Teletrabajo y Ciberseguridad en tiempos de COVID
Con la situación mundial generada por el COVID-19, el teletrabajo, se ha implementado en las empresas como algo básico y necesario. Ante esa necesidad se vuelve imprescindible proteger, aún más, los sistemas de información de las empresas.
Evidentemente las organizaciones se vuelven más vulnerables al habilitar accesos a los empleados, que necesitan entrar desde sus casas a estos sistemas de información.
¿Cómo se protege una empresa ante estos accesos?
Primero, reforzando los sistemas de autenticación para hacer los accesos de los usuarios lo más seguros posibles. Los sistemas de autenticación basados en usuario y contraseña no son muy robustos y suelen ser poco fiables. Por ello, implementar un doble sistema de autenticación, como puede ser SMS al móvil refuerza estos accesos. Además la mayoría vienen predefinidos por el proveedor de correo. Aunque también puedes incorporar en tu empresa, un sistema de doble factor comprobación utilizando herramientas que suelen ser de pago.
Otra manera es utilizar sistema de escritorios virtualizados. Es decir, tu puedes acceder a a tu empresa con dos formas: con una VPN , con la cual tu PC de casa se conecta directamente a la red de la empresa como si estuviera en ella, o a través de un escritorio remoto, de tal forma que tu PC no está conectado a la red de la empresa, es una pantalla que utilizas dentro de tu ordenador, que te muestra información de la empresa. Lo que se protege, a nivel organización es ese escritorio remoto virtual, de forma que aunque tu PC no esté protegido ese escritorio si lo estará. Por supuesto, este segundo método es más seguro y más utilizado en los últimos tiempos.
¿Quién activa estas medidas de protección? ¿El trabajador o la empresa?
Es la empresa, como propietaria de esos sistemas de información, la que es responsable de gestionar sus propias configuraciones y accesos a esa información.
Una vez más, la cultura de los usuarios es fundamental para garantizar la seguridad. De nada sirve tener complejos procedimientos de almacenado de contraseñas, si después, de forma inconsciente, los trabajadores apuntan su contraseña en un papel que después pegan al ordenador de trabajo. Además de los accesos, hay otras técnicas más sencillas, como el bloqueo automático de pantalla. En el contexto que estamos hablando de teletrabajo, es raro, que en casa que pueda pasar algo, pero estas situaciones son más probables si estamos trabajando desde un sitio público, como puede ser una cafetería o un hotel.
Son escenarios un poco “paranoicos” pero que pueden suceder.
¿Quién es más peligroso para una organización, las personas internas o las externas?
Las personas externas siempre querrán obtener algún beneficio económico de ese acceso a la información, ya que sino no se plantearía un ataque. Por otro lado, los trabajadores pueden producir riesgos innecesarios de forma más frecuente e inconsciente. Cualquiera puede comprometer información de la empresa sin quererlo, como por ejemplo, estas en una cafetería con tu ordenador del trabajo, y un mirón te está viendo cómo meter tu contraseña. Es peligroso el empleado, pero es más peligroso es el que está intentando usurpar la identidad, aunque realmente se produce por un comportamiento de un trabajador interno.
El trabajador interno, sobre todo en empresas grandes, puede presentarse como una amenaza, porque tiene acceso a mucha información que es muy fácil sacar a la luz y pensar que nadie va acceder. Controlar a los externos es fácil porque tienes u único punto de acceso, pero controlar que desde dentro de la organización, no salga información hacia fuera, es más complicado.
Como conclusión final, de esta serie de Post sobre Ciberseguridad, añadir que los ataques más comunes y los más fáciles de producir, son los que más se dan en la realidad, y los que podríamos denominar los más «simples». Un buen nivel de seguridad sin cosas paranoicas requiere esfuerzo por parte de todos los integrantes de una organización. La cultura de los usuarios, sumado a un buen plan de detección y contención garantiza un buen nivel de seguridad para cualquier empresa.
Posted By: LuceTeam
>>Lee el 1º post sobre Ciberseguridad
>> Lee el 2º post sobre Ciberseguridad
