Checklist de ciberseguridad para empresas con teletrabajo

En las últimas semanas vivimos inmersos en una pandemia sin precedentes, que nos ha empujado a tele-trabajar como nunca antes. Millones de personas en todo el mundo y cientos de miles de empresas son primerizos en esto, lo que exige un esfuerzo de aprendizaje por parte de todos.

Sólo así podremos garantizar que el Work From Home (WFH), como se le conoce en inglés, garantice que nuestros niveles de productividad y seguridad se mantengan de forma similar al trabajo en la oficina.

Checklist para el Work from Home o teletrabajo

A continuación haré un breve repaso por aquellos elementos que debemos implementar o considerar de cara a prestar un servicio en remoto con todas las garantías.

Esto es especialmente sensible para empleados que trabajan en sectores regulados por normativas como PCI-DSS o HIPAA, así como cualquier trabajador de una empresa que deba cubrir con una política RGPD estricta.

Configuraciones en los dispositivos

Tras el surgimiento del COVID-19 y con las primeras medidas de confinamiento implantadas en China, la venta de aparatos informáticos de segunda mano se disparó.

En caso de que la empresa proporcione todo, habrá que inventariar. Si el plan consiste en que los empleados utilicen su propio equipo (BYOD) es necesario asegurarse de que es apropiado.

No solamente hablamos de que el hardware sea apropiado y disponga de las comunicaciones necesarias, sino del software necesario para realizar sus funciones.

Evitar el Shadow IT

Además de lo anterior, deberemos controlar la idoneidad del software instalado en el equipo y sus condiciones de seguridad, que deberán ser equivalentes a las de la empresa e incluir controles.

Según McAfee, un 25% de datos sensibles pertenecientes a empresas, que viaja hacia la nube, lo hace a través de aplicaciones con un riesgo medio o elevado, no estando aprobadas por la empresa.

Esto es lo que se conoce como shadow IT, que quiere decir que los empleados utilizan software para trabajar que no ha sido aprobado por el departamento de IT. Por supuesto, deberemos reaccionar ante las nuevas vulnerabilidades que puedan aparecer (caso reciente de Zoom, entre tantos) para parchear o denegar accesos.

A este efecto podemos usar una herramienta de compliance y auditoría de dispositivos como MetaAccess de Opswat (o cualquier otra) para aprobar o denegar el acceso a los mismos en función de su estado de seguridad.

Conexión a la red corporativa

En aquellos casos en que la plantilla necesite accesos a la red de la empresa, nos aseguraremos de que se hace con unas medidas de seguridad acorde. Es conveniente usar para esto una VPN o Red Privada Virtual. Y también probarla.

Llegados a este punto es conveniente familiarizarnos con estándares como Zero Trust Network Access o Software Defined Perimeter.

Software Defined Perimeter permite securizar redes para hacerlas más resilientes ante ataques DoS y escaneos de puertos, aunque requieren algo más de tiempo para configurarlos. Los resultados observados por el IEEE arrojan resultados prometedores para este modelo de seguridad.

Una arquitectura Zero Trust para acceso de red se utiliza para atajar los problemas derivados de fugas de información, introduciendo el concepto de confianza cero en una arquitectura de red (never trust / always verify).

Utiliza conceptos como la micro-segmentación de red para prevenir el movimiento lateral, prooprcionando prevención de amenazas en capa 7 y facilitando controles de usuario granulares.

Algunos appliance domésticos, como Firewalla (recomendado), Bitdefender Box o Fingbox, pueden ayudarte en gran medida a mantener la seguridad en tu red, protegiendo confidencialidad e integridad de los archivos de tu empresa.

MDM o Mobile Device Management

Otra de esas «palabrejas» tan usadas en seguridad informática. Lleva con nosotros muchos años ya, siendo un tipo de solución que ha alcanzado la madurez y que nos ayuda a controlar y asegurar que los dispositivos móviles y portátiles de nuestra empresa funcionan en condiciones óptimas.

Con un buen MDM (Intune de Microsoft, por ejemplo), un administrador puede asegurarse de que todos los dispositivos reciben las pertinentes aplicaciones y parches en bloque, sin tener que hacerlo individualmente.

En casos como el actual (por ejemplo, un usuario abandona la empresa) con la cuarentena, que impiden administrar nada presencialmente, es especialmente necesario para, por ejemplo, eliminar datos confidenciales de la empresa a distancia.

Hardening o securización

Ahora más que nunca esa linea entre lo personal y lo corporativo es borrosa. Los empleados deben tener presente que las políticas de seguridad de la empresa siguen aplicando fuera de esta.

No queremos que los empleados descarguen en equipos de trabajo otras apps que puedan poner en riesgo datos de terceros clientes de la empresa. Tampoco que se extralimiten en cuanto al uso que hacen del equipo y por supuesto no queremos que abran enlaces que puedan comprometer el mismo.

Contraseñas seguras (1) (2) y configuración de autenticación de doble factor o 2fa son grandes aliados en estos casos, así evitaremos accesos no autorizados a los equipos. Algunas aplicaciones no permiten uso de 2fa, así que pondremos mucho énfasis en las contraseñas.

Además, como usuarios es necesario asegurarnos de proteger nuestro router doméstico ante ciberataques, asignando las medidas de seguridad óptimas. Tampoco está de más cambiar los servidores DNS del mismo por unos más seguros.

Confienciación y formación

Esto es algo que deberíamos estar haciendo como forma de nuestro programa de mejora continua para respuesta ante ciberataques, concretamente la capa 8 (el usuario). Si no es así, es un buen momento para empezar.

Es importante informar a la plantilla de los riesgos que supone el teletrabajo y ayudarles a detectar y responder ante amenazas de una forma constructiva. Algunos recursos aquí comentados son SecurityIQ o GoPhish.

Como usuario, comprueba siempre con el debido detenimiento los nombres de dominio y direcciones de email. Si tienes dudas sobre, por ejemplo, la veracidad de la identidad de una dirección de correo, contacta usando un método alternativo. También puedes extraer las cabeceras de email para detectar ataques de phishing.

Si tienes la menor sospecha sobre cómo se comportará un archivo (tanto ejecutable como si no lo es) usa un servicio de comprobación online como Virustotal, Metadefender o alguno de Threat Hunting.

Y por último, puedes dirigirte a mi sección de libros y cursos donde, entre otras cosas, hay cursos de protección frente ingeniería social.