La seguridad en los dispositivos y el trabajo remoto

La seguridad del lado de la organización

Los dispositivos y sus conexiones deben estar bajo medidas y herramientas englobadas en una estrategia global y orientada a proteger los datos tanto en los servidores como en su viaje a través de la red y en los terminales. Del lado de la organización, los principales elementos de esa estrategia serían los siguientes:

• Definición y aplicación de la política corporativa de ciberseguridad. La organización deberá exigir a todos los empleados que acepten y firmen la política de ciberseguridad, independientemente de si teletrabajan o no. Esta política deberá cubrir todos los protocolos de seguridad que se espera que los empleados cumplan, cómo la compañía los ayudará a cumplirlos.
• Asignación de dispositivos. Desde el inicio, la infraestructura debe ser capaz de añadir nuevos dispositivos y asignarlos al usuario correspondiente de manera rápida y efectiva. Normalmente están basados en un procedimiento de solicitud y asignación de los dispositivos móviles.
• Registro. El sistema de asignación habrá de estar complementado con un sistema de registro e inventario activo que permita no sólo registrar los dispositivos móviles asignados (qué dispositivo se asigna y a quién se le asigna), sino que también responda mejor las necesidades del personal. Estos sistemas permiten además registrar el uso que se da al dispositivo.
• Mantenimiento. El mantenimiento de los dispositivos ha de estar restringido al departamento responsable. Por tanto, debe prohibirse a los usuarios que hagan cambios en el hardware, instale software o modifique la configuración del equipo sin autorización del departamento técnico.
• Almacenamiento de datos. La política de ciberseguridad corporativa debe incluir mecanismos de control y prevención sobre el almacenamiento de datos en los terminales. La información corporativa que no sea estrictamente necesaria para el desarrollo de las tareas del usuario no debe almacenarse en el dispositivo. Y, si se va a acceder a la información desde varios dispositivos, esta tiene que estar sincronizada para evitar duplicidades y errores en las versiones.
• Tratamiento de la información confidencial. En tiempos pasados, esto hubiera sido una mera recomendación; en nuestros días, se trata de una obligación por parte de todas las empresas que deben operar conformes a legislaciones como el RGPD. Toda la información confidencial debe almacenarse cifrada. También es una buena práctica utilizar un sistema normalizado de terminación, de forma que la información sea eliminada de forma segura una vez concluido su ciclo de vida.
• Formación de los empleados. No solo se trata de errores involuntarios. En el contexto actual de la ciberseguridad en el teletrabajo, la ingeniería social supone la ejecución de ataques bajo engaño. Phishing, vishing, “estafa del CEO”, … Contar con un programa de formación eficaz es clave para mantener la seguridad de los dispositivos. Es recomendable implementar programas de formación eficaces, que garanticen que los empleados aplicarán las mejores prácticas, complementando esta formación con una labor de concienciación tiene que ser constante.

La seguridad del lado del usuario

El trabajo remoto no tiene que poner en peligro la seguridad de los datos. Una vez que se educa a los trabajadores remotos y se implementan estos procedimientos de seguridad cibernética para evitar riesgos de privacidad y seguridad en el teletrabajo.

1. Responsabilidades. El usuario es el responsable del equipo portátil o móvil que se le ha facilitado, por lo que deberá garantizar la seguridad tanto del equipo como de la información que contiene. El usuario aplicará las normas recogidas en la Política de uso del puesto de trabajo.
2. Transporte y custodia. El equipo no debe quedar expuesto a altas temperaturas que puedan dañar sus componentes, y el usuario debe impedir que se pueda acceder a la información almacenada en el mismo. En caso de robo o pérdida del equipo se debe notificar de manera inmediata al personal técnico responsable.
3. Seguridad en las conexiones. El uso de redes Wi-Fi no seguras es la forma más común de exponer a una empresa a una violación de seguridad de datos. La solución más fácil es habilitar una red privada virtual (VPN). El uso de VPN antes de iniciar sesión en las redes Wi-Fi públicas cifrará el tráfico de Internet del trabajador remoto y supervisará cualquier signo de infección.
4. Contraseñas. Educar a los trabajadores remotos sobre la protección con contraseña es esencial para proteger los datos de la empresa. Otra forma de mitigar este riesgo es utilizar un gestor de contraseñas que genere contraseñas y que almacene todas las contraseñas de manera segura.
5. Aplicaciones de protección. Firewalls, antivirus, IDS/IPS… La organización debe exigir a los teletrabajadores que cuenten con aplicaciones de protección como firewalls, software antivirus y antimalware, siempre actualizados en todos sus dispositivos, incluyendo móviles, tabletas y portátiles.
6. Notificación en caso de infección. Vemos en todos los puntos anteriores que la colaboración del usuario es un elemento clave para la seguridad del trabajo remoto. Si se sospecha la infección por virus u otro software malicioso, se debe notificar a la mayor brevedad posible al personal técnico responsable.

Qué tecnologías utilizar para proteger los dispositivos

En los últimos años, y especialmente con motivo de la pandemia de la COVID-19, el desarrollo de tecnologías para proteger la información de los teletrabajadores. A ello han contribuido no solo los fabricantes de dispositivos y las empresas de ciberseguridad, sino también los creadores de los sistemas operativos. He aquí algunas de ellas.

• Protección de la BIOS. Los equipos portátiles corporativos tendrán el acceso a la BIOS protegido con contraseña para evitar modificaciones en la configuración por parte del usuario.
• Cifrado. Programas de chat, correo electrónico, aplicaciones… todo debe utilizar cifrado de extremo a extremo. Lo más recomendable es utilizar autenticación multifactorial (MFA), que verifica la identidad de un usuario al solicitar primero un nombre de usuario y contraseña, así como otros datos como «respuesta a una pregunta secreta» o un código enviado a un móvil.
• Aplicaciones virtualizadas. Con la opción de la virtualización de aplicaciones el usuario puede ejecutar en su dispositivo una aplicación que no está instalada en el equipo. La aplicación es ejecutada gracias a un paquete que contiene las configuraciones necesarias.
• Backup de datos en la nube. De igual forma deben tomarse medidas para que la información ahí almacenada permanezca segura. También se puede activar un sistema de verificación, de forma que cada vez que el usuario quiera acceder a la nube le sea enviado un mensaje de texto con un código que deberá introducir para poder ingresar.
• Software de localización. En el caso de que se considere necesario instalar o activar algún software de localización se comunicará al usuario del dispositivo antes de realizar la entrega del mismo. El usuario que va a estar geolocalizado debe firmar un documento aceptando esta condición.
• Borrado de datos. También se puede considerar la posibilidad de borrar dispositivos de forma remota en caso de pérdida o robo. Las plataformas de gestión de dispositivos móviles (MDM) pueden realizar estos servicios.

Consideraciones éticas y legales

La movilidad en el ámbito empresarial ha traído consigo la necesidad de plantear nuevos modelos de gestión. Las herramientas MDM (Mobile Device Management) permiten, por ejemplo, permiten instalar y actualizar sistemas operativos y aplicaciones, incluso encapsular su utilización en redes aisladas, así como rastrear dispositivos por GPS, o detectar y notificar cuando un dispositivo está en riesgo, o bloquear o eliminar su contenido remotamente. También permiten incorporar mecanismos de gestión de identidades y accesos (IAM) forzando, por ejemplo, la aplicación de políticas concretas de gestión de contraseñas. Incluso se pueden activar antivirus, control de acceso NAC o servicios de seguridad en la nube.

Y aquí llega el dilema: disponer de mecanismos que permitan acceder a los dispositivos móviles corporativos resulta de vital importancia, pero... ¿es lícito acceder al contenido del dispositivo? ¿Es legal monitorizar su geolocalización? ¿Se pueden supervisar las actividades de los usuarios? Sí, en principio, si previamente se ha notificado a los empleados sobre el uso y control que la compañía puede ejercer cuando les cede equipos que son de su propiedad y sobre el tipo de tratamiento de datos que se llevará a cabo. Y, por supuesto, debe darse un total cumplimiento de la normativa vigente en materia de privacidad de datos.

No es, en definitiva, un tema sencillo. Y menos ahora que también es posible implementar sistemas Out of Band, que permiten controlar los dispositivos incluso cuando están apagados. Un aspecto a considerar, además, porque afecta al fabricante e implica prácticamente un control absoluto sobre el equipo. Por ejemplo, Intel proporciona su solución Intel vPro; Apple, por su parte, ofrece servicios LOM (Lights Out Management) para el encendido y apagado de sus equipos utilizando certificados digitales.

En cualquier caso, nadie duda que el teletrabajo es una opción esencial para cualquier organización, y que la seguridad es un aspecto clave no sólo para evitar pérdidas de información y reputación, sino también para garantizar el cumplimiento normativo.