Clicky

Pasos rápidos para mejorar la seguridad en el teletrabajo

Categoría: Internet (Tutoriales y trucos)
Visitas: 980
Seguridad en el teletrabajo

Cifrar tu computadora protege tus datos del acceso si el dispositivo cae en las manos equivocadas

La nueva normalidad involucra a menos personas en las oficinas y más personas que trabajan desde casa. A tiempo completo o parcial, gran parte de la fuerza laboral trabaja ahora de forma remota. Eso introduce un nuevo conjunto de desafíos de seguridad.

La nueva normalidad

Hay una razón por la que los profesionales de la seguridad odian los cambios repentinos, especialmente los de naturaleza drástica. El riesgo de que se introduzca una vulnerabilidad porque se pasó algo por alto o alguien actuó apresuradamente, aunque con el mejor interés en el corazón, es demasiado real.

La pandemia de COVID-19 trajo ese cambio a la mayoría de las organizaciones. Los trabajadores se vieron obligados a quedarse en casa y trabajar de forma remota. Las empresas que tenían algunas capacidades de trabajo remoto tenían que intentar escalarlas rápidamente. Otras organizaciones tuvieron que intentar armar algo lo más rápido posible. La seguridad rara vez es lo primero en estos escenarios.

No hace falta decir que las empresas que no tenían ninguna capacidad de trabajo remoto eran las menos preparadas para hacer frente al cambio. No tener capacidad de trabajo remoto significaba que no había ninguna o muy pocas computadoras portátiles en el negocio. Muchos de ellos tuvieron que dejar que los trabajadores a domicilio usaran sus propias computadoras domésticas para trabajar.

El departamento de TI, que de repente se encontró distribuido y trabajando desde casa, ahora tenía que respaldar un estado de TI que había mutado de la noche a la mañana para incluir sistemas operativos, enrutadores domésticos y hardware obsoletos y sin soporte de cualquier número de fabricantes.

Si algo de eso te suena familiar, aquí hay algunos pasos efectivos para devolver algo de seguridad a la situación.

Usar cifrado

Una organización consciente de la seguridad ya cifrará dispositivos portátiles y móviles como computadoras portátiles, tabletas y teléfonos inteligentes. En las PC corporativas, es fácil de hacer y gratis, siempre que tenga la versión correcta de Microsoft Windows. Microsoft Windows 10 Pro, Enterprise y Education admiten el cifrado de dispositivos BitLocker. Windows 10 Home no lo hace. Por el contrario, si usas una computadora Apple, macOS admite el cifrado de dispositivos de forma predeterminada y en todos los ámbitos.

Cifrar tu computadora protege tus datos del acceso si el dispositivo cae en las manos equivocadas. Incluso si los actores de la amenaza quitan el disco duro e intentan leerlo en otro dispositivo, se frustrarán.

Sin embargo, se produce un tipo diferente de exposición al riesgo cuando los archivos se transmiten electrónicamente. Si son interceptados por los actores de amenazas, podrán leerlos a menos que estén encriptados antes de que se transmitan. Esto es fácil de hacer. Todos los productos de Microsoft Office permiten guardar los archivos con una contraseña. Esto los cifra, protegiéndolos de miradas indiscretas.

Es posible que otras aplicaciones no ofrezcan esa función. Si utilizas un paquete de software que no ofrece cifrado desde la aplicación, aún puedes cifrar los archivos antes de enviarlos. Utiliza una utilidad gratuita como 7Zip o una de las otras aplicaciones de archivo para comprimir tus archivos y cifrarlos con una contraseña. También reduce el tamaño de los archivos, reduciendo el tiempo de transmisión y los requisitos de almacenamiento.

Comprimir archivos es una excelente manera de encapsular colecciones de archivos dispares que se crearon con diferentes paquetes de software que deben distribuirse como un paquete de documentos relacionados. Comprimirlos en un solo archivo significa que solo necesitas enviar a alguien ese archivo y sabe que tiene el conjunto completo de archivos.

Comunica la contraseña al destinatario utilizando un medio diferente, o al menos, un mensaje diferente, al que lleva los archivos. Y no reutilices las contraseñas ni las hagas predecibles o formuladas. No uses el nombre de un cliente y la fecha, por ejemplo.

Para los usuarios con versiones antiguas de Windows, también puedes dejar que se lleven la computadora de la oficina a casa. Si no lo haces, solo te quedarás sin usar en una oficina vacía y se depreciará. ¿Por qué no dejar que utilicen un dispositivo seguro y actualizado que sea conocido por tu equipo de TI, que esté en tu registro de activos de hardware y sobre el que puedas ejercer un control total?

Endurecer el Wi-Fi doméstico

El Wi-Fi doméstico puede ser seguro, pero a menudo no está configurado de esa manera. Inicia un proyecto ahora para que tu equipo de TI trabaje a través de los trabajadores domésticos, asegurándote de que se hayan cambiado las credenciales predeterminadas de administración del router, y que se esté usando contraseñas seguras y sólidas y actualizando el firmware.

Asegúrate de que se estés utilizando el protocolo más seguro que ofrece el dispositivo y cambia la contraseña por una única y segura. Esto significa que los amigos y visitantes no podrán conectarse a la red Wi-Fi cuando te visiten, que es el punto. Si el dispositivo lo admite, crea una conexión Wi-Fi para invitados para que familiares y amigos puedan conectarse a Internet. Obtendrán el acceso que necesitan, estarán separados del Wi-Fi principal y no necesitarán obtener la contraseña privada del Wi-Fi.

Podrías considerar ocultar la red Wi-Fi principal por completo, pero la mayoría de los usuarios domésticos encontrarán que es un sistema problemático para vivir. Lo mismo ocurre con el filtrado de direcciones MAC, lamentablemente.

Enciende el firewall y verifica las reglas del firewall. Si el router es arcaico, reemplázalo.

VPN, RDP y 2FA

Utiliza métodos de comunicación seguros cifrados, como redes privadas virtuales (VPN) o el protocolo de escritorio remoto de Microsoft (RDP). O, más estrictamente hablando, son seguros cuando están actualizados y todos usan contraseñas únicas y sólidas. Asegúrate de limitar el número de intentos antes de que se bloquee una cuenta.

Donde sea que sea compatible, implementa la autenticación de dos factores (2FA) o la autenticación de múltiples factores (MFA). Utiliza sistemas que tengan aplicaciones de autenticación o dispositivos que generen códigos. Los sistemas que utilizan mensajes de texto de Small Messaging System (SMS) son menos seguros.

Si tu fuerza laboral utiliza servicios basados ​​en la nube, recuerda que muchos de ellos podrán proporcionar autenticación de dos factores sin costo adicional. Enciéndelos y aprovecha esas funciones gratuitas para tu beneficio.

Pruebas de penetración

Los actores de amenazas son muchas cosas, pero no son tontos. Saben que ha habido un cambio fundamental en los hábitos de trabajo y que la fuerza laboral está ahora remota y accede a los recursos de TI en la oficina principal de forma remota.

También saben que muchas organizaciones tuvieron que establecer sus soluciones de trabajo remoto lo más rápido posible físicamente. Y sabrán que muy pocos de ellos habrán sido revisados. Por lo tanto, los no-no y los errores de seguridad que se ignoraron cuando la alta gerencia gritaba "simplemente que funcione", seguirán presentes.

Se proactivo. Realiza pruebas de penetración en tu organización antes de que lo hagan los ciberdelincuentes. Realiza las pruebas, revisa los resultados y aborda las peores vulnerabilidades de inmediato.

Prioriza el resto y trabaja con ellos en orden de gravedad.

Cumplimiento y estándares

El cambio de entorno y prácticas de trabajo significa que deberán enmendarse muchos de tus procesos y procedimientos. Será necesario revisar tu gobernanza para asegurarte de que la orientación y los controles aplicados al personal aún tengan sentido y se apliquen en la nueva situación. Si necesitan enmiendas o actualizaciones, hazlo lo antes posible.

En particular, verifica tu política de contraseñas, tu política de uso aceptable y tus reglas sobre el almacenamiento y la transmisión de datos. El cambio al trabajo a domicilio puede haber contravenido las reglas existentes sobre llevarse equipos de TI a casa, no conectarse a redes domésticas, solo acceder a recursos corporativos desde computadoras corporativas, etc. Es vital que el personal comprenda qué reglas aún se aplican, cuáles han sido reemplazadas y por qué.

Recuerda revisar tus certificaciones y acreditaciones de estándares. Si tu organización ha logrado el cumplimiento de estándares como ISO 27001, Cyber ​​Essentials o Cybersecurity Framework , el estado de TI para el que describiste, documentaste y creaste los procesos ya no existe. Debes adaptar toda tu gobernanza a la nueva situación.

Será necesario revisar la legislación de protección de datos para ver cómo se relaciona con tus actividades actuales de procesamiento de datos. Si realizas cambios en tus políticas y procedimientos de protección de datos, asegúrate de actualizar tu Política de privacidad para que los interesados ​​estén informados de los cambios.

Lávate las manos durante 40 segundos

Al igual que otros regímenes de higiene que son fundamentales en la actualidad, recuerda también tu higiene básica de ciberseguridad. Tener los conceptos básicos correctos será de gran ayuda para ganar la batalla.