección de Datos recomienda definir una política específica para situaciones de movilidad que contemple las necesidades concretas y los riesgos particulares introducidos por el acceso a los recursos corporativos desde espacios que no están bajo el control de la organización. También ayuda en este sentido ejecutar actividades de concienciación y formación de empleados sobre el uso seguro de los sistemas de información en situación de movilidad y la utilización de las herramientas colaborativas.
BDO recomienda revisar las formas de acceso remoto permitidas, tipo de dispositivos válidos para cada forma de acceso y el nivel de acceso permitido en función de los perfiles de movilidad definidos, así como aplicar procesos de autenticación robustos y políticas de contraseñas a la red interna de grupo y a las aplicaciones de negocio accesibles desde Internet. Implementar una capa consistente de autenticación multifactor (MFA) o una autenticación progresiva según la criticidad de las solicitudes de acceso podrían ser opciones validas de control.
También es una buena medida de seguridad monitorizar los accesos realizados a la red corporativa desde el exterior: refinar la granularidad del monitoreo de seguridad y enriquecer el monitoreo en escenarios de operación remota y garantizar que las conexiones externas se efectúan de manera segura a través de VPN. Sin olvidarnos de adoptar controles frente a posible fuga de información: solución DLP, acceso limitado a servicios de almacenamiento en la nube, deshabilitación de puertos USB, etc.
En lo que a seguridad de los equipos profesionales y personales se refiere, es recomendable establecer requerimientos mínimos de seguridad y llegar a acuerdos con los empleados que definan las responsabilidades mutuas de las partes antes de conectar los dispositivos propiedad de los empleados a la red y sistemas de la empresa.
Y en cuanto al uso de herramientas de colaboración, se deben seleccionar únicamente soluciones confiables y con garantías y establecer requerimientos mínimos de seguridad en la configuración por defecto para interactuar, compartir y/o editar información de forma colaborativa. Además, es necesario formar a todos los empleados sobre los pasos específicos que deben seguir en el software de reuniones para garantizar que sus conferencias sean seguras.
En opinión de Roger Pérez, experto del área de Risk Advisory de BDO, »se deberían revisar las formas de acceso remoto permitidas, los tipos de dispositivos válidos para cada forma de acceso y el nivel de acceso en función de los perfiles de movilidad definidos, así como aplicar procesos de autenticación robustos y políticas de contraseñas de acceso a la red interna de grupo y a las aplicaciones de negocio accesibles desde Internet».
En definitiva, las organizaciones necesitan ajustar sus procesos actuales para poder ejecutar la mayor parte de sus operaciones en remoto. En respuesta a este cambio de modelo, deben revisar los controles de seguridad de la información y actualizar las configuraciones correspondientes. Es imprescindible si no quieren ser víctimas de un incidente que ponga en riesgo su continuidad. En estos momentos de cambios e incertidumbre, la actividad empresarial y profesional debe continuar siempre y cuando se garantice un entorno seguro y eficaz.
Los comentarios están cerrados.