[04/03/2021] Con la pandemia que ha puesto patas arriba el mundo empresarial, las oficinas parecen menos colmenas de actividad y más pueblos fantasmas. Los empleados han tenido que conformarse con trabajar desde casa, una propuesta peligrosa desde la perspectiva de cualquier administrador de TI o responsable de seguridad reacio a los riesgos.
Es un hecho que una empresa moderna proporcionará seguridad para proteger su negocio, sus empleados y sus secretos. Además de equipar cada computadora con software de detección y respuesta de puntos finales (EDR, por sus siglas en inglés) para frustrar el malware, suele haber acceso a una red privada virtual (VPN) para proteger las comunicaciones de las miradas indiscretas y actualizaciones automáticas de su sistema operativo y aplicaciones con los últimos parches de seguridad.
Sin embargo, los que trabajan desde casa (WFH, por sus siglas en inglés) tendrán que renunciar a algunas de las defensas que se dan por sentadas en la oficina, como el robusto firewall de la empresa y el soporte técnico en persona. Incluso si están fuera de la esfera de protección de la oficina, hay varias capas defensivas adicionales que, con un poco de esfuerzo, los empleados de la WFH pueden utilizar para aumentar su perfil de seguridad (y el de la empresa). En conjunto, constituyen una postura defensiva reforzada para ayudar a evitar a los hackers, los espías industriales y los proveedores de malware que están ahí fuera esperando robar los secretos de la empresa y colarse en su red interna.
Estos consejos de seguridad complementarios para la WFH deberían formar parte de la formación de concienciación de seguridad de cualquier organización para los trabajadores remotos. La mayoría se puede hacer en menos de un minuto y no requiere ningún conocimiento especial. He mostrado cómo hacerlo en una plataforma, pero el concepto puede extenderse a los demás sistemas operativos populares.
Carpeta de seguridad Knox de Samsung.1. Encriptar por seguridad
Si su empresa está fanatizada con la seguridad, es muy probable que cifre las computadoras que posee para que, incluso si una se pierde o es robada, sus datos permanezcan ocultos. Por otro lado, cifrar una unidad completa puede ralentizar mucho una computadora. Un buen compromiso es utilizar un programa de cifrado para codificar los archivos críticos o confidenciales. De este modo, si caen en las manos equivocadas, serán ilegibles sin la clave de descifrado correcta. También hay buenas noticias para los teléfonos y las tabletas, porque los recientes productos Galaxy de Samsung incluyen la aplicación Secure Folder, que cifra los archivos mediante la tecnología Knox de la compañía. Lo mejor es que los archivos se pueden abrir con una contraseña, una huella dactilar o un escáner facial.
2. Bloquear las unidades flash
Un gran agujero de seguridad queda abierto si los empleados de la WFH pueden mover datos dentro y fuera de los sistemas utilizando una unidad flash. Puede advertirles del peligro, y Windows 10 le permite limitar la forma en que los datos pueden entrar y salir de la computadora. Comience escribiendo "gpedit" en el cuadro de búsqueda para abrir el Editor de directivas de grupo. A continuación, haga clic en la carpeta Sistema para llegar a la carpeta Plantillas administrativas. Después de abrir la carpeta de Almacenamiento Extraíble, hay formas de bloquear el uso de CDs, DVDs e incluso disquetes antediluvianos. Hay dos opciones: "Denegar el acceso de lectura" para evitar la entrada de malware, y "Denegar el acceso de escritura" para evitar que los datos de la empresa salgan del sistema. Utiliza ambas opciones para mayor seguridad.
Denegar el acceso de lectura en dispositivos extraíbles.
3. Utilizar las herramientas y servicios de seguridad de los proveedores de Internet domésticos
La computadora y, a menudo, el teléfono y la tableta tendrán el software EDR de la empresa para protegerse de los brotes de malware. El software no solo supervisa el comportamiento del sistema para identificar los primeros signos de un ataque o intrusión, sino que puede hacer retroceder su configuración a un estado anterior al ataque. Esto puede ocurrir sin que el usuario sepa siquiera que se ha producido un ataque.
Los proveedores de servicios de Internet (ISP) de los empleados también pueden desempeñar un papel, y debería animarles a aprovechar las herramientas y servicios de seguridad que ofrecen. Por ejemplo, mi proveedor de Internet me sugirió recientemente que desinstalara QuickTime para Windows, que ya no es compatible y puede ser un punto de entrada para los hackers. Muchos paquetes empresariales de los ISP incluyen seguridad gestionada centrada en la detección de malware, supervisión proactiva e informes frecuentes sobre intentos de intrusión.
4. Activar el firewall del router doméstico
El firewall de hardware de la empresa en su base de operaciones protege su red y a sus clientes de las intrusiones al supervisar la actividad en sus puertos y detener cualquier acción inesperada. Por supuesto, la portátil que la empresa le ha proporcionado tiene un firewall de software para evitar la entrada de personas ajenas a la empresa, pero el firewall de su router WiFi también puede ayudar.
Empiece por actualizar el nombre de administrador, la contraseña y el firmware del router, porque utilizar datos de acceso genéricos o un firmware antiguo es como poner una gran diana. Aunque los distintos routers activan sus firewalls de forma diferente, el proceso es similar. Usando mi Linksys WRT32X, empecé en la sección de "Configuración avanzada" del menú y pulsé en "Configuración de red local". Después de abrir la sección "Más ajustes", pulsé el interruptor "On/Off" del software del firewall. Ahora, el sistema tendrá una capa extra de protección contra los hackers.
Configuración de un firewall para el router doméstico.
5. Utilizar solo la plataforma de video aprobada por la empresa
Con la mayor parte del mundo empresarial trabajando desde casa, el uso del video para las interacciones personales con colegas, contratistas y proveedores se ha convertido en el único juego de la ciudad, pero algunas plataformas son más seguras que otras. Por ejemplo, si un contratista quiere charlar sobre un próximo proyecto a través de Zoom o Whatsapp, pero su empresa utiliza Teams, los empleados deben decir que no y sugerir que se utilice la plataforma aprobada por la empresa. Hay demasiadas cosas que pueden salir mal, como el intercambio de archivos vulnerables y los bombarderos de Zoom escuchando.
6. Utilizar una cubierta de cámara web
Ya que estamos hablando de video, los empleados deben mantener la cámara web del sistema cubierta cuando no la utilicen. Si la dejan abierta, quién sabe quién podría estar viendo su trabajo, o algo peor. Algunos portátiles, como el Elitebook Dragonfly de HP, tienen una cubierta física para la cámara web que la bloquea de los fisgones. Para otros sistemas, los accesorios baratos de cubierta deslizante o un trozo de una nota Post-it colocada sobre la lente de la cámara funcionan igual de bien.
7. Nunca se conecte a una red WiFi pública
La mayoría de las empresas tienen esto como política, pero vale la pena repetirlo: Los empleados deben utilizar siempre una conexión segura a los servidores de la empresa para que haya menos posibilidades de que alguien esté espiando el flujo de datos, lo que incluye evitar el WiFi público en aeropuertos, cafeterías y hoteles. Si la banda ancha de la casa de un empleado no puede seguir el ritmo, puede intentar utilizar la capacidad de punto de acceso del teléfono o la tableta proporcionados por la empresa. En el caso de los iPhones e iPads con datos móviles, hay que pulsar la opción "Punto de acceso personal" en la página de "Ajustes" del dispositivo. A continuación, hay que pulsar el interruptor de "Permitir que otros se unan". La contraseña de la red aparece junto con las instrucciones de conexión.
8. Poner los datos en su sitio
Cada empresa tiene sus propias normas y políticas sobre cómo deben guardarse los datos de forma segura y trabajar desde casa no las cambia. Si su empresa exige que se guarde poco o nada en local, o tiene que utilizar su sistema de almacenamiento de datos online, siga haciéndolo. Cambiar los hábitos de datos en casa guardando los archivos de trabajo en una computadora o enviándolos a una cuenta personal de almacenamiento online es solo buscarse problemas.
9. Utilice la autenticación multifactorial
Un método infalible para aumentar la seguridad de la WFH es añadir la autenticación multifactor (MFA). Puede proteger la cuenta de ID de Apple del iPhone, iPad o Mac que la empresa ha configurado para usted de ser hackeada. Para añadir la autenticación de dos factores en una Mac, vaya a la sección "Preferencias del sistema" del menú principal y abra "ID de Apple". A continuación, vaya a "Contraseña y seguridad" para abrir "Autenticación de dos factores". Una vez en marcha, se enviará un código de seis dígitos a un dispositivo o teléfono de confianza a través de un mensaje de texto o una llamada automática. Ese código es necesario para abrir la cuenta del ID de Apple.
10. Establecer pautas de higiene en el hogar
Por último, es una buena idea dar a los empleados de la WFH unas buenas pautas de higiene digital que puedan compartir con toda la familia. Los atacantes se dirigen a los empleados de la WFH con estafas destinadas a obtener contraseñas o a inyectar software fraudulento en sus sistemas. He aquí algunos ejemplos de consejos para transmitir:
- Evite los sitios peligrosos en línea, como los sitios de pornografía o de intercambio de archivos o películas gratuitas, y si su navegador puede bloquear los sitios dudosos, hágalo.
- Nunca le diga a nadie en línea su información personal o sus contraseñas. No sabe quiénes son en realidad y dónde pueden ir a parar esos datos.
- Comprueba la exactitud de la URL que ha tecleado, porque los ocupantes de sitios con páginas web maliciosas están a solo una tecla mal tecleada.
- Sobre todo, sea escéptico con cualquier cosa que lea en Internet; podría ser una trampa.
- Del mismo modo, tenga cuidado con el correo electrónico. Los correos electrónicos a primera vista pueden parecer legítimos, pero podrían tener un enlace incrustado a una sofisticada estafa de robo de identidad o ransomware. Si la dirección del remitente parece extraña, tiene errores gramaticales o tipográficos, carece de un logotipo de la empresa o no tiene datos de identificación de la misma, pase de abrirlo. Podría ser lo más inteligente que haga en todo el día.
Basado en el artículo de Brian Nadel (CSO) y editado por CIO Perú