Teletrabajo o Trabajo Inteligente

de Francesco Ongaro, 26/02/2020

Teletrabajo, Trabajo Ágil y Trabajo Inteligente en seguridad... informática!

Permitir a empleados y colaboradores acceder a los recursos empresariales de forma remota, sin límites de horario, para realizar sus tareas y colaborar con los colegas es un tema de gran interés con el que cada gerente tendrá que enfrentarse.

La pregunta es: ¿cómo hacer que el trabajo inteligente sea seguro para el patrimonio empresarial?

Si el robo de proyectos, listas de clientes y documentos es una preocupación para los empleados que trabajan en el escritorio de al lado, imagina cuánto, al menos psicológicamente, se siente el problema para un colaborador remoto que no podemos monitorear.

Por un lado, el acceso a la información es necesario para realizar las tareas, por otro lado, esta información a menudo se puede duplicar en masa y podría terminar en manos de nuestro competidor más feroz.

La seguridad de los espacios de trabajo virtuales debe planificarse y tomarse en serio. Tal vez con la ayuda de un socio confiable y especializado en Seguridad de la Información y Hacking Ético.

Querido lector, no escribo a menudo y cuando lo hago trato de comunicar información útil. Espero tener éxito en este intento y acepto con gusto tus sugerencias. Mi buzón de correo personal es francesco.ongaro@isgroup.it.

Francesco Ongaro es el Administrador Único de ISGroup SRL, una empresa italiana que se ocupa de seguridad informática ofensiva desde hace 15 años.

Los tipos de teletrabajo y trabajo inteligente

El teletrabajo es una solución cada vez más común para diferentes tipos de empresas y garantiza ahorro y flexibilidad tanto al trabajador como al empleador. Sin embargo, las herramientas de trabajo inteligente exponen a la empresa a riesgos relacionados con la Seguridad Informática y de la Información.

Una pequeña introducción sobre las modalidades de teletrabajo:

  • Desde casa (“home working” o “home office”) el trabajador siempre realiza su labor desde su domicilio o por períodos limitados de tiempo, por ejemplo, algunos días a la semana o en determinados períodos del año o en caso de eventos extraordinarios.

    Dotado de una oficina en casa, el trabajador o teletrabajador realiza sus tareas de manera autónoma y con herramientas propias o proporcionadas por la empresa.

    El nivel de seguridad varía según el uso exclusivo de herramientas de propiedad del colaborador o en el caso de que la empresa haya decidido invertir más dotándolo de herramientas empresariales.

  • En movilidad (“mobile working”, “working out” o “roadwarrior”) en todos aquellos casos en los que las actividades laborales se realizan en lugares siempre diferentes, como por ejemplo en la sede o el domicilio de un cliente, durante un viaje en coche o en tren o en una obra.

    Por cuestiones de espacio y transportabilidad, las herramientas no van más allá de las más comunes, por lo tanto, el ordenador portátil (un notebook/laptop o una estación de trabajo móvil), la tableta (iPad, Android y Windows) y el teléfono móvil.

    Este escenario es el más difícil de proteger ya que a los problemas de seguridad lógica se suman también los de seguridad física, tanto en el caso de herramientas propias como empresariales.

  • En centros de teletrabajo (ya sean “cottages tecnológicos” como estaba de moda en el pasado, o los más modernos “co-working”) en los que el trabajo se realiza en estructuras satélite de la empresa que pueden ser compartidas entre varias empresas o profesionales.

    Dado que el lugar físico está determinado y especialmente preparado, se pueden utilizar tecnologías avanzadas que en los casos anteriores no son pensables tanto en términos de hardware como de software.

    En el caso de estructuras compartidas, el nivel de seguridad alcanzable puede ser muy bueno, si se está interesado en ofrecer un valor añadido. El problema se asemeja al de ferias y eventos. En su momento ayudamos a EXPO2015 y Fiera Milano, así que contáctenos sobre el tema.

  • El teletrabajo Office-to-Office en el que la empresa dispone de oficinas no compartidas y de uso exclusivo en áreas distantes o diferentes de las de la sede central. Se trata de oficinas en todos los aspectos organizadas según los diferentes esquemas de espacio abierto, cubículo o habitaciones tradicionales.

    Este caso es particularmente común en aquellas empresas que operan en amplios territorios geográficos y en el caso de empresas multinacionales. El nivel de seguridad alcanzable es elevado gracias al interés directo en el uso de las mejores tecnologías de hardware y software.

Cómo asegurar el trabajo inteligente en el caso de sistemas no empresariales

Comencemos con el primer caso en el que el trabajador está en su propia casa. Si los sistemas utilizados para interactuar con los datos de la empresa son propiedad del prestador de servicios, no existe una forma de conocer su estado de seguridad y compromiso.

En este caso, recomendamos partir del supuesto de la total vulnerabilidad de los dispositivos y, por lo tanto, utilizar herramientas que creen un grado neto de separación entre los recursos empresariales y el usuario y los dispositivos pertenecientes a la red doméstica.

Para darles una idea de los riesgos, en numerosas cámaras económicas de fabricantes asiáticos prácticamente desconocidos se ha encontrado código malicioso que escanea la red y trata de exfiltrar datos. Por lo tanto, no es necesario que el empleado sea infiel para sufrir robos de datos.

Las arquitecturas capaces de crear esta separación son principalmente dos:

  1. Las aplicaciones web (“Web Application”) convirtiendo de hecho al teletrabajador en un navegante normal de un “sitio de internet” pero que sin embargo soporta un proceso empresarial particular.

    La seguridad se garantiza mediante un protocolo de comunicación cliente-servidor definido y conocido sobre la base del cual la aplicación web, si está bien diseñada, logra autenticar al usuario, autorizar el acceso solo a los recursos/información sobre los que se tiene permiso para operar y limitar la acción del usuario según una lógica de negocio bien definida (Business Logic).

    Para verificar que todo esto ocurra y que un atacante no logre eludir fácilmente los controles, se recurre al ámbito de la seguridad de las aplicaciones web. El consejo es someter la aplicación web a una Prueba de Penetración de Aplicaciones Web realizada por expertos y según prácticas reconocidas como la Guía de Pruebas OWASP (OWASP significa Open Web Application Security Project y es un proyecto estadounidense meritorio en el ámbito de la seguridad informática).

    Una Prueba de Penetración Web para una aplicación de complejidad media puede durar de cinco a diez días y costar entre 3500 y 10000 euros dependiendo de los casos. Es capaz de identificar las vulnerabilidades más importantes, incluso de lógica de negocio, en un tiempo razonable y tiene una fuerte connotación consultiva que le permitirá conocer una opinión de terceros. Si cree que conocer es un paso fundamental para actuar, esta es la actividad que le conviene y le invitamos a contactarnos.

  2. Las soluciones de Escritorio Remoto (“Remote Desktop” o “VDI”) que permiten al usuario acceder de manera gráfica e interactiva a un sistema operativo en ejecución en un servidor remoto, generalmente dentro de la empresa, y por lo tanto con acceso a los recursos a los que el empleado tendría acceso normalmente si estuviera físicamente en la oficina.

    La seguridad se garantiza mediante las restricciones a nivel de sistema operativo dispuestas en el sistema terminal, como por ejemplo Microsoft Terminal Services, Microsoft Remote Desktop, Citrix XenApp, VMware Horizon, solo por citar algunos de los más conocidos.

    Las potencialidades de un escritorio remoto son muchas (familiaridad para el usuario, un entorno unificado para la operatividad en la oficina y en remoto, la posibilidad de ejecutar aplicaciones y sistemas de gestión de Windows, etc.) pero también los riesgos potenciales ya que las oportunidades de interacción con el sistema operativo son más numerosas y variadas que con una aplicación web.

    El consejo es realizar una Prueba de Penetración en el escenario específico, es decir, una simulación de un atacante autenticado perteneciente al grupo de usuarios de teletrabajadores. El resultado será un informe detallado sobre los impactos identificados y los recursos accedidos.

En ambos casos, tanto de aplicaciones web accedidas a través del navegador como de sistemas accedidos a través de Infraestructura de Escritorio Virtual, la seguridad de las comunicaciones (es decir, cómo se transportan los datos, incluidas las credenciales de conexión, desde la conexión del trabajador a la conexión de la empresa) es particularmente importante. A este respecto, se deben seguir las Mejores Prácticas de configuración de los canales de comunicación segura HTTPS y TLS.

Cómo asegurar el trabajo inteligente en el caso de sistemas empresariales

Si, en cambio, se ha optado por dotar al trabajador de herramientas de propiedad de la empresa, es posible “extender” las políticas de seguridad empresariales de forma remota mediante herramientas de MDM (Gestión de Dispositivos Móviles) en lo que respecta a teléfonos móviles y tabletas y Políticas de Grupo de Windows en lo que respecta a los ordenadores portátiles Windows.

Para la elección y configuración de estos sistemas, como por ejemplo MobileIron Unified Endpoint Management, VMWare AirWatch o Kaspersky Security Center, por citar algunos, es bueno hacer uso de consultores expertos que realmente puedan proteger a la empresa de los riesgos informáticos. A veces sucede que estas herramientas no se hacen efectivas y representan solo un gasto.

Verificar la seguridad de los trabajadores móviles/roadwarriors

Para verificar la seguridad de los roadwarriors es posible realizar simulaciones específicas, como por ejemplo las de Hombre en el Medio (MitM, es decir, intercepciones de tráfico), en las que los dispositivos empresariales se conectan a una red deliberadamente insegura y maliciosa con el fin de captar información y causar daño tanto a la empresa como al trabajador.

La seguridad de los ordenadores empresariales utilizados para el trabajo a distancia

En empresas de tamaño mediano y grande, la instalación de los portátiles se realiza de manera automática y partiendo de imágenes que contienen la mayoría de las configuraciones y mejoras que el personal técnico ha identificado con el tiempo.

Meme Teletrabajo

Para las empresas más pequeñas, es recomendable tener una lista de requisitos básicos que tanto el hardware como el sistema operativo deben cumplir, so pena de encontrarse luego con versiones de Windows que no soportan las funcionalidades de seguridad que necesitamos.

Donde sea posible implementar una infraestructura tradicional, tanto en el caso de estructuras compartidas entre varias empresas como Co-Working o de oficinas periféricas, es posible alcanzar un excelente nivel de seguridad utilizando una combinación de tecnologías entre las que se incluyen:

  • Seguridad a nivel de red (autenticación de puertos de red 802.1x) y de redes WiFi (WPA 2 Enterprise con credenciales personales);

  • VPN Site-to-Site, sistemas de firewall y UTM capaces de identificar y prevenir los ataques y virus más comunes;

  • Registro, IDS e IPS para identificar los ataques y anomalías;

  • Algunas de las soluciones vistas hasta ahora en este artículo.

Es importante involucrar a expertos en seguridad en la fase de diseño de dichas infraestructuras para evitar errores arquitectónicos importantes.

Una vez implementadas, deben someterse periódicamente a:

  1. actividades de Evaluación de Vulnerabilidades con una frecuencia al menos trimestral capaz de verificar la correcta ejecución de los procesos de Gestión de Parches (mantenimiento del estado de actualización de los sistemas), la configuración segura de los dispositivos y la calidad de las credenciales de acceso, verificando así que los mantenedores de dichas infraestructuras nunca bajen la guardia utilizando contraseñas predeterminadas o contraseñas débiles o reutilicen contraseñas comunes entre los diferentes sistemas;

  2. actividades de Prueba de Penetración con una frecuencia al menos anual para verificar las reglas de visibilidad de la red, la correcta segmentación de las redes e identificar posibles impactos desde las sedes periféricas a las sedes centrales.

En resumen

El teletrabajo o Trabajo Inteligente es una oportunidad interesante para las empresas, especialmente cuando se realiza de manera segura gracias a la verificación de una tercera parte independiente y confiable.

Estamos a su completa disposición para ofrecerle una consulta gratuita que le permita dirigir los esfuerzos y aclarar las ideas. No dude en contactarnos en nuestra dirección de correo electrónico sales@isgroup.it

Solicita más información

O llámanos al
(+39) 045 4853232

Autor
author
Francesco Ongaro
Founder @ ISGroup SRL, Hacker, CEH, ISO 27001 LA
Tags
Cyber-security, Mejores Prácticas
Social
Solicita más información

O llámanos al
(+39) 045 4853232

Artículos recientes

Visita nuestro blog

Etiquetas comunes

Publicaciones

Una breve colección de publicaciones, materiales y presentaciones que los miembros de nuestro personal han tenido la oportunidad de producir o presentar a lo largo de su carrera.

Para demostrar que para nosotros la Seguridad Informática no es solo un mercado sino una gran pasión.

Nuestras publicaciones

Investigaciones

La investigación es una actividad fascinante que enfrenta al experto en seguridad informática con escenarios y desafíos siempre nuevos. Durante años, también a través de nuestra encarnación no comercial, ush.it - a beautiful place, nos hemos dedicado a la publicación de avisos, desarrollo de exploits y caza de errores.

Nuestras investigaciones

Certificación y formación

Con la experiencia acumulada en las actividades realizadas hasta hoy, los resultados de nuestra investigación y el conocimiento de los problemas y soluciones de seguridad informática, ofrecemos varios cursos de formación para perfiles que realizan actividades ofensivas (auditores, testers de penetración) o defensivas (administradores de red, desarrolladores).

Formación

ISGroup SRL
Via Cantarane, 14
37129 Verona VR
CF e P.IVA 04164220230
REA VR-397513

Contactos

Empresa certificada ISO 9001 y ISO 27001

Cybersecurity made in Italy

© 2005-2025 ISGroup SRL. Todos los derechos reservados.

Mapa del sitio  Política de Privacidad  Política de Cookies

IQNET Certification ISO/IEC 27001:2022 Certification ISO/IEC 9001:2015 Certification

🎉 ¡Queremos hablar contigo! ¡Programa una cita!