Cómo protegerse de los riesgos del teletrabajo y las conexiones externas
- Seguridad
Cuando los miembros de una organización tengan que acceder a recursos y servicios corporativos desde una red considerada no segura, deben ceñirse a la política de uso de wifis y redes externas, en la que se indica a qué recursos se permitirá el acceso, siempre y cuando no sea posible utilizar una conexión VPN o una red móvil.
Viajes de negocios, atender solicitudes de clientes en sus oficinas o simplemente la propia irrupción del BYOD, son algunas de las situaciones que pueden obligar a los miembros de una organización a realizar sus funciones fuera de la compañía. Es en esas situaciones, cuando muchos usuarios recurren a redes wifi públicas para llevar a cabo las tareas, las cuales podrían poner en riesgo la privacidad e integridad de la información que por ellas transcurra. Otra situación de riesgo es cuando una organización cuenta con varias sedes, en las que las comunicaciones entre ellas han de realizarse de manera segura, evitando que los datos en tránsito puedan caer en manos de ciberdelincuentes. Para evitar estas situaciones, INCIBE recomienda implantar una política de uso de wifis y redes externas.
El primer paso para que los miembros de la compañía puedan acceder a información interna desde una red considerada no segura será obtener el permiso de la dirección. Para ello, se deberán establecer en qué situaciones y condiciones se permitirá su uso junto con los servicios e información a los que se podrá acceder.
La tecnología que se utilizará para habilitar un acceso remoto seguro será una Red Privada Virtual (VPN), que permite extender la red local sobre una red pública no segura, haciendo que todo el tráfico generado mantenga la integridad y confidencialidad de la información. Los empleados de una empresa que se encuentren en un aeropuerto, una cafetería o en cualquier otro lugar que disponga de conexión a Internet, podrán conectarse de forma segura y acceder a los recursos y servicios corporativos, como si estuvieran físicamente en la organización. La interconexión de sedes distantes geográficamente, también es otro de los supuestos en los que se utiliza esta tecnología, ya que una VPN se puede configurar para que ambas sedes trabajen sobre la misma red local.
En caso de no ser posible utilizar una VPN para acceder a información corporativa, existe una segunda opción: hacer uso de la red móvil, como la usada por los smartphones o los módem USB. La mayoría de los smartphones permiten crear un punto de acceso wifi para compartir la conexión móvil, con la ventaja de que no se comparte la red con ningún otro usuario, impidiendo que pueda realizar acciones maliciosas contra nosotros.
En una política de uso de wifis y redes externas debe indicarse a qué recursos se permitirá el acceso, siempre y cuando no sea posible utilizar una conexión VPN o una red móvil. Las opciones pueden ir desde establecer una política muy restrictiva que prohíba su uso completamente, hasta permitir su uso pero siempre que se usen servicios no críticos para la organización. En el supuesto de tener que hacer uso de servicios corporativos en una red no segura sin utilizar una VPN, es recomendable hacerlo exclusivamente en aquellas redes que cuenten con el estándar WPA2/WPA3 y además será requisito necesario que los servicios utilicen comunicaciones seguras (SSL, HTTPS, etc.).
Una vez se haya elaborado la política, se deberá dar a conocer a todos los miembros de la organización, que debido a su actividad laboral podrían verse afectados, informándoles de las acciones que se tomarán en caso de incumplimiento.