Los riesgos del teletrabajo

Dejar que los empleados trabajen en casa y en cafeterías, trenes o en cualquier otro lugar con acceso a Internet reduce los costos y aumenta la productividad, pero también presenta importantes riesgos de seguridad. Muchos expertos en seguridad informática dicen que las empresas no hacen lo suficiente para reducir la posibilidad de que un empleado pierda datos o propiedad intelectual mientras está fuera de la oficina.

Muchas organizaciones protegen sus redes con firewalls que restringen el acceso a recursos particulares, un paso similar a poner un candado en una puerta. Muchos también tienen redes privadas virtuales (VPN) que cifran los datos que viajan desde las redes corporativas a los empleados remotos. Pero cuán efectivo sea esto depende de cómo se otorgue el acceso a la VPN; Dado que las contraseñas básicas se pueden adivinar o robar a los empleados, es más seguro agregar un paso adicional.

Para algunas organizaciones, ese paso implica tokens de hardware (pequeños dispositivos que generan contraseñas de un solo uso de vez en cuando) o equivalentes de software. (Los recientes ataques de piratería al proveedor de tokens RSA, que llevaron a un ataque de seguimiento a Lockheed Martin, no parecen haber socavado permanentemente la tecnología criptográfica subyacente utilizada en los tokens de RSA). Cuando se usan correctamente, las VPN con procedimientos de autenticación sólidos son difíciles de piratear, incluso a través de redes públicas de Wi-Fi donde los espías pueden detectar fácilmente el tráfico.



Pero proteger los datos requiere más que configurar firewalls y VPN. Aunque los ataques de ingeniería social, en los que una víctima es engañada u obligada a ceder contraseñas u otra información confidencial, no son exclusivos de los teletrabajadores, las estafas pueden ser más difíciles de lograr frente a la seguridad organizacional que ofrece una oficina, dice Steven Chan. , investigador y arquitecto jefe de software en la división de sistemas de ingeniería del MIT. Para acercarse a un empleado que maneja información confidencial, puede fingir que es un mensajero en bicicleta o un tipo de FedEx, pero aún tiene que pasar por delante del guardia de seguridad, la recepcionista, etc., dice Chan. Las personas que trabajan solas son más vulnerables.

Chan agrega que muchos empleados que trabajan desde casa probablemente no tengan una seguridad de red tan buena como la de su oficina. Si sé que su oficina en casa es esa extensión de la casa o que su estudio está en el primer piso, todo lo que tengo que hacer es robar su computadora portátil o superar su [seguridad Wi-Fi], dice Chan. Quizás su enrutador de Verizon todavía esté configurado con la contraseña predeterminada. En general, sé exactamente dónde están sus archivos críticos y, si soy [realmente bueno en lo que hago], el objetivo es tostar.

Los trabajadores remotos también son vulnerables a la pérdida o el robo de dispositivos que transportan los datos de sus organizaciones. En 2006, un empleado del Departamento de Asuntos de Veteranos de EE. UU. Perdió una computadora portátil y un disco duro que contenían información confidencial y no cifrada sobre más de 26 millones de veteranos y sus familias.

Para evitar tales pérdidas, los expertos recomiendan, como mínimo, cifrar los materiales más sensibles en el disco duro de un teletrabajador. Para mayor seguridad, todo el disco duro debe estar encriptado y debe ser accesible solo a través de contraseñas seguras; Microsoft recomienda contraseñas de al menos 14 caracteres, algunos de los cuales son letras, números y símbolos. Además, el software de seguimiento se puede utilizar para localizar una computadora portátil, un teléfono o una tableta perdidos y borrar los datos de forma remota.

Chan también sugiere la acreditación, lo que significa que los empleados deben tener acceso solo a la información que necesitan para su trabajo. Los permisos deben repensarse con regularidad y no solo establecerse cuando se contrata a los empleados por primera vez. Este marco también puede ayudar a una organización a realizar un seguimiento de cuándo se ha accedido a sus datos más importantes, lo que hace que sea menos probable que se escape, por ejemplo, que cualquier trabajador salía regularmente del edificio con datos personales de 26 millones de veteranos.

Otra fuente potencial de problemas es que los empleados que trabajan a distancia utilizan una variedad de dispositivos móviles para su trabajo. Hoy en día, los empleados han introducido muchos dispositivos en las organizaciones, y no al revés, señala Rich Campagna, que supervisa los productos de seguridad de Juniper Networks. Una forma de evitar que esto comprometa la seguridad es hacer que los servidores de una red identifiquen y autentiquen todos los dispositivos que intentan obtener acceso. En un paso conocido como huella digital del dispositivo, la red puede intentar distinguir a un empleado remoto legítimo de un pirata informático deshonesto al observar la dirección IP, los números de serie del dispositivo y otras configuraciones en la computadora del usuario. Si un dispositivo desconocido intenta acceder a la red, incluso con las contraseñas e ID correctas, se niega la entrada o se evalúa la solicitud después de una autenticación adicional (mediante una llamada telefónica al usuario, por ejemplo).

Estos procedimientos automáticos son mejores que esperar que los empleados tomen decisiones acertadas en materia de seguridad, dice Campagna: hay una buena posibilidad de que no suceda si el usuario final tiene que tomar una decisión consciente al respecto.

esconder