Parte 1. Cómo minimizar los riesgos en el Teletrabajo, bajo estándares y metodologías de la Norma ISO 27001.
Estamos viviendo una época de pandemia debido al COVID-19, la cual nos demanda una evolución y adopción acelerada hacia el uso de la tecnología informática, local y en teletrabajo, como sustento vital de los negocios.
Aunado al método tradicional de procesamiento de información, ahora se añade, de manera obligatoria, la administración de los puestos de trabajo con acceso remoto, misma que debe diseñarse para que se efectúe de manera segura y confiable.
Al riesgo tradicional de las TIC, fallas en equipo, errores humanos, fallas en aplicaciones-programas y ataques cibernéticos, ahora debemos de agregar un análisis adicional de riesgos potenciales derivados de la nueva forma de trabajo que estos tiempos demanda:
Por lo anterior, replantear la estrategia y reanalizar este nuevo reto de una manera integral, metodológica y eficaz para lograr los objetivos de operatividad y seguridad de la información, bajo la Norma ISO 27001.
Dichos objetivos ahora más necesarios y alineados a los retos actuales del negocio.
Iniciemos definiendo los riesgos a los que podríamos enfrentarnos si desatendemos nuestro esquema, tanto local como remoto, de acceso seguro a la información.
Riesgo de las TIC en el Teletrabajo
Riesgo queda definido como “exposición a una situación donde hay posibilidad de sufrir un daño o de estar en peligro”, por lo que, aplicado a las TIC, se expresaría como “la situación en la que la infraestructura tecnológica puede sufrir daño o estar en peligro”.
Con esto en mente, inmediatamente deducimos que el análisis y administración de riesgos es una asignatura clave para el adecuado desempeño de la TIC basado en una estrategia para minimizar los riesgos potenciales.
Sigamos ahora con los tipos de riesgo que podemos enfrentar, a saber: riesgos externos y riesgos internos.
Riesgos TIC Externos
Indicaremos algunos: desastres hidrometereológicos (huracanes, sismo, inundación); químico-tecnológicos (explosión, incendio); sociales (manifestaciones, guerra, terrorismo-vandalismo).
Y ahora, derivado de la pandemia, el teletrabajo, los ataques cibernéticos y la falta de análisis integral de ciberseguridad.
Riesgos TIC Internos
Se consideran eventos como: actividad maliciosa, sabotaje, errores humanos, fallas en la TIC, problemas con suministro de servicios de energía, accesos no permitidos.
Y ahora, derivado de la pandemia, el teletrabajo también debe ser considerado un riesgo interno pues desde el punto de vista lógico, aunque el usuario opera de manera remota, tiene acceso a los recursos internos de la infraestructura TIC lo que puede generar “puertas” de acceso no autorizado a información corporativa.
El teletrabajo, sumado a lo anteriormente descrito, afecta de tal forma el modelo de operaciones de nuestros sistemas TIC, que deberían ser considerados riesgos tanto internos como externos.
Evaluación de Riesgos en el Teletrabajo
Uno de los primeros pasos para evaluar riesgos, tanto internos como externos, es la identificación de cada uno de ellos y relacionarlo con el posible impacto que tendría en las operaciones del negocio, esto es, por ejemplo, a falta de un servidor “Z” que contiene la aplicación de correo e inventarios, la afectación de negocio se dará en: la comunicación e intercambio de información de carácter interna y también externa vía esta aplicación.
Igualmente está relacionado al NO acceso a información de los niveles de inventarios en almacenes mismos que repercuten en el procesamiento de órdenes de compra lo que a su vez afecta el servicio al cliente.
Lo ya descrito, hace un año merecía un análisis y diseño de una solución para los usuarios que usan la TIC al interior de las oficinas corporativas, hoy la situación es diferente y a lo anterior, debemos agregar el diseño de una solución complementaria e igualmente robusta que controle el acceso, el perfil, la seguridad y las credenciales de todos y cada uno de nuestros usuarios remotos o de teletrabajo.
Como primer paso para este acotamiento y estrategia en busca de soluciones, debemos partir de la simple definición de los tipos de acceso remoto, de sus características, así como de sus potenciales riesgos.
En base a estos conceptos, el objetivo es diseñar las probables estrategias de seguridad de acceso a la información para estos colaboradores o, tratando de definirlos: los teletrabajadores.
Métodos de acceso remoto para el teletrabajo
La NIST, (National Institute of Standards and Technology), define cuatro esquemas o tipos de acceso remoto a las TIC, todos con las siguientes características relevantes:
- Todos tiene dependencias de la seguridad a nivel del dispositivo del usuario remoto
- Necesitan diferentes tipos de servidores especializados para la administración y control de los accesos remotos.
- Pueden (deben) incluir tecnologías de cifrado para la debida protección y seguridad de la información en tráfico.
- Potencialmente, los usuarios remotos, podrían guardar en sus dispositivos locales, información que se vuelve susceptible de ser robada, mal utilizada o que sirve como vehículo para un sinnúmero de actividades ilícitas.
Herramientas Teletrabajo para acceder remotamente
Bajo las características arriba descritas, el teletrabajo entonces requerirá de medidas y disciplinas tales, que, dada una adecuada implementación, redunden en minimizar los riesgos asociados a la seguridad de la información en todos y cada uno de los esquemas de acceso remoto que elijamos.
De tal manera que el teletrabajo sea integrado a las políticas y procedimientos de seguridad de la información acorde al modelo ISO 27001 ya establecidos o por establecer en nuestra organización.
Para terminar este capítulo, mencionemos, basados en la metodología NIST, los cuatro métodos o esquemas más comunes adoptados para el teletrabajo, y son:
A. Túneles/VPN
B. Portales de aplicaciones
C. Control remoto de equipo de escritorio
D. Acceso directo a aplicaciones centrales
De cada uno de ellos hablaremos en el siguiente artículo.
0 comentarios