El teletrabajo o trabajo remoto fue una de las tantas nuevas posibilidades que la tecnología habilitó; los colaboradores se sienten más cómodos, evitan viajar en horas pico y administran mejor su tiempo, mientras que los empleadores reducen costos de infraestructura.
Naturalmente, como en cualquier otra actividad que involucre equipos conectados a Internet, hay ciertas medidas a tener en cuenta para garantizar un trabajo remoto seguro y evitar ataques, pérdida o fuga de información.
Todo lo relacionado con los equipos de trabajo, la responsabilidad y los costos debe estar definido claramente antes de implementar un formato de teletrabajo. ¿Se usarán dispositivos personales o la compañía los proporcionará? ¿Habrá un soporte técnico adecuado para resolver problemas de acceso y seguridad? ¿Quiénes podrán acceder a qué información?
Estas y muchas otras preguntas se responden en nuestra guía gratuita de teletrabajo:
De todas formas, a continuación extraemos una interesante sección de la guía, que resume los siete pilares para un trabajo remoto seguro.
1. Gestión de roles
La información solo debe ser accesible para los perfiles de usuario que realmente necesitan visualizarla y modificarla. Para el resto, debería estar restringida.
A tal fin, se deben establecer las responsabilidades de acuerdo a los objetivos planteados. Aspectos como el control de las tecnologías, la realización de copias de seguridad (backup) o los procesos de recuperación son algunas de las tareas que deben tener un ejecutor y momento definido.
2. Control de dispositivos
Teniendo en cuenta la amplia variedad de dispositivos en el mercado, es importante restringir el acceso solamente a aquellos en los cuales se aplican las herramientas de seguridad adecuadas.
Por ejemplo, no es lo mismo que un empleado acceda desde su computadora personal con un sistema operativo actualizado y con una solución de seguridad instalada, a que lo haga desde una tablet desactualizada, sin protección y que también utiliza su hijo para jugar y descargar aplicaciones.
3. Protección contra códigos maliciosos
Para garantizar que los datos no sean afectados por códigos maliciosos, todos los dispositivos utilizados por el empleado deben contar con soluciones de seguridad que detecten proactivamente este tipo de amenazas.
Si el dispositivo desde el cual accede no es propiedad de la empresa y, además, no se utilizan entornos virtualizados, los riesgos de sufrir una infección son más altos.
Además, es necesario que todas las aplicaciones estén actualizadas, para evitar la explotación de vulnerabilidades que pueda dar lugar a brechas de seguridad.
4. Monitoreo del tráfico de red
Dado que hay dispositivos que están ingresando a la red por fuera del perímetro físico de la oficina, es necesario hacer un seguimiento de qué tipo de tráfico generan. Por ejemplo, a dónde tratan de acceder, si hay intentos recurrentes y fallidos de ingreso a servidores o si generan algún tipo de tráfico inapropiado, como la descarga de archivos desconocidos.
5. Conexiones seguras
Una VPN (Virtual Private Network) es una tecnología de red que se utiliza para conectar una o más computadoras a una red privada utilizando Internet, de manera que el acceso remoto a los recursos corporativos sea seguro.
Para teletrabajo, la implementación de conexiones VPN basadas en el cliente es lo más conveniente, ya que permiten tener conectado un usuario a una red remota, a través de una aplicación que se encarga de entablar la comunicación y levantar la VPN.
Para acceder a la conexión segura, el usuario debe ejecutar la aplicación y autenticarse con un nombre de usuario y contraseña, e incluso agregar un segundo factor de autenticación. De esta manera se crea el canal cifrado entre el equipo y la red remota, para un intercambio seguro de datos.
6. Redacción de una política de seguridad
Aquí se determinan las obligaciones y responsabilidades de los usuarios respecto al uso de las tecnologías que tienen a su disposición.
Esta política debe definir el tipo de acciones que se pueden hacer y quién está habilitado a ejecutarlas. No es lo mismo tratar de modificar una base de datos por fuera de empresa, que hacer consultas e informes.
Cada política es propia de la realidad de la organización y del alcance establecido para los empleados que hacen parte del teletrabajo. No obstante, se debe partir de un reconocimiento de los activos de información, ya que no se puede controlar aquello de lo cual no se conoce su estado.
Para más información, lee estas consideraciones para el desarrollo o actualización de políticas.
7. Concientización de los empleados
La educación debe ser un pilar importante para que todos los usuarios sean conscientes de los riesgos a los cuales pueden verse expuestos y cuáles son los cuidados que deben tener al ingresar dispositivos ajenos a la compañía.
Las personas deben entender que así estén por fuera de la oficina, el dispositivo desde el cual trabajan es una puerta a toda la organización, por lo que deben garantizar un uso adecuado.
Fuente:https://www.welivesecurity.com/la-es/2017/05/30/pilares-trabajo-remoto-seguro/
Entusiasta de la seguridad cibernética. Especialista en seguridad de la información, actualmente trabajando como especialista en infraestructura de riesgos e investigador.
Experiencia en procesos de riesgo y control, soporte de auditoría de seguridad, diseño y soporte de COB (continuidad del negocio), gestión de grupos de trabajo y estándares de seguridad de la información.
Envía tips de noticias a info@noticiasseguridad.com o www.instagram.com/iicsorg/.
También puedes encontrarnos en Telegram www.t.me/noticiasciberseguridad
