Si la práctica del teletrabajo era minoritaria, la adopción de la tendencia BYOD (Bring Your Own Device) era prácticamente inexistente.
El tener que poner en funcionamiento el teletrabajo y el BYOD de forma inmediata ha hecho saltar por los aires todas las normas de seguridad del puesto de trabajo. Los pilares de la seguridad de la información: confidencialidad, integridad y disponibilidad se han puesto en peligro.
¿Estamos valorando todos los factores que se deben tener en cuenta? ¿Estamos sacrificando la seguridad en pro de la rapidez de implantación?
Hasta hoy nos preocupaba la seguridad de los equipos de los usuarios, instalábamos los últimos antivirus, anti troyanos, antimalware… Bastionábamos los equipos, les implantábamos políticas de seguridad, delimitábamos de forma clara los privilegios de los usuarios, grupos, roles y configuración de servicios con herramientas como Active Directory, LDAP, contraseñas, Firewall, etc.
Estos días, muchas compañías han optado por la solución más rápida y sencilla: que los empleados se conecten en remoto a las oficinas mediante una Red Privada Virtual, una VPN (Virtual Private Network), de tal manera que a partir del momento de la conexión el usuario está dentro de la red de la empresa, y puede trabajar como si estuviera sentado en su puesto de trabajo.
Permitiendo este tipo de conexión estamos bajo la falsa seguridad de una “red privada”, y muchas veces es cualquier cosa menos eso. Una VPN nos “garantiza” que la información que circula por ella no es accesible por terceros, estamos a salvo de un ataque tipo “the man in the middle”, pero expuestos a muchos otros riesgos. Por eso, deberíamos plantearnos preguntas como: ¿Hemos fallado desde el principio? ¿Hemos configurado bien la VPN? ¿A qué nos da acceso al VPN? ¿A la LAN, a la DMZ? ¿Qué puertos nos deja utilizar? ¿Qué visibilidad de red nos proporciona? ¿Nos permite el acceso al almacenamiento compartido? ¿Nos aísla del entorno?
Y el equipo desde el que nos conectamos, ¿Qué garantías de seguridad ofrece? En la mayoría de los casos ninguna. El equipo TI no tiene ningún tipo de control sobre el dispositivo personal del usuario. No ha sido revisado ni preparado, muy probablemente por falta de tiempo. Y mucho menos la infraestructura que el usuario utiliza para realizar la conexión.
En un mal escenario, más habitual de lo esperado, si el dispositivo o la red del usuario es hackeada, los ciberdelincuentes tendrán la puerta totalmente abierta para acceder a los sistemas corporativos en el momento en que el empleado se conecte. Es más, las amenazas se podrán propagar fácilmente por toda la red de la empresa, incluidos los servidores y desde ahí podrán alcanzar los dispositivos y redes de todos los usuarios conectados.
Otro aspecto en el que muchas empresas han hecho hincapié durante los últimos años es la seguridad de acceso a la información, ya bien sea por protección industrial, derechos… Sobre todo después de la puesta en marcha de la Ley de Protección de Datos y Garantía de Derechos Digitales. ¿Cómo está de comprometida esa seguridad ahora?
Estamos viendo que la solución elegida en muchos casos ha sido la de conectar a los usuarios por escritorio remoto con sus equipos de sobremesa, probablemente la única solución encontrada. Es decir, el usuario, a través de la VPN alcanza la red de la empresa. Mediante la DMZ tenemos los servidores protegidos, ninguna comunicación directa desde internet con ellos, pero, sin darnos cuenta, podemos tener al enemigo en casa.
Con la expansión del Coronavirus se ha restringido la movilidad de los ciudadanos, que se han visto obligados a limitar sus relaciones sociales a los propios miembros de la unidad familiar. Y paradójicamente desde los departamentos TI de muchas organizaciones estamos promoviendo un GangBang con los sistemas informáticos. Nuestros datos se están poniendo incontroladamente en contacto con sistemas de terceros de forma promiscua, sin los sistemas de protección más básicos.
Las medidas que se están adoptando para proporcionar soluciones de teletrabajo en muchas empresas incumplen todas las normas de seguridad que han estado vigentes hasta la fecha. Una imprudencia en la que se está cayendo por la premura con la que se está teniendo que cubrir la necesidad de que los empleados trabajen en remoto.
Existen soluciones que minimizan el impacto, basta con escoger una tecnología apropiada, que proporcione unas medidas de seguridad a la altura de las circunstancias. La virtualización de escritorios y vApp permite habilitar conexiones seguras a través de WAN, en las que la información no circula de un dispositivo a otro. Los usuarios simplemente visualizan los datos y trabajan con ellos, pero nunca están físicamente en sus equipos, que se convierten en meros clientes de conexión.
Los usuarios no tienen por qué acceder a la LAN, simplemente su información puede ser mostrada desde la DMZ securizando la red completamente.
Con una solución que incluya un broker y un tunelizador es posible implementar las políticas de seguridad que mejor se adapten a los requerimientos de la actividad profesional de cada grupo de usuarios. En caso de experimentar un fallo de seguridad, la amenaza se puede aislar y solucionar fácilmente.
La adopción de escritorios y vApp virtuales permite al equipo TI tener los datos bajo el control, supervisión, monitorización y seguridad de la empresa, sin asumir riesgos innecesarios.
¿Nos hemos planteado cómo podremos acotar un problema de seguridad en caso de que surja en una solución tan distribuida? Otra cosa que podemos hacer es como los tres monos sabios: ni lo vemos, ni lo oímos, ni hablamos de ello.
Autor: Félix Casado, CEO de VirtualCable
Si necesitas implantar una solución de teletrabajo en tu organización con las máximas garantías de seguridad, solicita información sobre nuestro broker VDI y vApp UDS Enterprise a través de [email protected]
0 comentarios