La firma de ciberseguridad comparte 7 puntos a tener en cuenta para implementar el trabajo remoto seguro y evitar ataques, pérdida o fuga de información en las empresas. La modalidad de trabajar de forma remota ganó muchos adeptos ya que los colaboradores se sienten más cómodos, evitan viajar en horas pico y administran mejor su tiempo, mientras que los empleadores reducen costos de infraestructura.
Como en cualquier otra actividad que involucre equipos conectados a Internet, hay ciertas medidas a tener en cuenta para garantizar la seguridad. Todo lo relacionado con los equipos de trabajo, la responsabilidad y los costos debe estar definido claramente antes de implementar un formato de teletrabajo. Por ejemplo, si se usan dispositivos personales o la compañía los proporciona, o si hay un soporte técnico adecuado para resolver problemas de acceso y seguridad, así como definir quiénes pueden acceder a qué información.
“Implementar nuevas tecnologías en una organización es importante para adaptarse a los tiempos que corren. Aprovechar al máximo sus beneficios implica contemplar algunas medidas de seguridad que garanticen su correcto funcionamiento. En el caso del trabajo remoto es importante entender que así estén por fuera de la oficina, el dispositivo desde el cual se trabaja es una puerta a toda la organización, por lo que deben garantizar un uso adecuado.” mencionó, Camilo Gutierrez, Jefe de Laboratorio de ESET Latinoamérica.
A continuación, ESET Latinoamérica comparte los siete pilares para un trabajo remoto seguro:
- Gestión de roles
La información solo debe ser accesible para los perfiles de usuario que realmente necesitan visualizarla y modificarla. Para el resto, debería estar restringida. A tal fin, se deben establecer las responsabilidades de acuerdo a los objetivos planteados. Aspectos como el control de las tecnologías, la realización de copias de seguridad (backup) o los procesos de recuperación son algunas de las tareas que deben tener un ejecutor y momento definido.
- Control de dispositivos
Teniendo en cuenta la amplia variedad de dispositivos en el mercado, es importante restringir el acceso solamente a aquellos en los cuales se aplican las herramientas de seguridad adecuadas. Por ejemplo, no es lo mismo que un empleado acceda desde su computadora personal con un sistema operativo actualizado y con una solución de seguridad instalada, a que lo haga desde una tablet desactualizada, sin protección y que también utiliza su hijo para jugar y descargar aplicaciones.
- Protección contra códigos maliciosos
Para garantizar que los datos no sean afectados por códigos maliciosos, todos los dispositivos deben contar con soluciones de seguridad que detecten proactivamente este tipo de amenazas. Si el dispositivo desde el cual accede no es propiedad de la empresa y, además, no se utilizan entornos virtualizados, los riesgos de sufrir una infección son más altos. Además, es necesario que todas las aplicaciones estén actualizadas, para evitar la explotación de vulnerabilidades que pueda dar lugar a brechas de seguridad.
- Monitoreo del tráfico de red
Dado que hay dispositivos que están ingresando a la red por fuera del perímetro físico de la oficina, es necesario hacer un seguimiento de qué tipo de tráfico generan. Por ejemplo, a dónde tratan de acceder, si hay intentos recurrentes y fallidos de ingreso a servidores o si generan algún tipo de tráfico inapropiado, como la descarga de archivos desconocidos.
- Conexiones seguras
Una VPN (Virtual Private Network) es una tecnología de red que se utiliza para conectar una o más computadoras a una red privada utilizando Internet, de manera que el acceso remoto a los recursos corporativos sea seguro. Para teletrabajo, la implementación de conexiones VPN basadas en el cliente es lo más conveniente, ya que permiten tener conectado un usuario a una red remota, a través de una aplicación que se encarga de entablar la comunicación y levantar la VPN. Para acceder a la conexión segura, el usuario debe ejecutar la aplicación y autenticarse con un nombre de usuario y contraseña, e incluso agregar un segundo factor de autenticación. De esta manera se crea el canal cifrado entre el equipo y la red remota, para un intercambio seguro de datos.
- Redacción de una política de seguridad
Determinar las obligaciones y responsabilidades de los usuarios respecto al uso de las tecnologías que tienen a su disposición. Definir el tipo de acciones que se pueden hacer y quién está habilitado a ejecutarlas. No es lo mismo tratar de modificar una base de datos por fuera de empresa, que hacer consultas e informes. Cada política es propia de la realidad de la organización y del alcance establecido para los empleados que hacen parte del teletrabajo.
- Concientización de los empleados
La educación debe ser un pilar importante para que todos los usuarios sean conscientes de los riesgos a los cuales pueden verse expuestos y cuáles son los cuidados que deben tener al ingresar dispositivos ajenos a la compañía.
N. de P. ESET