Llegamos a ustedes gracias a:



Reportajes y análisis

Trabajar a distancia

Cuatro errores de seguridad que comúnmente se cometen

[09/06/2009] De acuerdo con cifras publicadas recientemente por el Nemertes Research Group, una firma de asesoría en investigación basada en Illinois, hasta 71% de las compañías de Estados Unidos ofrecen trabajos a distancia de tiempo completo o de medio tiempo a sus empleados. A pesar del gran número de empleados que trabajan fuera de la oficina, otro estudio reciente del Centro para la Democracia y la Tecnología encontró que muchos continúan dejando de lado el tema de la seguridad del teletrabajo, en favor de otras necesidades más urgentes.

Sean empleados que viajan frecuentemente por su trabajo o equipos que trabajan desde una oficina en casa a tiempo parcial o completo, su movilidad plantea serios riesgos de seguridad para su organización. La revista CSO habló con dos estrategas de seguridad sobre los errores comunes que generalmente cometen los empleados mientras llevan a cabo su teletrabajo, y pedimos consejos para desanimarlos.
Usar Wi-Fi de modo descuidado, y acceder a redes inseguras
En una investigación publicada a fines del año pasado, Cisco encuestó a más de mil usuarios finales en 10 países, y encontró que el 12% de personas que trabajan fuera de su oficina se conectan regularmente a la red inalámbrica de un vecino cuando trabajan en casa. Otro estudio de Accenture encontró que uno de cada siete estadounidenses admitió prestarse el Wi-Fi de una conexión insegura.
Hoy, esto es muy fácil de hacer, señala Ralph DeFrangesco, un profesor de Ciencia de la Computación en la Universidad de Drexel, y un consultor que ayuda a las compañías a evaluar y desarrollar programas de seguridad. Estás sentado en un Starbucks o un Borders con tu laptop y necesitas acceso a Internet. Abres tu laptop y te conectas a la primera red insegura que encuentras.
Los firewalls proveerán alguna protección contra algunos intrusos inalámbricos maliciosos, pero los riesgos ciertamente todavía existen, señala DeFrangesco, quien recomienda que las compañías le diga a los empleados que limiten su tiempo en una red insegura y usen encriptación, como PGP, cada vez que sea posible.
La gente no se da cuenta de que los hackers se sientan en estas redes, o configuran la suya propia, y ponen detectores de contraseñas en ellas para capturarlas, señala. Tengo muchos amigos que notaron cosas extrañas con su correo personal y sus cuentas de trabajo tras conectarse a una red insegura.
Otra cosa para considerar: adicionalmente a los riesgos obvios que esto tiene para los datos sensibles de la organización, también es potencialmente ilegal. La ley es muy vaga aquí, pero podrías estar cometiendo fraude, dependiendo de la red, señala DeFrangesco.
Dejar que la familia y amigos usen dispositivos relacionados con el trabajo
Es una escena bastante común: un empleado trae una laptop a casa, y más tarde esa noche el hijo o hija de esa persona quiere usar el dispositivo para navegar por la web. ¿Pero puede confiar que lo que están viendo y descargando es seguro?
He entrado en ambientes donde había juegos para niños instalados en las máquinas, mensajería instantánea y más, señala Jason Hall, presidente de Stuart Hall Technologies, una consultora de Ambler, Pennsylvania. "Algo como esto puede ser tratado con configuraciones locales de seguridad. Un usuario no debe ser un administrador de su máquina.
Los empleados deben tener claro que el dispositivo salido del trabajo es únicamente para su uso. Y tener en cuenta que las computadoras y los dispositivos móviles no son el único lugar donde los amigos y la familia pueden causar problemas. DeFrangesco compartió una historia de un amigo con un hijo en secundaria. El hijo estaba trabajando en un proyecto en su computadora de casa y necesitaba llevarlo a la escuela al día siguiente para terminarlo en clase. El padre le dijo a su hijo que podía usar el drive USB que estaba en su portafolio.
Desafortunadamente, el hijo tomó el drive USB equivocado y perdió varios documentos importantes que su padre necesitaba para su trabajo. Conozco muchas compañías en las que usar drives USB es aceptable y fomentado al punto en que ellos incluso compran los drives para que sus empleados los usen, señala DeFrangesco. Yo no recomendaría o alentaría el uso de estos drives.
Si una compañía permite a sus empleados usar drives USB, debe asegurarse de que el drive tiene seguridad integrada. Si el drive no tiene seguridad, encripte los datos usted mismo, señala DeFrangesco.
Alterar las configuraciones de seguridad para ver sitios web que han sido bloqueados por la compañía
En su encuesta de usuarios finales, Cisco también encontró que más de la mitad habían cambiado configuraciones de seguridad en su laptop del trabajo para ver sitios web restringidos. Los encuestados dijeron que lo hicieron porque querían visitar esos sitios, a pesar de las normas de su compañía. Otro descubrimiento: 35% dijo que no es problema de su compañía, si ellos habían cambiado las configuraciones de seguridad en su computadora.
Tengo que admitir que he sido culpable de esto muchas veces, admite DeFrangesco. Hago muchas presentaciones, y frecuentemente necesito información o gráficos para mis diapositivas, después de obtener los permisos apropiados, por supuesto. Sin embargo, cuando encuentro que estoy siendo bloqueado para que no vea un sitio, generalmente uso un proxy para rodear ese bloqueo. Un proxy actúa como un siga entre su computadora y el sitio al que quiere conectarse, engañando al software de filtrado para que no lo bloquee.
Tanto Hall como DeFrangesco señalan que las organizaciones pueden detener algo de esta actividad ajustando el filtrado de contenido para bloquear sitios particulares que permiten pasar por alto un firewall o el filtro de contenido. Pero, aunque el departamento de Tecnología de la Información (TI) es responsable de restringir estas configuraciones, el usuario final necesita ser educado, señala Hall. El usuario final tiene que reconocer el riesgo que plantean para la organización y para sí mismos, indica.
Los dos expertos, Hall y DeFrangesco, recomiendan a las compañías entrenar a los usuarios en el uso apropiado de las computadoras, y considerar hacerlos firmar una norma de uso aceptable cada año.
Dejar un dispositivo de trabajo en un lugar inseguro
Varios casos de robo de laptops de alto perfil tienen a muchas organizaciones buscando ahora la prevención de pérdida de datos como una prioridad de seguridad. Por ejemplo, en el 2006, una laptop fue robada del hogar de un empleado de Veterans Affairs. El empleado se la había llevado a una residencia privada a pesar de las regulaciones de la agencia, que prohíben este tipo de actividad. El robo resultó en el posible robo de identidad de 2.2 millones de registros de personal militar en servicio activo. El año pasado, FEMA estuvo en las noticias debido a la pérdida de una laptop que contenía los nombres, números de seguridad social, fechas de nacimiento y números telefónicos de las víctimas de inundaciones que habían solicitado ayuda federal.
Me gusta usar una laptop, y creo que tiene sentido que las empresas se las asignen a guerreros del camino, señala DeFrangesco.
¿Su consejo? Encriptar. Sé que sueno como un disco rayado, pero funciona y es rentable. Muchos de los programas de encriptación son gratuitos hoy en día. Incluso si es gratis, todavía hay un costo por instalarlo y soportarlo. Si no puedes pagar ese costo, entonces no entregues laptops.
DeFrangesco también recomienda dispositivos de rastreo que puedan recuperar laptops perdidas, y repartir candados de cable. Hall cree que esta es un área en la cual el usuario final necesita hacerse completamente responsable. Dejar la laptop en un auto abierto es un problema del usuario, no un tema de TI.
Joan Goodchild, CSO