Si la organización cambia, la seguridad también

Con el teletrabajo, hemos cambiado las circunstancias físicas y las herramientas que se usan. ¿Influye eso en la ciberseguridad?

Para aclarar un poco conceptos, vamos a dar algunas indicaciones y características del cambio:

• Pasamos de un modelo "Con Castillo" que se caracteriza por disponer de un espacio físico con acceso controlado donde si sitúan mayoritariamente los usuarios y los recursos, centrándose la seguridad en el control de la "muralla" (firewalls, etc.) y del acceso físico al recinto protegido (tarjetas, huella dactilar...).
• A un modelo "Sin Castillo" que se caracteriza porque los usuarios no realizan su trabajo desde un espacio físico controlado, ya que la actividad se desarrolla en cualquier parte no previamente identificada y en muchas ocasiones con recursos no normalizados.

¿Crees que la seguridad en un modelo y en otro se gestiona de la misma forma? 

La seguridad en los modelos de trabajo

Vamos a hacer recuento de lo que implica el primero. Según el modelo "Con Castillo", la seguridad se basaba en asegurar un perímetro para separar claramente la zona segura del resto, que se denominaba insegura. Esta localización lógica, que a veces físicamente estaba constituida por una o varias zonas físicas (sedes de la empresa), se parapetaban detrás de unos dispositivos de seguridad centrados en la no penetración de intrusos y la detección rápida de violaciones. 

Por contra, en el modelo "Sin Castillo" como ya hemos comentado, no hay un espacio concreto al que proteger, ya que los recursos están desperdigados (almacenamientos locales, una o varias nubes) y los empleados tampoco están concentrados en un único o en unos pocos lugares. Al contrario, acceden desde cualquier parte, no ya incluso desde la misma población, sino incluso desde cualquier parte de España o desde el extranjero. 

¿En qué debe basarse la seguridad del modelo "Sin Castillo"?

Para empezar vamos a hacer recuento de lo que implica este nuevo escenario:

• No hay una periferia clara para identificar una zona segura de la que no lo es.
• Los empleados ya no están en zonas controladas y con acceso restringido.
• Los empleados pueden tener o no tener una ubicación fija predeterminada.
• Los empleados usan los recursos que tienen disponibles, alguno no normalizado (al menos si no existe una política clara en este aspecto).
• Pueden existir usuarios que compartan la red domiciliaria y que no dispongan de sistemas de seguridad o que no estén alineados con los del empleado (hijos, otros familiares, compañeros de piso...) y que pueden acceder intencionadamente o por descuido a los recursos del trabajador.

Ante este panorama, ¿qué cuestiones nos tenemos que replantear?

• Cómo controlar el acceso y la identidad de los empleados.
• Si deberíamos controlar desde donde se hace el acceso y cómo lo controlamos (por ejemplo podemos no admitir los accesos desde fuera del domicilio habitual). 
• Cómo dotar a los empleados de los recursos que requieren pero sin ponerlos en riesgo con el entorno inseguro de sus domicilios.
• Qué comunicaciones usar, bien la fibra domiciliaria compartida o una línea específica como puede ser un acceso por móvil.
• Si debemos dotarles o no de una plataforma normalizada.
• Si dejamos que el correo se constituya como almacén documental local o se coordina un almacenamiento compartido (me refiero al no controlado por las aplicaciones) y optamos por una plataforma como Drive, Dropbox, Onedrive, etc.
• Qué plataforma de videoconferencia vamos a emplear (Teams, Slack, Meet, Drive...) y cómo la integramos con nuestros procesos de negocio con nuestros compañeros, clientes y proveedores.
• Quién y cómo se hacen las copias de seguridad de los equipos o si se simplifica porque se restringe el almacenamiento local.
• Cómo acceder a viejas aplicaciones C/S que teníamos instaladas en nuestro PC corporativo.
• Cómo se gestionan las incidencias en los domicilios.  

Sin ánimo de abrumar, vemos que los temas a controlar son bastante variados y están involucrados aspectos que afectan tanto a TI, como a las áreas de RRHH y Operaciones. Cada empresa tiene una realidad operativa y unas circunstancias específicas y el conjunto de soluciones a los problemas que eso plantea requiere de un estudio específico.

Te aconsejamos un primer paso: una auditoría de seguridad. A partir de este primer estudio, seguro que todos tendremos mucho más claro cuáles son los puntos débiles que más te pueden impactar en la operativa y nos mostrará el camino a seguir. ¿Te animas?