Retos de seguridad en la “oficina en casa”

Muchas empresas se olvidan de controlar la seguridad de sus teletrabajadores

3963134342_d008d3aea6_o

 

El teletrabajo se anticipó décadas al fenómeno BYOD. A pesar de que algunas corporaciones se mueven en sentido contrario, la gran mayoría están reduciendo sus espacios de oficinas y abriendo a sus empleados la posibilidad de trabajar desde casa. Los empleados valoran la flexibilidad y el ahorro en desplazamientos, mientras que la empresa valora la reducción en costes operativos y mayor productividad por parte de los empleados. Incluso las empresas que no fomentan el teletrabajo tienen empleados que trabajan a distancia, sea por viajes, cuidado de un familiar enfermo, o simplemente para aprovechar el tiempo.

De acuerdo con Gartner, el equipo de escritorio no está muerto. Del 40% de los encuestados que afirmaron utilizar dispositivos personales para el trabajo, el dispositivo más común era un PC de escritorio, presumiblemente para su uso en el hogar.

Demos un paso atrás y pensemos en lo que realmente implica tener la oficina en casa. Para algunos, es claramente un espacio en el hogar, muy posiblemente ocupado por un ordenador de sobremesa descartado para su uso por otros miembros de la familia que utilizan sus tabletas y smartphones. Para otros, puede ser un escritorio en la biblioteca local o en un cómodo sillón en su casa accesible a toda la familia. En el mundo móvil en el que nos encontramos, nuestra “oficina en el hogar”, literalmente, puede estar en cualquier localización que no sea propiedad de la empresa.

Lo que esto significa es que “asegurar la oficina en casa” implica aplicar un enfoque holístico a la seguridad del endpoint y del acceso remoto, en lugar de dar por supuesto que los empleados disponen en su casa de una seguridad mejor que WEP en sus routers inalámbricos. Estas son algunas de las mejores prácticas para la creación de entornos de trabajo remotos seguros, dondequiera que estén:

  1. Utilizar una VPN

No importa cómo el empleado accede a los recursos corporativos, si lo hace a través de un túnel VPN correctamente implementado, el flujo de información está asegurado. Hay incluso VPNs as a service para asegurar las sesiones móviles a través de una red WiFi pública, pero la implementación de VPNs bajo control corporativo es fácil, rentable, y en última instancia, más seguro que confiar en las VPN de una nube pública.

  1. Forzar la instalación antivirus y actualizaciones de seguridad

La utilización de varias capas de seguridad es fundamental para garantizar su eficacia, tanto dentro de las redes corporativas como fuera de ellas. Al mismo tiempo, puede ser difícil pedir a los usuarios que se protejan a sí mismos o a las redes corporativas. Ejecutar las actualizaciones de antivirus y los parches del sistema operativo no suele considerarse una prioridad, por lo que es imperativo que se implementen servicios que obliguen a los teletrabajadores a cumplir las actualizaciones automáticas de clientes fuera de las redes corporativas.

  1. Evitar el uso de almacenamiento en la nube

Los productos de almacenamiento en la nube, como Dropbox y Google Drive, se han vuelto más completos y fáciles de usar, por lo que es muy tentador para los usuarios cargar archivos de trabajo en la nube, junto a recetas y fotos de las vacaciones. Por desgracia, cuando los empleados dejan la empresa, no hay manera de que ésta se asegure que los activos corporativos no se quedan en el ordenador de casa del ex-empleado. Impedir el acceso a estos servicios mientras los empleados están conectados a la red de la empresa, proporciona una capa de protección y control, por no hablar de que contribuye al cumplimiento de las normativas que aplican a determinadas empresas.

  1. Impedir el uso de dispositivos de almacenamiento externos

Si los usuarios no pueden subir sus archivos a su cuenta personal de almacenamiento en la nube, tendrán la tentación de guardarlas en las unidades flash u otros medios extraíbles para acceder a ellos desde casa. Son conocidas las vulnerabilidades de este tipo de dispositivos por lo que son una opción peligrosa. ¿La solución? Proporcionar herramientas de grado empresarial para la sincronización, compartición segura de archivos y colaboración empresarial para disipar cualquier tentación de usar otro almacenamiento alternativo.

  1. Siempre que sea posible, asegurar el entorno

Si bien no es posible ir a la casa de cada usuario para desplegar un punto de acceso y gestionarlo de manera centralizada,  aplicando una configuración de seguridad optimizada, sí es posible requerir a los teletrabajadores que apliquen un sistema de cifrado en sus routers domésticos; incluso si eso significa reconfigurarlos u ofrecer puntos de acceso 4G con descuento para empleados (que utilicen cifrado por defecto), tiene sentido tomar medidas para garantizar un determinado grado de seguridad en las redes domésticas.

  1. La seguridad comienza por la concienciación

Los profesionales de la seguridad y los hackers no han nacido con experiencia en seguridad y redes – ¿por qué deberíamos esperar que los empleados sean, automáticamente, lo suficientemente inteligentes como para evitar la última campaña de phishing o un malware?

Por desgracia, ésta es la mentalidad de muchas organizaciones, la mayoría de los cuales confían en los firewalls, sistemas de prevención de intrusiones y software antimalware para proteger sus redes, pero ignoran el eslabón débil real en la cadena de seguridad: los usuarios. Incluso las grandes organizaciones con fuertes medidas de seguridad han sido vulneradas por usuarios que fueron engañados y dieron a conocer las credenciales de acceso o introdujeron involuntariamente un malware en la red.

  1. Establecer una correcta política de seguridad

Es una consideración importante. Aunque parece algo muy evidente, en una investigación  reciente de Fortinet se concluye que una gran cantidad de organizaciones no tienen políticas escritas sobre el uso los dispositivos personales, Teletrabajo, o el acceso remoto a las redes y activos de la empresa. Tal vez esta recomendación debería haber estado en el primer lugar – bien pensado, las políticas de seguridad y los empleados son la piedra angular de una buena seguridad. Para implementar una correcta política de uso de la tecnología, las empresas necesitan de una política de seguridad subyacente.

 

José Luis Laguna, SE Manager en Fortinet Iberia

 

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *