Cómo minimizar Riesgos en el Teletrabajo

por | Jun 9, 2021 | Controles ISO 27001, Gestión de la Seguridad, Teletrabajo

Parte 1. Cómo minimizar los riesgos en el Teletrabajo, bajo estándares y metodologías de la Norma ISO 27001.

Estamos viviendo una época de pandemia debido al COVID-19, la cual nos demanda una evolución y adopción acelerada hacia el uso de la tecnología informática, local y en teletrabajo, como sustento vital de los negocios.

Aunado al método tradicional de procesamiento de información, ahora se añade, de manera obligatoria, la administración de los puestos de trabajo con acceso remoto, misma que debe diseñarse para que se efectúe de manera segura y confiable.

Al riesgo tradicional de las TIC, fallas en equipo, errores humanos, fallas en aplicaciones-programas y ataques cibernéticos, ahora debemos de agregar un análisis adicional de riesgos potenciales derivados de la nueva forma de trabajo que estos tiempos demanda:

El trabajo Remoto o Teletrabajo = Home Office

Por lo anterior, replantear la estrategia y reanalizar este nuevo reto de una manera integral, metodológica y eficaz para lograr los objetivos de operatividad y seguridad de la información, bajo la Norma ISO 27001.

Dichos objetivos ahora más necesarios y alineados a los retos actuales del negocio.

Iniciemos definiendo los riesgos a los que podríamos enfrentarnos si desatendemos nuestro esquema, tanto local como remoto, de acceso seguro a la información.

Riesgo de las TIC en el Teletrabajo

Riesgo queda definido como “exposición a una situación donde hay posibilidad de sufrir un daño o de estar en peligro”, por lo que, aplicado a las TIC, se expresaría como “la situación en la que la infraestructura tecnológica puede sufrir daño o estar en peligro”.

Con esto en mente, inmediatamente deducimos que el análisis y administración de riesgos es una asignatura clave para el adecuado desempeño de la TIC basado en una estrategia para minimizar los riesgos potenciales.

Sigamos ahora con los tipos de riesgo que podemos enfrentar, a saber: riesgos externos y riesgos internos.

Riesgos TIC Externos

Indicaremos algunos: desastres hidrometereológicos (huracanes, sismo, inundación); químico-tecnológicos (explosión, incendio); sociales (manifestaciones, guerra, terrorismo-vandalismo).

Y ahora, derivado de la pandemia, el teletrabajo, los ataques cibernéticos y la falta de análisis integral de ciberseguridad.

Riesgos TIC Internos

Se consideran eventos como: actividad maliciosa, sabotaje, errores humanos, fallas en la TIC, problemas con suministro de servicios de energía, accesos no permitidos.

Y ahora, derivado de la pandemia, el teletrabajo también debe ser considerado un riesgo interno pues desde el punto de vista lógico, aunque el usuario opera de manera remota, tiene acceso a los recursos internos de la infraestructura TIC lo que puede generar “puertas” de acceso no autorizado a información corporativa.

El teletrabajo, sumado a lo anteriormente descrito, afecta de tal forma el modelo de operaciones de nuestros sistemas TIC, que deberían ser considerados riesgos tanto internos como externos.

Evaluación de Riesgos en el Teletrabajo

Uno de los primeros pasos para evaluar riesgos, tanto internos como externos, es la identificación de cada uno de ellos y relacionarlo con el posible impacto que tendría en las operaciones del negocio, esto es, por ejemplo, a falta de un servidor “Z” que contiene la aplicación de correo e inventarios, la afectación de negocio se dará en: la comunicación e intercambio de información de carácter interna y también externa vía esta aplicación.

 Igualmente está relacionado al NO acceso a información de los niveles de inventarios en almacenes mismos que repercuten en el procesamiento de órdenes de compra lo que a su vez afecta el servicio al cliente.

Lo ya descrito, hace un año merecía un análisis y diseño de una solución para los usuarios que usan la TIC al interior de las oficinas corporativas, hoy la situación es diferente y a lo anterior, debemos agregar el diseño de una solución complementaria e igualmente robusta que controle el acceso, el perfil, la seguridad y las credenciales de todos y cada uno de nuestros usuarios remotos o de teletrabajo.

Como primer paso para este acotamiento y estrategia en busca de soluciones, debemos partir de la simple definición de los tipos de acceso remoto, de sus características, así como de sus potenciales riesgos.

En base a estos conceptos, el objetivo es diseñar las probables estrategias de seguridad de acceso a la información para estos colaboradores o, tratando de definirlos: los teletrabajadores.

Métodos de acceso remoto para el teletrabajo

La NIST, (National Institute of Standards and Technology), define cuatro esquemas o tipos de acceso remoto a las TIC, todos con las siguientes características relevantes:

  1. Todos tiene dependencias de la seguridad a nivel del dispositivo del usuario remoto
  2. Necesitan diferentes tipos de servidores especializados para la administración y control de los accesos remotos.
  3. Pueden (deben) incluir tecnologías de cifrado para la debida protección y seguridad de la información en tráfico.
  4. Potencialmente, los usuarios remotos, podrían guardar en sus dispositivos locales, información que se vuelve susceptible de ser robada, mal utilizada o que sirve como vehículo para un sinnúmero de actividades ilícitas.

Herramientas Teletrabajo para acceder remotamente

Bajo las características arriba descritas, el teletrabajo entonces requerirá de medidas y disciplinas tales, que, dada una adecuada implementación, redunden en minimizar los riesgos asociados a la seguridad de la información en todos y cada uno de los esquemas de acceso remoto que elijamos.

De tal manera que el teletrabajo sea integrado a las políticas y procedimientos de seguridad de la información acorde al modelo ISO 27001 ya establecidos o por establecer en nuestra organización.

Para terminar este capítulo, mencionemos, basados en la metodología NIST, los cuatro métodos o esquemas más comunes adoptados para el teletrabajo, y son:

A. Túneles/VPN

B. Portales de aplicaciones

C. Control remoto de equipo de escritorio

D. Acceso directo a aplicaciones centrales

De cada uno de ellos hablaremos en el siguiente artículo.

0 comentarios
Enviar un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Tecnologías TIC Relacionadas

En otros artículos profundizaremos en cada una de las sub-cláusulas o subíndices , ubicando tecnologías TIC y recomendaciones.  Sin embargo, podemos adelantar que debes de considerar ahora mismo:

Como última recomendación, pero no menos importante que la tecnología apropiada, es buscar a Consultores especialistas en Tecnologías de Información que te apoyarán a facilitar el camino y marcar la diferencia.

conclusiones

Debido a los miles de ataques informáticos o Ciberataques, el Foro Económico Mundial ha determinado que la Ciberseguridad es un elemento que debe ser mandatorio en todas las organizaciones. La Ciberdelincuencia un riesgo para la Humanidad de proporciones semejantes a la falta de agua, clima, economía y pandemias.

Implementar planes basados en la Norma ISO 27001, Anexo A, 14 dominios y 114 Controles para la Protección de la Seguridad es una estrategia obligada para aquellas empresas que quieren preservarse en el mercado en base a su agilidad, flexibilidad y resiliencia.

En futuras publicaciones, abordaremos detalles específicos de los diferentes controles de seguridad y tecnologías asociadas.

No dejes de revisar nuestros artículos y suscríbete para recibir ideas de cómo proteger la información de tu empresa.

Cuestionario ISO 27001 en línea sin costo
Cuestionario ISO 27001 en línea sin costo

Artículos relacionados ISO 27001

Share This

Comparte

Con tus Colegas y Amigos