AEI 519 - Teletrabajo y ciberseguridad

Sin duda es el tema de moda y la tabla de salvación y de continuidad de muchos profesionales: el teletrabajo. Llevamos muchos años debatiendo acerca del valor de la tecnología y su capacidad (o no) de ayudar a la conciliación familiar y a la adaptación de las empresas a nuevas culturas y formas de desempeñar actividades profesionales.

El mundo tecnológico, el sector IT sobremanera, lleva años empleando infraestructuras remotas para el día a día de los negocios. Las empresas han ido diseñando sus planes de continuidad de negocio, pero la llegada de esta pandemia del Covid-19 nos ha demostrado que siempre hay circunstancias que no se han tenido en cuenta dentro de los mismos, y que nos están llevando a revisar de forma acelerada para poder responder a las mismas y mantener nuestra actividad

Si veníamos hablando de la hiperconectividad del futuro con la aparición del IoT y la transformación de la Industria (OT), el “topic” de estas fechas es el teletrabajo. Y en todos los casos y situaciones es fundamental la ciberseguridad. Garantizar las comunicaciones extremo a extremo y la integridad de la información es fundamental para no abrir nuevas brechas que puedan poner en riesgo nuestros negocios. Lamentablemente la actividad de la ciberdelincuencia con sus prácticas habituales (phishing, Ransomware...) ha crecido exponencialmente junto a esta necesidad de mantener nuestra actividad con conectividad remota.

Si además volvemos a hacer foco en la importancia de gestionar los riesgos de terceros, los de la cadena de suministro con la que debemos interactuar sin que se generen vulnerabilidades que puedan afectar a nuestra actividad (recientemente hemos asistido a diferentes infecciones colectivas a través de dicha cadena de suministro con impactos económicos relevantes), veremos que aplicar el concepto de ‘Security by Design’ en cada producto y servicio es esencial. Garantizar productos y servicios seguros vs implantar productos de seguridad es un camino urgente en el ámbito de la seguridad integral. Pero vamos a centrarnos en el corto plazo, y a compartir algunas recomendaciones esenciales para teletrabajar en las mejores condiciones de seguridad posible.

Aunque hemos descubierto que es fundamental la movilidad para situaciones como estas y que el uso de recursos propios de la empresa debería darnos un valor diferencial, he aquí un conjunto de pautas que obligatoriamente deberíamos aplicar en estas situaciones de trabajar de forma remota (entendiendo que las infraestructuras de comunicaciones en casa pueden diferir de unos a otros):

RECOMENDACIONES GENERALES

◦ Mantener los equipos bloqueados cuando no se están utilizando
◦ Guardar el equipo en un lugar seguro cuando se acabe la jornada laboral.
◦ Evitar que familiares o amigos accedan al ordenador/dispositivo y hagan uso del mismo o jueguen con él.
◦ Habilitar el modo WPA2 o WPA3 en tu router para encriptar tu actividad en la red, manteniendo el dispositivo con la última actualización del firmware.
◦ Cambiar las contraseñas predeterminadas, utilizando contraseñas robustas siguiendo las políticas establecidas por la empresa. No compartir con nadie ni escribirlas en ningún lugar.
◦ Seguir una política de pantalla y escritorio limpios. Utilizar un protector de pantalla con contraseña, y guardar debidamente documentos confidenciales, procediendo si es necesario a su destrucción adecuada (no utilizar la basura doméstica por defecto). Si necesitas imprimir, guarda con seguridad los documentos o destrúyelos cuando no sean necesarios.
◦ Restringir el acceso de nuestro entorno a la información confidencial. Asegurarse que ningún miembro familiar o allegados pueda hacer fotos, videos o capturas de pantalla de la información que esté manejando (documentos, datos….). Si la situación lo permite y el trabajo lo exige, se recomienda tener un escenario de trabajo independiente.

RECOMENDACIONES TÉCNICAS

◦ Utilizar exclusivamente estaciones de trabajo aprobadas para conectarse a la red empresarial.
◦ Filtrar el acceso a Internet desde casa con OpenDNS.
◦ Mantener e Instalar las últimas actualizaciones de seguridad y del software del equipo cuando se solicite.
◦ Los equipos de empresa no deben conectarse simultáneamente a la red corporativa y a una red no corporativa.
◦ Las redes inalámbricas domésticas que se utilicen para acceder a la red de la empresa y/o de clientes/proveedores deben configurarse de forma adecuada para cumplir con las configuraciones de seguridad vigentes en las políticas de la empresa.
◦ Cuidado con el Phishing. Extremar las precauciones; no accedaar a enlaces de correos sospechosos. Los ciberdelincuentes aprovechan las circunstancias actuales para hacer negocio. Tener especial cuidado con cada email o llamada telefónica que recibimos solicitando acciones relacionadas con esta situación excepcional. Interactuar sólo con remitentes de confianza.
◦ Comprobar que siempre se navega a través de páginas seguras que hagan uso del HTTPS.
◦ Proteger la información de la empresa, clientes y terceros en base a la política de protección y salvaguarda de datos de la empresa.
◦ Acceder de forma remota a la empresa con soluciones SSL VPN proporcionadas por la misma.
◦ Reiniciar el dispositivo al menos una vez a la semana para que se apliquen todas las actualizaciones y parches de seguridad necesarios.
◦ Tener cuidado con el uso de memorias USB, son una posible puerta a las infecciones de malware.
◦ Si trabajas “fuera de casa” en remoto no olvides:
▪ Usa tu smartphone de empresa como punto de acceso para conectarte a Internet.
▪ Si utilizas una red pública, confirma con el proveedor de la red que es genuina antes de conectarte, y sólo navega en sitios que comienzan con “https” que indica que es una conexión cifrada y segura.

A NIVEL DE EMPRESA

◦ Proporcionar conexiones VPN seguras y correctamente configuradas.
◦ No configurar las conexiones VPN con contraseñas por defecto, y mucho menos distribuirlas en esas condiciones entre los empleados.
◦ No utilizar herramientas de control remoto sin licencia o que carezcan de soporte oficial.
◦ No abrir puertos de comunicación que no estén securizados.
◦ Restringir el acceso a la información confidencial. Crear listas blancas y listas negras de acceso de forma coherente para evitar fugas de información.
◦ Proporcionar los recursos necesarios de acceso seguro a través del Cloud en despliegues rápidos y masivos de usuarios.
◦ No abrir escritorios remotos de máquinas internas fuera de la Organización.

REPORTAR LOS INCIDENTES DE SEGURIDAD

◦ Usuario: A través de los procedimientos internos de la Compañía unificando un Punto de Contacto.
◦ Empresa: Directamente con los proveedores de confianza y las autoridades a través de las líneas de comunicación establecidas.
◦ Minimizar la exposición al riesgo y cumplir con la legalidad vigente puede salvar el Negocio.
En todo caso, los equipos IT/OT de las compañías, junto a los proveedores de confianza, son el mejor canal para revisar estas buenas prácticas y garantizar la mejor cobertura en este nuevo escenario. Sin duda estamos asistiendo a una nueva realidad que va a impactar e influir en los planes estratégicos de digitalización de las entidades, revisando las arquitecturas presentes y futuras para garantizar las sostenibilidad y resiliencia de las empresas en situaciones críticas.

Y, lo más importante, vamos a asistir a un replanteamiento del mundo laboral y el desempeño profesional con una nueva dimensión de puesto de trabajo. La flexibilidad requerirá de inversiones inteligentes en los modelos que mejor se adapten a nuestro productos y servicios, con especial hincapié en el factor humano y su equilibrio personal y profesional.

Xabier Mitxelena Ruiz
Accenture Security Lead