Los riesgos del teletrabajo, ¿se está generalizando esta práctica a la ligera?
Credenciales y redes inseguras, dispositivos infectados, personal sin formación… Así son los riesgos del teletrabajo. Un fenómeno que ha venido para quedarse pero que entraña amenazas de ciberseguridad serias
Marta es una máquina en lo suyo. La mejor comercial de su empresa. Pero hace solo unos días desató, sin quererlo, un incidente de ciberseguridad grave. La lio parda, vamos. Se conectó con su equipo personal desde casa a la red de su empresa y acabó infectando con malware varios servidores. Uno de los riesgos del teletrabajo.
Un fenómeno que ha venido para quedarse. Sí. Pero que entraña graves amenazas para aquellas empresas que no entiendan la dimensión del mismo.
Para aquellas que, por ejemplo, eludan contar con servicios de ciberseguridad capaces de analizar esta casuística concreta.
El caso de Marta evidencia, quizás, una de las grandes lagunas de la generalización del teletrabajo. La falta de formación en los trabajadores, que lleva implícita en muchas ocasiones una incorrecta separación entre los medios personales y los corporativos.
La digitalización está obligando ya a miles y miles de empleados a actualizar sus conocimientos en campos que, las más de las veces, les resultan ajenos. Y en muchos casos hasta hostiles.
Sostiene el Incibe que la implantación del teletrabajo está obligando a las empresas a ser muy proactivas en la formación de sus plantillas. No hacerlo puede resultar una temeridad.
La proliferación de los ataques con ransomware o malware en los últimos meses deberían haber hecho saltar todas las armas. Hay demasiado en juego.
Óscar Mallo, cibersecurity advisor de Tarlogic Security, advierte de los riesgos del teletrabajo y de los agujeros de seguridad que puede generar una deficiente configuración de los equipos y sistemas que intervienen en esta operativa.
«Enviar a los trabajadores a casa amplía la superficie de exposición de ataque a la infraestructura tecnológica de una organización si no se hace de forma adecuada. No se puede activar el teletrabajo a la ligera», alerta.
Seguramente el mejor punto de partida sea hacer entender a toda la plantilla que el teletrabajo precisa de una sensibilidad especial por su parte para evitar comportamientos inadecuados.
Acceso a redes no seguras
Acciones como conectarse al sistema de la empresa a través de redes no seguras. Las de un aeropuerto o una cafetería, sin ir más lejos. O por medio de equipos no corporativos que en muchos casos carecen de actualizaciones de seguridad.
A saber, todas ellas vías de entrada para los ciberdelincuentes.
En este punto, Óscar insiste en que las compañías deben habilitar estaciones seguras para aquellos empleados que van a acogerse al teletrabajo. «Cualquier puesto debe concebirse como una extensión de la empresa. Un puesto en remoto que debe contar con todas las garantías de seguridad adecuadas».
Depositar la confianza en los equipos personales de los trabajadores no parece una opción. Permitir que el portátil de un empleado se conecte a los sistemas de la empresa sin constatar si está actualizado y protegido no es razonable.
Si está infectado, y muchos lo están, tendrá todas las papeletas por ejemplo para propagar un malware por los sistemas de su compañía.
Si las protecciones no están actualizadas, algo aún más frecuente, podría ser atacado con relativa facilidad por los malos.
Esta misma semana Microsoft presentaba Windows 365 para hacer frente al reto que las empresas tienen sobre la mesa. Se trata de un servicio cloud que utiliza tanto la potencia de la nube como las capacidades del dispositivo para ofrecer una experiencia de Windows completa y personalizada.
Y todo ello, en un entorno seguro y construido de acuerdo con los principios de Zero Trust.
El objetivo de la multinacional arroja poco lugar a dudas: «Es un avance innovador en un momento en que las organizaciones de todo el mundo buscan la mejor manera de facilitar modelos de trabajo híbridos, en los que los empleados pueden trabajar tanto desde la oficina como ubicados en cualquier lugar del mundo».
Visión integral y contención de riesgos
La receta, a la vista está, parece clara. Las empresas deben contar con servicios de ciberseguridad que garanticen una visión integral para afrontar los riesgos del teletrabajo.
Actuaciones como la correcta configuración de los accesos VPN o de las aplicaciones que puedan estar expuestas directamente a Internet, léase algo tan cotidiano como una Intranet, resultan indispensables.
Óscar Mallo insiste además en este punto en la necesidad de segmentar correctamente las redes corporativas para minimizar daños en caso de una intrusión.
Un mecanismo de seguridad que evitaría la expansión de un ataque con ransomware, por ejemplo, en caso de que se produjera.
Limitar el acceso del empleado sólo a aquellos recursos y servidores que sean estrictamente necesarios en función de sus responsabilidades o evitar el uso de software no autorizado por la compañía se alinean en esta misma estrategia.
Por descontado, da por hecho que es prioritario impulsar una política de credenciales seguras. Para sortear sin ir más lejos esa frecuente asociación entre el correo electrónico y el DNI como usuario y contraseña creada por defecto para acceder a las intranets corporativas.
Utilizar contraseñas seguras y también segundos factores de autenticación (herramientas como Google Authenticator, Microsoft Authenticator o FreeOTP, por citar algunas) se presentan hoy como requisitos básicos para contener los riesgos del teletrabajo.
Finalmente, insiste en la necesidad de realizar auditorías de seguridad periódicas en aplicaciones y sistemas para hacer frente a todas estas amenazas.
Y garantizar por el camino los pilares que han de guiar el teletrabajo:
- Disponibilidad.
- Autenticidad.
- Integridad.
- Confidencialidad.
- Trazabilidad.
Los cinco mandamientos de un fenómeno que ha venido para quedarse.
Cierto. Siempre que se hagan las cosas bien, claro…
Descubre nuestro trabajo y nuestros servicios de ciberseguridad en www.tarlogic.com/es/
En TarlogicTeo y en TarlogicMadrid.