La crisis producida por la Covid-19 en la que todavía estamos inmersos nos ha sumergido en un excepcional escenario en el que convivimos con medidas concretas para protegernos del virus y frenar su propagación: distanciamiento social, mascarilla, mamparas, gel hidroalcohólico… Pero también en tan solo unos meses hemos asistido a la rápida digitalización de nuestra vida cotidiana y a la implantación de una nueva realidad profesional: la actividad laboral se ha trasladado de las oficinas a los hogares, poniendo a prueba la capacidad de organizaciones y usuarios para hacer frente a posibles amenazas y ciberataques. Si está claro que la mascarilla ya forma parte del día a día… ¿no debería formar parte de la “indumentaria” diaria de nuestras herramientas de trabajo: ordenador, smartphone, tablet,…?
Hoy, 9 de febrero, Día Internacional del Internet Seguro, son muchos los ciudadanos y empresas que continúan combinando el trabajo presencial y a distancia, lo que conlleva reforzar la ciberseguridad a todos los niveles.
Y es que, basta con echar un vistazo al último Informe «Ciberamenazas y Tendencias 2020» presentado por CCN-CERT -organismo que ya al inicio de la crisis publicó sendos documentos sobre Recomendaciones de Seguridad para situaciones de Teletrabajo y Refuerzo en Vigilancia– en el que ya pronostica que «la pandemia de COVID-19 seguirá marcando muchas de las amenazas y riesgos en los próximos meses, muchos de estos directamente relacionados con el aumento del teletrabajo».
El estudio hace hincapié además en que el mayor uso de soluciones en la nube, conexiones VPN, servicios de escritorio remoto virtual (VDI), redes de confianza cero y gestión de identidades, aplicaciones de videoconferencia, etc., generará que los ataques a estos entornos, en especial a los sistemas públicamente expuestos, sigan creciendo.
Igualmente, el Instituto Nacional de Ciberseguridad (INCIBE) ha realizado durante estos meses diferentes guías y documentos sobre Ciberseguridad en_el_teletrabajo. Y es que pese a que los trabajadores sigan las indicaciones de seguridad, hay ocasiones en las que pueden comprometer la seguridad y la privacidad del puesto de trabajo dando lugar a situaciones que son aprovechadas por los ciberdelincuentes para llevar a cabo sus ataques de manera exitosa. INCIBE publicó una infografía -aquí te la dejamos- donde resume los aspectos más importantes en materia de seguridad y privacidad que debemos tener en cuenta a la hora de realizar nuestras tareas en el puesto de trabajo.
¿Y cómo podemos protegernos de ciberataques, amenazas y vulnerabilidades? Desde Cuadernos de Seguridad también hemos querido ofrecer a nuestros seguidores un bloque de recomendaciones para saber cómo «ponerle la mascarilla a nuestro ordenador», y ayudar a identificar y prevenir las ciberamenazas, de la mano del conocimiento y experiencia de expertos y empresas de referencia en el ámbito de la ciberseguridad. Adelante¡¡¡¡…. Ellos nos dan la clave.
Para Fernando García Vicent, director de Operaciones de MNEMO, es preciso no utilizar ordenadores o dispositivos personales para acceder a la información corporativa, ya que en el caso de que estos equipos estén infectados, «podría implicar problemas de confidencialidad de la información de la organización o generarse brechas en el control de accesos remotos, permitiendo a usuarios malintencionados acceder a los sistemas corporativos con escalada de privilegios».
Además, añade que es fundamental mantener los equipos de los empleados actualizados con los últimos parches de seguridad del sistema operativo y del software instalado, especialmente los clientes VPN, al tiempo que insiste en la importancia de extremar las precauciones respecto a los ataques de phishing y «bloquear el acceso corporativo en aquellos sitios fraudulentos que suplanta la identidad de organizaciones conocidas».
Posibles brechas de seguridad
Lo cierto es que cada conexión externa es una posible brecha de seguridad si no se controla y monitorea. Luis Miguel García, Responsable de Desarrollo de Negocio de WALLIX, explica que el teletrabajo implica que una persona que procede de una red externa se «conectará a las aplicaciones y servidores de la organización» y se cuestiona: ¿Cómo estar seguro de que esta persona es quien pretende ser?
Los empleados que realizan su jornada laboral desde casa a menudo utilizan sus dispositivos personales para trabajar, en los que se ejecutan aplicaciones personales, que también pueden verse comprometidas. «Las cuentas compartidas y las contraseñas débiles son probablemente las peores molestias de los equipos de TI cuando se trata de trabajo remoto. Para garantizar la seguridad de los datos, las organizaciones deben poder administrar el control y monitorear quién tiene acceso a los datos para evitar cualquier violación o robo», añade Luis Miguel García.
Hoy en día las organizaciones no tienen que sacrificar la productividad para ganar seguridad, ya que existen soluciones integradas y fáciles de implementar que ayudarán a los CISO a obtener lo mejor de ambos mundos. «Es el caso de una solución IDaaS que puede ayudar a prevenir el robo de identidad al certificar la identidad del usuario antes de otorgarle acceso a aplicaciones críticas. Pero también ayudará a aumentar la productividad de los equipos de TI al simplificar la administración de identidades y el acceso a las aplicaciones», explica García.
Para Pablo F. Iglesias, consultor de Presencia Digital y Reputación Online, el principal handicap es la reticencia a los cambios desde dos ámbitos. Desde el campo empresarial debe ser «la compañía quien ponga el ordenador de trabajo y dé los recursos necesarios al empleado para que éste pueda desempeñar su trabajo de forma segura, privada y productiva». El consultor hace especial hincapié en mantener el ciclo de vida de los recursos informacionales (documentos, archivos, etc.) gestionados únicamente en el entorno de trabajo que hayamos diseñado.
A nivel de dispositivos en el teletrabajo, según Iglesias, se cumple la misma premisa que ya ocurría con el trabajo en oficina: Los dispositivos deben estar gestionados por el equipo IT de la compañía, o en caso de no existir, mantenerse actualizados constantemente, « tanto el sistema operativo, como las bases de datos antivirus que utilicemos, como por supuesto el software de trabajo».
Por otro lado, desde el punto de vista del teletrabajador, hay que luchar con esa esperable reticencia al cambio y entender que esto ha venido para quedarse. Es más, entender la digitalización como una oportunidad de destacar por delante de todos aquellos que o bien no están dispuestos, o directamente no tienen el conocimiento y/o los recursos necesarios para afrontarla.
Protección de contraseñas, cifrado de dispositivos…
Desde Kaspersky Iberia, su director general, Alfonso Ramírez, destaca entre sus recomendaciones para un trabajo remoto seguro, poner en marcha medidas para proteger los datos y los dispositivos corporativos, como es el caso de «protección de las contraseñas, cifrado de dispositivos de trabajo y copias de seguridad de los datos», así como programar una formación de concienciación de seguridad para los empleados, donde se aborden aspectos como gestión de cuentas y contraseñas, seguridad del correo electrónico, y seguridad de los endpoints y la navegación web.
Por su parte, Laura Martínez Pablo, Service and Technical Manager CCSA de Wise Security Global, desglosa en dos las pautas imprescindibles para proteger la
información de las empresas. A nivel usuario, destaca la protección de la wifi doméstica -cambiar la contraseña de acceso al router y la wifi-; protección en las videoconferencias -revisión de invitados, contraseñas de acceso o mantener las aplicaciones de videollamadas utilizadas actualizadas; navegación segura (https) y estar alerta a la recepción de correos que pueden ser dañinos. «Es importante revisar remitente, si no es conocido evitar hacer clic en links y abrir adjuntos», puntualiza.
A nivel organización, Martínez Pablo destaca como pautas a tener en cuenta garantizar el acceso remoto mediante VPN, así como «concienciar a los empleados sobre los riesgos asociados al teletrabajo y medidas de protección; pero también formarlos para saber cómo reaccionar ante estos riesgos y adquirir un mayor conocimiento en el uso seguro de herramientas corporativas e, incluso, de herramientas de seguridad (gestores de contraseñas, EDRS…)».
