Seguridad Informática en el Teletrabajo

por | Jun 17, 2021 | Gestión de la Seguridad, Implementando ISO 27001, Teletrabajo

Parte 2. Incrementando la Seguridad Informática en el Teletrabajo bajo estándares y metodologías de la Norma ISO 27001.

Estamos viviendo una época de pandemia debido al COVID-19, la cual nos demanda una evolución y adopción acelerada hacia el uso de la tecnología informática, local y en teletrabajo, como sustento vital de los negocios.

Aunado al método tradicional de procesamiento de información, ahora se añade, de manera obligatoria, la administración de los puestos de trabajo con acceso remoto, misma que debe diseñarse para que se efectúe de manera segura y confiable.

Al riesgo tradicional de las TIC, fallas en equipo, errores humanos, fallas en aplicaciones-programas y ataques cibernéticos, ahora debemos de agregar un análisis adicional de riesgos potenciales derivados de la nueva forma de trabajo que estos tiempos demanda: el trabajo remoto o teletrabajo.

Por lo anterior, es que hay que replantear la estrategia y reanalizar este nuevo reto de una manera integral, metodológica y eficaz para lograr los objetivos de operatividad y seguridad de la información, bajo la norma ISO 27001, ahora más necesarios y alineados a los retos actuales del negocio.

Amenazas y Riesgos en el Teletrabajo

A efectos de identificar más detalladamente algunas de las variables a evaluar como potenciales riesgos o amenazas que existen y que incluyen ahora este nuevo escenario de las TIC, podemos mencionar:

  • Instalaciones inapropiadas del centro de cómputo.
  • Uso indebido de la TIC
  • Ransomware
  • Malware
  • Hacking
  • Redes Sociales
  • Spyware
  • Pérdida de datos
  • Malas prácticas/carencia de respaldo de información
  • Pishing
  • Red y sus posibles vulnerabilidades
  • Acceso remoto no seguro
  • Procesos inmaduros y automatización débil o inexistente
  • Encriptamiento débil
  • Correo electrónico de uso indiscriminado y desordenado
  • Bajo nivel de entrenamiento a usuarios (internos y externos)
  • Acceso no autorizado a información sensible o confidencial
  • Dispositivos móviles no “homologados” sin control de acceso
  • Actualización de aplicaciones, S.O., parches etc.
  • Carencia de procesos de control, de automatización, de uso.

Si deseas conocer el grado de madurez de tu organización, accede al siguiente cuestionario en línea de ISO 27001.

Riesgos Potenciales en el Teletrabajo

Existen más riesgos potenciales, pero para efectos de este artículo pondremos atención en los apartados arriba descritos que aparecen en negritas.

Los cuales aplican a usuarios de todo tipo, incluyendo a los que están bajo el esquema de teletrabajo.

Debido a que dichos usuarios al estar fuera de la infraestructura central son más propicios a caer o producir errores de operación que se convierten en vulnerabilidades de la infraestructura IT.

A lo anterior debemos agregar el no seguir apropiadamente, o a la inexistencia de los procesos de Seguridad estructurados por el área de TI, lo cual provocaría, en su caso, vulnerabilidades adicionales que ponen en riesgo toda la operación de las TIC en nuestra organización.

En base a lo ya descrito y haciendo una relación con el artículo de Riesgos en el Teletrabajo describamos las particularidades y consideraciones en términos de seguridad, de cada una de las 4 formas de acceso remoto que fueron mencionadas en ese texto:

Túneles o VPN

  • Abarca: IPSec, SSL, PPP y MPLS como métodos de control.
  • Requiere de un “VPN Gateway” a nivel central para enrutar, administrar, autenticar, controlar y asegurar cada enlace.
  • Puede implementarse vía SW o HW para cada usuario.
  • Proporciona servicios de encriptamiento.
  • Requiere elementos de seguridad y protección a nivel usuario
  • Se puede transferir datos centrales al usuario.

Tecnologías como Aruba Instant On contiene tecnología para trabajar desde casa con seguridad intrínseca.

Portales de aplicaciones

  • Requiere de servidor central para control y administración de accesos, o de una aplicación que haga esas funciones.
  • Usa como elemento de acceso un SW-WEB a nivel usuario.
  • Deberá estar orientado a utilizar técnica tipo túnel para acceso remoto.
  • Los datos estarán centralizados y el acceso es por aplicación y perfil.

El Uso de tecnologías como un NAC (Network Access Control) como una forma segura para el acceso a Redes de manera segura.

Acceso a escritorio remoto

El usuario remoto “controla” un dispositivo ubicado en las oficinas centrales. El acceso se realiza por una VPN o un acceso tipo SaaS.

Se accede a un dispositivo físico o un desktop virtual utilizando tecnologías como Citrix o Vmware.

Acceso directo a aplicaciones

Tipificado como acceso “orgánico” específico para y por aplicaciones a nivel central, ej. Base de datos, herramientas de diseño CAD, etc…

Igualmente se utilizan tecnologías como Citrix o Vmware Workspace One.

En ambos casos, la seguridad conlleva implementar en el dispositivo antivirus, antimalware como Malwarebytes una VPN segura y muy recomendable 2FA.

Recomendaciones de Seguridad en el Teletrabajo

Por lo anterior, la Seguridad Informática en el Teletrabajo implica la implementación de estrategias de Ciberseguridad.

Lo anterior deriva en que la evolución orgánica de una empresa moderna debe dirigirse a entrenar los recursos humanos, reforzar aspectos técnicos y una implementación formal que provea una madurez de procesos enfocados a minimizar los riesgos relacionados con la TIC y a optimizar su uso y beneficios.

Este tipo de implementaciones requieren de la asesoría y consultoría de empresas con gran experiencia y una visión completa relativa a la seguridad de la información (preferentemente bajo el modelo ISO 27001).

Dichas consultorías podrán implementar efectivamente las soluciones tecnológicas, de procesos y de automatización y transferencia de conocimientos, que coadyuven con el objetivo de minimizar los riesgos potenciales de toda la infraestructura TIC y, en particular para este caso, en el escenario del teletrabajo.

Son variadas las posibles razones por la que los riesgos de las TIC se incrementan, por lo que el reto de identificar plenamente estas vulnerabilidades.

Minimizando Riesgos y Vulnerabilidades

El objetivo es Minimizar los Riesgos y Vulnerabilidades a través de estrategias y acciones basadas en tecnologías que refuercen los niveles de todo tipo de seguridad aplicable al ambiente informático, tanto local como en teletrabajo, al personal en sitio o en “home office” y a los procesos apropiados de uso de la TIC.

Estrategias complementarias que cubran todos los aspectos relacionados a riesgos y posibles vulnerabilidades provocadas por esquemas de teletrabajo, se convierten en una materia obligada para los directivos de TI y para sus asesores o consultores.

Un análisis profundo y serio de los escenarios más convenientes arrojarán los mejores esquemas a implementar que tendrá por objetivo minimizar los riesgos potenciales para salvaguardar el control y continuidad de las operaciones del negocio.

Esto lo analizaremos en el siguiente artículo.

0 comentarios
Enviar un comentario

Tu dirección de correo electrónico no será publicada.

Tecnologías TIC Relacionadas

En otros artículos profundizaremos en cada una de las sub-cláusulas o subíndices , ubicando tecnologías TIC y recomendaciones.  Sin embargo, podemos adelantar que debes de considerar ahora mismo:

Como última recomendación, pero no menos importante que la tecnología apropiada, es buscar a Consultores especialistas en Tecnologías de Información que te apoyarán a facilitar el camino y marcar la diferencia.

conclusiones

Debido a los miles de ataques informáticos o Ciberataques, el Foro Económico Mundial ha determinado que la Ciberseguridad es un elemento que debe ser mandatorio en todas las organizaciones. La Ciberdelincuencia un riesgo para la Humanidad de proporciones semejantes a la falta de agua, clima, economía y pandemias.

Implementar planes basados en la Norma ISO 27001, Anexo A, 14 dominios y 114 Controles para la Protección de la Seguridad es una estrategia obligada para aquellas empresas que quieren preservarse en el mercado en base a su agilidad, flexibilidad y resiliencia.

En futuras publicaciones, abordaremos detalles específicos de los diferentes controles de seguridad y tecnologías asociadas.

No dejes de revisar nuestros artículos y suscríbete para recibir ideas de cómo proteger la información de tu empresa.

Cuestionario ISO 27001 en línea sin costo
Cuestionario ISO 27001 en línea sin costo

Artículos relacionados ISO 27001

Share This

Comparte

Con tus Colegas y Amigos