Autor: Daniel Sabogal, Arquitecto de Seguridad de NeoSecure by SEK
En la actualidad existe una tendencia presente en la gran mayoría de las compañías, el llamado “Journey to the cloud”, en el que las empresas plantean la migración de sus servicios locales (en premisas o ubicaciones físicas) hacia servicios nube, disponibles desde cualquier lugar del mundo con acceso a internet, sin saberlo, esta moda facilitó los ambientes de trabajo remoto e hibrido, en el que los colaboradores de una empresa no requieren acceder desde una ubicación fisica a sus aplicaciones corporativas todo esto impulsado por la por la necesidad de mantener la continuidad de los negocios durante la pandemia de COVID-19.
Si bien el trabajo remoto ofrece una mayor flexibilidad, libertad laboral y la posibilidad de atraer talento global, también presenta nuevos desafíos en términos de ciberseguridad y seguridad de la información para las compañías que desean adaptarse a estos modelos. Uno de los principales retos es la protección de los datos personales, que se vuelve crítica cuando los empleados acceden a información sensible desde ubicaciones diversas y potencialmente inseguras, desdibujando la superficie a proteger por las herramientas convencionales.
El entorno del trabajo remoto introduce varios riesgos de seguridad que pueden comprometer la seguridad corporativa y los datos personales, como los siguientes:
- Dispositivos no gestionados: Los empleados a menudo utilizan dispositivos personales para acceder a los recursos corporativos. Estos dispositivos pueden no tener los mismos niveles de seguridad que los equipos proporcionados por la empresa, lo que aumenta el riesgo de vulnerabilidades explotables;
- Redes inseguras: El uso de redes Wi-Fi domésticas o públicas para conectarse a aplicaciones corporativas puede exponer los datos a actores maliciosos que pueden capturar esta información, como por ejemplo el acceso en lugares públicos concurridos como cafés o aeropuertos;
- Ingeniería social y phishing: La falta de comunicación directa entre los empleados permite que las campañas de y otros ataques de ingeniería social puedan ser más efectivos, al no poder comprobar directamente si un mensaje es verídico muchas personas optan por darlo por cierto incrementando nuevamente la posibilidad de recibir ataques;
- Acceso remoto: El desafío actual de establecer y gestionar un acceso remoto seguro no es nuevo. Sin supervisión directa, puede ocurrir acceso no autorizado y los métodos de autenticación convencionales no siempre son efectivos.
Estrategias de Protección de Datos Personales
Como es norma con lo referente a la seguridad informática, no existe un camino infalible para mitigar completamente estos riesgos, sin embargo, existen varias estrategias y prácticas de seguridad diseñadas para proteger los datos personales en el entorno de trabajo remoto. Entre las que se pueden destacar:
Políticas de Seguridad y Cumplimiento
Las políticas de seguridad claras y comprensibles son fundamentales para guiar el comportamiento de los empleados en relación con la protección de datos personales. Estas políticas deben cubrir:
- Uso aceptable de dispositivos y acceso a la red: Definir qué dispositivos pueden usarse y cómo deben configurarse y asegurarse.
- Manejo y almacenamiento de datos sensibles: Establecer directrices sobre cómo y dónde se deben almacenar y transmitir datos personales.
- Respuesta a incidentes: Proporcionar un plan claro de acción en caso de una violación de seguridad, incluyendo los pasos a seguir y a quién reportar el incidente.
Autenticación Multifactor (MFA)
Estamos acostumbrados a acceder a cualquier plataforma o aplicación Web por medio de un usuario y contraseña, sin embargo este tipo de autenticación se vuelve insuficiente cuando hablamos de accesos privilegiados a herramientas clave del negocio. Las vulnerabilidades que se presentan sobre este modelo son por ejemplo el uso de la misma contraseña en varios sitios aumenta la probabilidad de fuga de contraseña en “leaks” realizados por ciberatacantes, o el compartir contraseñas entre personas elimina la certeza que el usuario indicado es quien accede a estas plataformas.
La autenticación multifactor agrega una capa adicional de seguridad al requerir más de una forma de verificación para acceder a los sistemas, minimizando la capacidad de un actor de suplantar a otro. Para este factor adicional se suele utilizar la triada de factores de autenticación: “Something you know, Something you have, Something you are” combinando la contraseña con por ejemplo tokens físicos, aplicaciones de autenticación, o datos biométricos. El uso de una autenticación multifactor reduce significativamente el riesgo de accesos no autorizados, incluso si las credenciales de un usuario se encuentran comprometidas.
Implementación de Conexiones Seguras (VPN, ZTNA)
Si bien no podemos controlar desde donde se conectan los usuarios si podemos establecer políticas de acceso a la red a través de controles sobre las conexiones remotas, el uso de redes privadas virtuales (VPN) permite controlar la conexión entre los dispositivos remotos y los sistemas corporativos. Las VPN cifran el tráfico de datos, protegiéndolo contra la interceptación y permiten aplicar controles sobre los dispositivos a conectarse y detienen vulnerabilidades identificadas.
Siguiendo el modelo de cero confianza se desarrollan nuevas herramientas para el acceso remoto, como el Zero Trust Network Access (ZTNA) que adicional a permitir el acceso remoto a aplicaciones y dispositivos corporativos aplica varias capas de protección sobre un modelo de Security Service Edge (SSE) dando una mayor visibilidad y granularidad a estas conexiones y una capa de postura de dispositivo para dispositivos no corporativos (Bring Your Own Device – BYOD).
Prevención de fuga de información (DLP) y Borde de servicios de seguridad (SSE)
Continuando con el modelo Security Service Edge (SSE) presentado por Gartner, existen herramientas comerciales con la capacidad de aplicar controles efectivos sobre la navegación del usuario sin necesidad de estar conectado a una red corporativa (en comparación del modelo clásico por Firewall), estas herramientas incluyen una inspección de tráfico para evitar el acceso a aplicaciones y sitios de alto riesgo, no corporativas o que no cumplan con la política de uso aceptable de las compañías. El control de aplicaciones SaaS (Cloud Access Security Broker), y el análisis de postura y configuración de nube (CSPM)
Si bien existe como tecnología independiente, la prevención de fuga de información (DLP) se suele asociar al modelo SSE ya que permite ampliar la funcionalidad de este control efectivo sobre el perímetro cambiante, dando capacidades de identificación, control y bloqueo de patrones, información confidencial o personal.
Gestión de Dispositivos y Seguridad de Endpoint
Es altamente recomendado siempre contar con una protección de seguridad de endpoint (Endpoint Protection – EPP, Endpoint Detection and Response – EDR, Managed Detection and Response – MDR) dado que será el primer escudo frente a ataques de malware, acceso remoto y movimiento lateral. Aun cuando el colaborador de la empresa se encuentre fuera de la red corporativa esta capa de protección permitirá detener una gran cantidad de ataques y dar visibilidad a los eventos que se generen sobre el dispositivo.
Implementar soluciones de gestión de dispositivos móviles (MDM) además permite controlar la instalación de software y el manejo de permisos sobre dispositivo, este tipo de control es vital para asegurar que todos los dispositivos que acceden a los recursos corporativos cumplan con las políticas de seguridad de la organización.
Estas soluciones permiten monitorear, gestionar y asegurar dispositivos remotos, aplicando parches y actualizaciones de seguridad automáticamente y asegurando el cifrado de datos almacenados en los dispositivos.
Formación y Concienciación de los Empleados
Un colaborador que desconoce los riesgos y modos de afrontar eventos de ciberseguridad se convierte en el punto más débil de la cadena, no importa las herramientas que usemos para proteger a nuestros usuarios si ellos no utilizan adecuadamente estas herramientas. La capacitación regular en seguridad cibernética es esencial para prevenir a los colaboradores sobre ataques maliciosos y los riesgos asociados al trabajo remoto, y enseñar las mejores prácticas para afrontarlos. Entre los puntos más importantes a realizar en estas capacitaciones pueden nombrarse:
- Reconocimiento de ataques de phishing: Enseñar a los empleados a identificar correos electrónicos sospechosos y evitar hacer clic en enlaces no verificados.
- Buenas prácticas de contraseñas: Promover el uso de contraseñas robustas y únicas, y el uso de gestores de contraseñas.
- Uso seguro de dispositivos personales: Instruir sobre cómo mantener seguros sus dispositivos personales, incluyendo la instalación de software antivirus y la configuración de firewalls.
Monitoreo y Detección de Amenazas
El flujo de información dentro de nuestra infraestructura también puede ayudar a capturar tráfico malicioso de externos, el uso de herramientas como Network Detection and Response (NDR) analiza patrones sospechosos sobre el flujo de red y herramientas especializadas en detección y prevención de intrusiones (IDS – IPS) permiten agregar esta capa extra frente a dispositivos externos que acceden a nuestra red.
Cifrado de Datos
El cifrado de datos es una medida crucial para proteger la información sensible, tanto en tránsito como en reposo. La correcta clasificación de datos privados, confidenciales y personales junto con una política robusta de cifrado de datos mediante protocolos fuertes y estándares reconocidos permite que la información no sea visible por terceros asegurando su confidencialidad.
Implementación de un Marco de Seguridad Integral
Para garantizar una protección efectiva de los datos personales en el entorno de trabajo remoto, es necesario implementar un marco de seguridad integral que abarque las áreas anteriormente mencionadas. Este marco debe ser adaptable y capaz de evolucionar a medida que cambian las amenazas y las tecnologías.
El objetivo de este marco es aplicable no solo sobre ambientes remotos, sino que colabora activamente con las políticas de seguridad de la información de la compañía y a su vez se alimenta de estas políticas para facilitar su adopción entre los colaboradores.
Como primera medida se deben identificar, evaluar y calificar los riesgos y procedimientos actuales, así como la detección de los vectores de ataque que surgen con el cambio en el esquema de trabajo, con base en la evaluación de riesgos se deben desarrollar o actualizar las políticas y procedimientos de seguridad. Estas políticas deben ser comunicadas claramente a todos los empleados y acompañadas de la capacitación necesaria para su implementación efectiva.
La implementación de tecnologías es fundamental para el cumplimiento del objetivo de asegurar el ambiente de trabajo remoto y los datos personales, no existen tecnologías mas importantes que otras y dependerá de cada empresa definir sus prioridades e impactos bajo cada opción presentada.
Como parte del marco de seguridad se debe realizar una capacitación efectiva, continua y consistente, teniendo en cuenta la variabilidad de los ataques y vulnerabilidades esta capacitación debe ser actualizada periódicamente y presentada de una manera clara y fácil de entender a todos los colaboradores de la compañía. Además, se debe fomentar una cultura de seguridad en la que los empleados se sientan responsables y empoderados para proteger la información de la empresa.
Por ultimo, es necesario que este marco permita su monitoreo y mejora continua en el tiempo, verificando la efectividad de las medidas de seguridad implementadas, realizando las mejoras necesarias o ingresando nuevos ítems a esta protección sobre riesgos identificados recientemente. Contar con auditorias de seguridad y pruebas de penetración permitirán identificar cambios sobre las políticas y procedimientos que confirman este marco de seguridad.
Conclusión
La protección de datos personales en la era del trabajo remoto es un desafío complejo que requiere un enfoque multifacético. Las organizaciones deben ser proactivas en la implementación de tecnologías de seguridad, la capacitación de empleados y el desarrollo de políticas claras para mitigar los riesgos asociados. Al adoptar un marco de seguridad integral y adaptable, las empresas pueden proteger mejor la información sensible y mantener la confianza de sus clientes y empleados en un mundo cada vez más digital e interconectado.
Implementar estas estrategias no solo ayuda a proteger los datos personales, sino que también fortalece la postura general de ciberseguridad de la organización, preparándola para enfrentar las amenazas presentes y futuras en un entorno de trabajo dinámico.