Parte 2. Incrementando la Seguridad Informática en el Teletrabajo bajo estándares y metodologías de la Norma ISO 27001.
Estamos viviendo una época de pandemia debido al COVID-19, la cual nos demanda una evolución y adopción acelerada hacia el uso de la tecnología informática, local y en teletrabajo, como sustento vital de los negocios.
Aunado al método tradicional de procesamiento de información, ahora se añade, de manera obligatoria, la administración de los puestos de trabajo con acceso remoto, misma que debe diseñarse para que se efectúe de manera segura y confiable.
Al riesgo tradicional de las TIC, fallas en equipo, errores humanos, fallas en aplicaciones-programas y ataques cibernéticos, ahora debemos de agregar un análisis adicional de riesgos potenciales derivados de la nueva forma de trabajo que estos tiempos demanda: el trabajo remoto o teletrabajo.
Por lo anterior, es que hay que replantear la estrategia y reanalizar este nuevo reto de una manera integral, metodológica y eficaz para lograr los objetivos de operatividad y seguridad de la información, bajo la norma ISO 27001, ahora más necesarios y alineados a los retos actuales del negocio.
Amenazas y Riesgos en el Teletrabajo
A efectos de identificar más detalladamente algunas de las variables a evaluar como potenciales riesgos o amenazas que existen y que incluyen ahora este nuevo escenario de las TIC, podemos mencionar:
- Instalaciones inapropiadas del centro de cómputo.
- Uso indebido de la TIC
- Ransomware
- Malware
- Hacking
- Redes Sociales
- Spyware
- Pérdida de datos
- Malas prácticas/carencia de respaldo de información
- Pishing
- Red y sus posibles vulnerabilidades
- Acceso remoto no seguro
- Procesos inmaduros y automatización débil o inexistente
- Encriptamiento débil
- Correo electrónico de uso indiscriminado y desordenado
- Bajo nivel de entrenamiento a usuarios (internos y externos)
- Acceso no autorizado a información sensible o confidencial
- Dispositivos móviles no “homologados” sin control de acceso
- Actualización de aplicaciones, S.O., parches etc.
- Carencia de procesos de control, de automatización, de uso.
Si deseas conocer el grado de madurez de tu organización, accede al siguiente cuestionario en línea de ISO 27001.
Riesgos Potenciales en el Teletrabajo
Existen más riesgos potenciales, pero para efectos de este artículo pondremos atención en los apartados arriba descritos que aparecen en negritas.
Los cuales aplican a usuarios de todo tipo, incluyendo a los que están bajo el esquema de teletrabajo.
A lo anterior debemos agregar el no seguir apropiadamente, o a la inexistencia de los procesos de Seguridad estructurados por el área de TI, lo cual provocaría, en su caso, vulnerabilidades adicionales que ponen en riesgo toda la operación de las TIC en nuestra organización.
En base a lo ya descrito y haciendo una relación con el artículo de Riesgos en el Teletrabajo describamos las particularidades y consideraciones en términos de seguridad, de cada una de las 4 formas de acceso remoto que fueron mencionadas en ese texto:
Túneles o VPN
- Abarca: IPSec, SSL, PPP y MPLS como métodos de control.
- Requiere de un “VPN Gateway” a nivel central para enrutar, administrar, autenticar, controlar y asegurar cada enlace.
- Puede implementarse vía SW o HW para cada usuario.
- Proporciona servicios de encriptamiento.
- Requiere elementos de seguridad y protección a nivel usuario
- Se puede transferir datos centrales al usuario.
Tecnologías como Aruba Instant On contiene tecnología para trabajar desde casa con seguridad intrínseca.
Portales de aplicaciones
- Requiere de servidor central para control y administración de accesos, o de una aplicación que haga esas funciones.
- Usa como elemento de acceso un SW-WEB a nivel usuario.
- Deberá estar orientado a utilizar técnica tipo túnel para acceso remoto.
- Los datos estarán centralizados y el acceso es por aplicación y perfil.
El Uso de tecnologías como un NAC (Network Access Control) como una forma segura para el acceso a Redes de manera segura.
Acceso a escritorio remoto
El usuario remoto “controla” un dispositivo ubicado en las oficinas centrales. El acceso se realiza por una VPN o un acceso tipo SaaS.
Se accede a un dispositivo físico o un desktop virtual utilizando tecnologías como Citrix o Vmware.
Acceso directo a aplicaciones
Tipificado como acceso “orgánico” específico para y por aplicaciones a nivel central, ej. Base de datos, herramientas de diseño CAD, etc…
Igualmente se utilizan tecnologías como Citrix o Vmware Workspace One.
En ambos casos, la seguridad conlleva implementar en el dispositivo antivirus, antimalware como Malwarebytes una VPN segura y muy recomendable 2FA.
Recomendaciones de Seguridad en el Teletrabajo
Por lo anterior, la Seguridad Informática en el Teletrabajo implica la implementación de estrategias de Ciberseguridad.
Lo anterior deriva en que la evolución orgánica de una empresa moderna debe dirigirse a entrenar los recursos humanos, reforzar aspectos técnicos y una implementación formal que provea una madurez de procesos enfocados a minimizar los riesgos relacionados con la TIC y a optimizar su uso y beneficios.
Este tipo de implementaciones requieren de la asesoría y consultoría de empresas con gran experiencia y una visión completa relativa a la seguridad de la información (preferentemente bajo el modelo ISO 27001).
Dichas consultorías podrán implementar efectivamente las soluciones tecnológicas, de procesos y de automatización y transferencia de conocimientos, que coadyuven con el objetivo de minimizar los riesgos potenciales de toda la infraestructura TIC y, en particular para este caso, en el escenario del teletrabajo.
Son variadas las posibles razones por la que los riesgos de las TIC se incrementan, por lo que el reto de identificar plenamente estas vulnerabilidades.
Minimizando Riesgos y Vulnerabilidades
El objetivo es Minimizar los Riesgos y Vulnerabilidades a través de estrategias y acciones basadas en tecnologías que refuercen los niveles de todo tipo de seguridad aplicable al ambiente informático, tanto local como en teletrabajo, al personal en sitio o en “home office” y a los procesos apropiados de uso de la TIC.
Estrategias complementarias que cubran todos los aspectos relacionados a riesgos y posibles vulnerabilidades provocadas por esquemas de teletrabajo, se convierten en una materia obligada para los directivos de TI y para sus asesores o consultores.
Un análisis profundo y serio de los escenarios más convenientes arrojarán los mejores esquemas a implementar que tendrá por objetivo minimizar los riesgos potenciales para salvaguardar el control y continuidad de las operaciones del negocio.
Esto lo analizaremos en el siguiente artículo.
0 comentarios