Al paso de esta primera semana de confinamiento obligatorio, la sociedad estamos aprendiendo un nuevo modelo laboral. Dicho modelo requiere de disciplina y hábitos para contar con beneficios como la flexibilidad, incrementar nuestra productividad y disfrutar de nuestros seres queridos un mayor tiempo.
Pero….
¿Estamos realizando el Trabajo Remoto de forma segura?
Escribimos este blog para hablar de lo que encontramos sobre este tema que nos compete hoy, más que nunca.
Empezaremos con la opinión de 250 líderes de TI expresada en un estudio realizado por la empresa Open VPN, en el 2019. El 90% de los encuestados considera que los trabajadores remotos no se encuentran seguros.
De los encuestados con un nivel de VP o C- Suite, el 73% de ellos consideran que los trabajadores remotos corren un mayor riesgo los trabajadores que asisten a las oficinas.
¿Cuales son los mayores riesgos asociados al trabajo remoto?
Debemos entender que hay ciertos riesgos que el negocio y su área de TI debe considerar y atender. El modelo de trabajo debe considerar que probablemente los colaboradores trabajen remotamente desde sus casas o se encuentren viajando constantemente por lo que cambiarán su ubicación.
Tenemos tres malos hábitos que tu área de TI debe de considerar:
1. Manejo de información sensible a través de una red de WI-FI insegura
Los usuarios muchas veces no consideramos la importancia de no conectarnos a redes públicas y manejar información sensible. Se han encontrado casos frecuentes donde hackers se ubican en espacios públicos y tienen la capacidad de espiar la conexión y obtener información confidencial. La mayoría de los casos, la información es enviada sin encriptar, en texto plano por lo que es muy fácil de interceptar y robar. De aquí la importancia de la utilización de conexiones VPN.
2. Uso de dispositivos personales para el trabajo
Esta es una práctica muy común la cual abre un gran riesgo para las organizaciones. La organización, el colaborador y el área de TI debe estar consientes de la importancia de prohibir esta práctica. El mayor riesgo de esta actividad viene cuando el colaborador deja la organización y se queda con información sensible.
Lo más probable es que él colaborador no actualice los parches de su sistema operativo o aplicaciones por lo que se encuentra totalmente vulnerable y expuesto. Esto abre la oportunidad de entrar a su dispositivo y robar información sensible
Queda por demás decir que usar dispositivos personales complica totalmente el control del dispositivo y la información tratada ahí. Recomendamos dejar claramente estipulado en sus políticas que se penara este tipo de prácticas.
3. Considerar la seguridad física de los dispositivos en espacios públicos
Comúnmente en el modelo de trabajo remoto se tiene una preocupación constante por la integridad de los dispositivos móviles de la organización. Ya que regularmente el colaborador buscara un café internet o algún lugar fuera de su casa para poder laborar. En estos espacios públicos o en los traslados a ellos, suceden robos, perdidas u olvidos que elevan el riesgo de la información contenida en ellas.
Es por esto que se debe considerar seguros financieros que cubran el costo de los equipos, también recomendamos contar con ciertos candados físicos los cuales pueden atarse a la laptop. Como sabemos, una gran cantidad de incidentes no podemos evitarlos y sucederán, por lo que recomendamos contar siempre con algún software que ayude a encriptar la información.
En estos días donde no salimos de casa la integridad de los equipo se ve en riesgo al trabajar con líquidos en las mesas. El descuido de los equipos y que llegue algún niño o perro y puedan romperlos. Debido a todo esto te recomendamos siempre contar con un espacio de trabajo definido. En cada descanso y al terminar el día tener una rutina donde sepamos colocar nuestros dispositivos lejos de todo riesgo.
¿Las empresas tienen pasos claros para mitigar los riesgos?
La empresa debe contar con un documento de “Políticas de trabajo remoto” donde se determine la tecnología, aplicaciones y accesos autorizados a los usuarios. Dicho documento debe ser continuamente revisado y actualizado, según el reporte de Open VPN hay un gran riesgo debido a que el 24% de las empresas revisan este documento cada año o más.
De misma forma encontramos un dato curioso donde un 44 % de los encuestados aseguran que su organización no le permiten a los equipos de TI tomar el liderazgo en la entrega de las políticas de seguridad.
Pasos para realizar plan para realizar el trabajo remoto.
Con toda esta adversidad, nuestra recomendación es iniciar con una política de seguridad específicamente diseñada para los trabajadores remotos. Listamos algunos puntos que debes de considerar en su elaboración:
1. Generación de políticas de seguridad para trabajo remoto.
Cada set de políticas es muy diversa y cambiante según el negocio lo requiera. Les recomendamos no dejar de lado los siguientes puntos:
- Validar que los controles existentes se encuentren actualizados.
- Verificar capacidades de borrado y bloqueo remoto de los dispositivos.
- Establecer listado de equipos con cifrado y prevención de fugas de la información.
- Establecer Backuips de la operación.
- Definición de actividades permitidas con conexiones no seguras.
- Prohibir el BYOD. Prohibir manejar información del trabajo en equipos personales.
También revisar el cumplimiento de los siguientes controles.
2. Tener bien definido las posiciones que son aplicables al trabajo remoto y las actividades asociadas a ellos.
Se debe saber exactamente qué colaboradores el negocio les permite trabajar de forma remota. A su vez se deberá de saber si el colaborador cuenta con dispositivos móviles para realizar su trabajo asi como las facilidades en su hogar para realizarlo (internet suficiente y espacio)
- Validar que los controles existentes se encuentren actualizados.
- Verificar capacidades de borrado y bloqueo remoto de los dispositivos.
- Establecer listado de equipos con cifrado y prevención de fugas de la información.
- Establecer Backuips de la operación.
- Definición de actividades permitidas con conexiones no seguras.
- Prohibir el BYOD. Prohibir manejar información del trabajo en equipos personales.
3. Listar el conjunto de herramientas y plataformas que se deben de usar
Se debe realizar una lista de las herramientas que recomendamos tener para poder mitigar los riesgos del trabajo remoto. Vemos conveniente contar con la mayor cantidad de ellas.
4. Escaneo de vulnerabilidades
Se debe de escanear tu computadora y saber qué huecos de seguridad tiene.
5. Autenticación de multiple factor
Los colaboradores que requieran entrar a la organización mediante VPN es muy recomendable realizar 2 autenticaciones como lo realizas hoy en día en el banco.
6. Administrador de password.
La persona deberá de contar con un sistema de administración de passwords con la finalidad de no poner la misma contraseña para todo. Si el colaborador labora con servidores críticos y aplicaciones de alta criticidad se recomienda tener un PAM (Privileged Access Management).
7. Utilización de VPN.
Con la VPN logramos cifrar la información entre el hogar y la organización por lo que la información viaja de forma segura.
8. Firewall
Limitar lo accesos remotos únicamente a los servicios permitidos y a zonas aisladas en la red.
9. EDR o Antivirus
Aunque son 2 soluciones diferentes se recomienda tener por lo menos el antivirus. Es importante contar con alguno de ellos.
10. Cifrado de información sensible.
Cifrar la información de la laptop o computadora es muy recomendable cuando hay movilidad y riesgo de robo de la información. Si el colaborador no se traslada y va a regresar a su modelo de operación tradicional en oficina esta puede esperar.
11. Web filtering
Es prioritario contar con un buen filtrado de URLs para poder reducir el riesgo de ataque.
12. DLP (Data Loss Prevention)
Recomendamos tener este tipo de soluciones principalmente a usuarios que usan información crítica.
13. Brindar capacitación a los usuarios sobre la cyberseguridad.
Considera mandar mensajes constantes a tus usuarios sobre los riesgos asociados en los que participan.
Dentro de la capacitación que se le debe de dar a los usuarios recomendamos los siguientes temas:
- Tipos de ataques más comunes para el trabajo remoto.
- Pasos a seguir cuando haya indicios de que su equipo o información se encuentra comprometida.
- Explicación de la VPN y su importancia.
Recomendamos brindar esta capacitación de cyberseguriad por lo menos 2 veces al año.
Conclusión
La información a considerar para el trabajo remoto creemos es clara y son principios. No desesperes sabemos que esta información abre muchos temas para enseñar, te recomendamos seguirnos y hablaremos de cada uno de ellos de una forma tan sencilla que hasta mi abuela podría entenderlo.
Esta situación sanitaria, hablando de negocios, nos dejará una desafío económico a nivel mundial, así como aprendizaje sobre nuevos modelos de operación y nuevos negocios. Los líderes empresariales deberán de desarrollar la creatividad suficiente para encontrar estos caminos y evaluar si estos modelos son viables para cuando la crisis sanitaria pase.