Para muchas empresas, que aún están adaptándose a esta nueva situación de trabajo, la política de teletrabajo está recién sacada del horno. Esta checklist contiene algunos puntos clave a tener en cuenta a la hora de implementar el teletrabajo desde el punto de vista de la securización.
Previamente, es indispensable analizar cómo trabaja vuestra organización y a qué deben tener acceso los empleados que teletrabajan.
Lo básico – 7 medidas de seguridad esenciales
- Una política estructurada para el teletrabajo que cumpla con el principio de mínimo privilegio para limitar el acceso o funcionalidades de los distintos usuarios.
- Los principios de mínimo privilegio deben extenderse a datos y sistemas, que pueden requerir una reconfiguración de soluciones de acceso remoto.
- Desplegar autenticación de múltiples factores (AMF) para todos los accesos remotos.
- Cifrar dispositivos cliente para proteger comunicaciones y datos almacenados.
- Parchear, parchear, parchear.
- La seguridad de endpoints en PCs, portátiles, smartphones y tablets.
- Debe realizarse una evaluación de riesgo. También debería hacerse un DPIA (Data Protection Impact Assessment), puesto que con el teletrabajo aparecen nuevos riesgos relacionados con el acceso y gestión en remoto de datos personales.
Checklist de seguridad
▢ Definir cómo proveer el acceso remoto seguro
Por ejemplo, vía VPN (IPSec o SSL VPN), Acceso Directo, basado en portal (SSL VPN) o acceso por escritorio remoto*. Asegurad que la infraestructura que lo soporta es la adecuada para gestionar la demanda (por ejemplo, ancho de banda o temas de licencia).
* Nota: el escritorio remoto debe ser publicado en internet de forma segura.
▢ Analizar usuarios, tareas y accesos
Solo debe darse acceso a sistemas y datos a aquellos usuarios que deban acceder a ellos para realizar sus tareas. Una solución de acceso remoto bien configurada y segura debe ofrecer al usuario el mismo acceso que si estuviera en la red interna.
▢ Implementar una solución de acceso remoto bien configurada
Es importante que la solución de acceso remoto ofrezca suficiente granularidad para ayudar a restringir el acceso del usuario a datos y sistemas. Una solución mal configurada puede dar más acceso del debido a los usuarios remotos.
▢ Evaluar la deshabilitación de split-tunnelling donde se utilizan soluciones de acceso remoto.
El split tunnelling habilita la conexión para que solo el tráfico de recursos corporativos pase por la conexión remota, mientras que el resto de tráfico va directamente a internet, saltándose cualquier mecanismo de seguridad de la empresa. Si no hay ninguna necesidad real de negocio o límite técnico por el que deba utilizarse el split tunnerlling, es preferible deshabilitarlo. De este modo, todo el tráfico del usuario conectado a través de la solución de acceso remoto pasará por los sistemas TI corporativos y será sujeto a los controles de seguridad de éstos.
▢ Evaluar los casos de BYOD y soluciones alternativas
Idealmente, el acceso a recursos corporativos solo debe ser accesible a través de dispositivos de confianza. Normalmente, es el departamento de TI quien proporciona estos dispositivos y, por lo tanto, su seguridad está garantizada. En momentos de crisis, puede ser problemático debido a la incapacidad de proveer de equipo. En estos casos, puede considerarse el uso de soluciones VDI (Virtual Desktop Infrastructure), como Citrix o AWS WorkSpaces, que pueden ofrecer a la organización cierto control adicional, puesto que requieren menos dispositivos seguros.
Funcionan como un ordenador con sistema operativo y aplicaciones, pero ofrecen un control corporativo para actualizaciones, configuración de la seguridad y seguridad de los datos. Muchos sistemas operativos Windows legacy ya no disponen de soporte, por lo que son vulnerables. Aseguraos de que usáis una versión de SO mínima. Windows XP y Windows 7 no deberían ser permitidas.
▢ Implementar una solución de autenticación
Una autenticación robusta es crucial para una solución de acceso remoto. Esta puede no proteger frente a una conexión a internet pública a través de firewalls u otros dispositivos de seguridad. Por lo tanto, es importante que los mecanismos de autenticación y soluciones de acceso remoto sean lo suficientemente robustas para proteger ante intentos de ataques de fuerza bruta.
La autenticación de múltiples factores debe ser desplegada como defensa adicional contra intentos de fuerza bruta y para ofrecer un seguro adicional conforme el usuario que intenta autenticarse es quien dice ser.
▢ Cifrar dispositivos no seguros o evaluar e implementar soluciones alternativas
Como los dispositivos pueden estar en contacto con información confidencial o datos personales, es imperativo encriptar sus discos para proteger dicha información. Esto puede ser un problema para el BYOD, pero puede minimizarse con soluciones VDI configuradas para garantizar que la información no se almacena en el dispositivo.
▢ Evaluar los flujos de datos y hacer un mapeo de las ubicaciones de almacenamiento
Revisad las restricciones en flujo de datos en base a las necesidades de los usuarios para ayudar a restringir y controlar el almacenamiento de datos.
▢ Limitar el acceso y ubicaciones de almacenamiento de datos
Las organizaciones tienen la obligación de proteger datos corporativos, datos de tarjetas de crédito, datos de clientes e información personal. A medida que expanden sus ubicaciones de almacenamiento es más difícil gestionar el acceso y seguridad de los datos, puesto que cada vez es más complicado tener una visión completa sobre dónde se encuentran almacenados.
Si no se implementan las tecnologías y mecanismos para impedir que los datos se almacenen en los dispositivos usados para el acceso remoto, es extremadamente difícil aplicar los controles de seguridad adecuados. Esto puede generar problemas de acceso de los individuos a sus datos conforme establece el GDPR, puesto que las organizaciones desconocen dónde están almacenados.
▢ Definir una estrategia corporativa sobre software aprobado para ser usado por los empleados y facilitar su uso.
En ocasiones, el teletrabajo conlleva que los usuarios introduzcan sus propios sistemas en lugar de usar los proporcionados por la empresa.
El uso de herramientas como DropBox puede significar que haya datos corporativos o información sensible en ubicaciones con ninguna monitorización o controles de seguridad escasos, en silos que no son gestionados ni controlados, comprometiendo así la privacidad y el cumplimiento. En algunos casos, puede conllevar costes significativos.
▢ Implementar una solución de protección contra malware y ransomware
El malware va a más. Los atacantes usan el miedo generado en tiempos de crisis para explotar a los teletrabajadores. En este sentido, la capacidad de detectar malware de los endpoints es crucial. Siempre cuando sea posible, debéis implementar soluciones de protección contra malware de última generación como SentinelOne, capaces de detectar ataques nuevos y sin clasificar que antivirus tradicionales pasan por alto. Además, cuentan con el beneficio añadido de funcionalidades de aislamiento, desinfección y rollback para evitar tener que pagar un rescate.
▢ Implementar una solución de gestión de actualizaciones
Los endpoints deben ser configurados para obtener automáticamente las actualizaciones de productos y seguridad del software. Se pueden usar herramientas de gestión de parches gestionadas de forma centralizada (sin incluir servicios cloud como Microsoft InTune). No obstante, debéis tener en cuenta la frecuencia con la que los usuarios se conectan a la red para obtener las actualizaciones. Si no lo hacen con la suficiente frecuencia, los endpoints pueden quedar desprovistos de sus parches y, por lo tanto, vulnerables ante brechas.
▢ Configurar el bloqueo de sesión
Debéis aseguraros de que los dispositivos remotos se bloquean después de un tiempo aceptable (alrededor de los 15 minutos). Para volver a acceder a ellos, el usuario tiene que volver a autenticarse.
▢ Monitorizar la seguridad
Para prevenir o contener violaciones de datos es muy importante registrar y analizar logs para identificar actividades maliciosas como ataques de malware o ransomware, o cualquier intento de login no autorizado. Aseguraros que los logs son correlativos, que se da respuesta a las alertas rápidamente y que se realicen revisiones regulares de las actividades que se realizan.
▢ Implementar una solución de filtrado de contenidos
El filtrado de contenido consiste en el uso de un programa para bloquear y/o excluir acceso a páginas web o email considerados inaceptables. El filtrado de contenidos es utilizado como parte de sus firewalls. Funciona con patrones de contenido (como secuencia de texto u objetos dentro de imágenes) que, si coinciden, indican que el contenido es contenido no deseado que debe ser bloqueado. Un filtro de contenido bloqueará el acceso de estos contenidos antes de que el usuario pueda hacer clic en ellos.
Esto pone de relieve porqué no debe utilizarse el split tunnelling.
▢ Implementar una solución de backups regulares
¿Qué pasaría si perdierais vuestros datos? La causa puede ser desde un fallo del hardware hasta un error fatal de una aplicación o el robo de un dispositivo.
Los usuarios de Office 365 u otras aplicaciones de productividad en la nube deben crear y almacenar sus documentos en la plataforma cloud, en las que los backups son automáticos e integran la recuperación ante desastre.
Si sois usuarios de OneDrive o Google Drive y usáis las versiones desktop, recordad guardar los documentos en los directorios sincronizados para aseguraros de que también se guardan en la nube (debéis estar conectados a internet).
Si no disponéis de opciones en la nube, usad discos duros externos cifrados.
▢ Garantizar el soporte a los usuarios que trabajan en remoto
Los usuarios necesitarán soporte. ¿Cómo garantizáis que los empleados reciben el soporte que necesitan para seguir siendo productivos?
Para solucionar incidencias, podéis realizar sesiones remotas y monitorización en tiempo real. A la hora de aprovisionar, utilizad imágenes de dispositivos para acelerar el despliegue de nuevos equipos.
Asegurad que la organización cuenta con un mecanismo robusto para validar la identidad de un usuario final antes de restablecer una contraseña o realizar cualquier otro cambio en una cuenta.
▢ Monitorizar los sistemas de acceso remoto
Garantizar la disponibilidad de los sistemas de acceso remoto desarrollando una política y programa de monitorización y mantenimiento que mantenga los sistemas sanos, parcheados y operativos.
▢ Proporcionar a los teletrabajadores formación en seguridad básica
Se debe proporcionar a los teletrabajadores un nivel básico de concienciación en seguridad para evitar ser víctimas de ataques de phishing, para entender los riesgos de las wifis públicas y para garantizar que la red del hogar está bien configurada. Es buena idea tener una checklist y recordatorios regulares conforme el teletrabajo forma parte del perímetro de defensa, así como llevar a cabo acciones simples que pueden llevarse a cabo para limitar el riesgo.
Si quieres saber más acerca de cómo securizar el teletrabajo en tu organización, no te pierdas esta guía rápida de teletrabajo.