Seguridad

Cuando el Home Office no es una opción

By Marzo 15, 2020 No Comments

Home office

Garantizar la seguridad del trabajo remoto y el uso de dispositivos móviles”, es lo que indica el objetivo de control A.6.2 de la norma ISO 27002:2013 invitándonos, en el control A.6.2.2, a generar una política y todas aquellas medidas que permitan proteger la información a la que acceden, procesan o almacenan nuestros usuarios durante sus sesiones de teletrabajo, home office o simplemente trabajo remoto. Se trata de un control el cual, no necesariamente, es una necesidad constante, diaria o de todas las organizaciones e instituciones. 

Sin embargo, 

¿Qué sucede cuando este control pasa a ser una necesidad?

Indistintamente si tienes un sistema de gestión de seguridad de la información, o no; El home office es ahora una real necesidad debido a la urgencia de contener la propagación del COVID 19 acatando las disposiciones definidas para esto por las instituciones correspondientes o tomando medidas proactivas como empresa, organización o institución. 

Entonces, ¿Nos ponemos a escribir una política de trabajo remoto?, Se la enviamos por correo a nuestros usuarios y nos tomamos de las manos con fe… Pues, para el coronavirus, puede ser una opción, aunque descartaría eso de tomarnos de las manos y agregaría un radio personal de un par de metros. Respecto al trabajo remoto…

¡OK! Entonces, les damos VPN a todos. Así, garantizamos que todos nuestros usuarios podrán trabajar desde sus casas con el menor impacto posible para la continuidad del negocio. 

  • ¿Y la seguridad?
  • ¡Pues! ¡La VPN!
  • Coronavirus… haz lo tuyo.

No. Una VPN únicamente nos permitirá asegurar el transito de la información mientras provee un medio seguro por el cual extender la red de mi organización. Y me detengo aquí: Extender la red de mi organización. Con lo anterior, todas aquellas definiciones de perímetro han desaparecido de forma automática. ¿Dónde queda ahora nuestro perímetro? Por supuesto, hace mucho tiempo que nuestro perímetro se ha hecho difuso mediante la incorporación de servicios cloud y redes hibridas. Sin embargo, ahora, bajo necesidad y contingencia, estamos abiertamente extendiendo nuestro perímetro hacia oscuras ramificaciones al entregar una conexión remota, segura, a nuestra infraestructura TIC, a nuestros activos de información, al negocio desconociendo el “estado de salud” de los dispositivos remotos que accederán a nuestra red y aceptando un riesgo sin conocer su impacto y probabilidad. Absolutamente un salto de fe.

La norma nos pide proteger la información mientras se accede, procesa o almacena. En el escenario descrito antes, ¿Cómo garantizamos que el procesamiento y almacenamiento de información es seguro? 

Pues bien, recomendamos abordar mediante un enfoque que contemple desde los espacios y/o ubicaciones físicas de origen como destino identificando la infraestructura, redes, tecnologías de información y tecnologías de operación involucradas. Posteriormente, realiza un inventario de todas las aplicaciones operacionales, de apoyo, transporte y cualquier aplicación que intervenga como sus respectivas fuentes de información -Line of Business-. Todo lo anterior, para dar apoyo y soporte a las operaciones de negocio que son, justamente, aquellas a las que debemos de garantizar su continuidad operacional mediante la habilitación del soporte para trabajar de manera remota. Esta propuesta de enfoque permite contemplar todas aquellas necesidades de acceso que tendrán tus usuarios y “perfilar” debidamente a estos. Considera, siempre, los enfoques de mínimo privilegios extendiendo esto hacia el “mínimo acceso” en función del rol de cada colaborador. Siempre, hablando de una sesión de teletrabajo, es importante verificar la seguridad física del entorno de trabajo remoto, considerar requisitos de seguridad para las conexiones, garantizar la AAA (Authentication, Authorization and Accounting), auditoria, monitorización en tiempo real, respaldo de información, entre otras consideraciones. 

Algunas sugerencias

  • Verifica una correcta Autenticación
    • En la medida de lo posible, habilitas soluciones para el gestión y manejo de identidades.
  • Habilita, en lo posible, autenticación de doble factor
  • Verifica la correcta Autorización 
  • Garantiza el Accounting
  • Implementa mecanismos de monitorización en tiempo real
    • Delega esto un personal experto
  • Monitoriza y analiza el uso y comportamiento de tus usuarios
  • Implementa, en la medida de lo posible, control y filtro web y de aplicaciones en las estaciones remotas.
  • No olvides el SSL.
  • Implementa políticas condicionadas al estado de salud de los dispositivos
    • Por salud, actualizaciones, versión, etc.
  • De ser posible, extiende tu solución endpoint hacia los equipos de tus usuarios o provee a estos de equipos.
  • Verifica tus políticas en tu solución CASB
  • Emplea soluciones cloud para el almacenamiento de archivos
  • Habilita y habilitas políticas de auditora, cifrado y protección para el robo y fuga de información en tus distintas soluciones.
  • Control y gestión de medios removibles.
  • En le medida de lo posible, controla las actualizaciones y parches de tus equipos remotos
    • Contempla el CVE CVE-2020-0796
  • Concientiza y entrena a tus usuarios
  • Contempla un plan de gestión de crisis

No olvides el enfoque de todo está prohibido y solo habilita lo estrictamente necesario. Finalmente, adapta tu estrategia para con la seguridad remota en función del análisis y experiencia que obtengas desde esta experiencia con la premisa que estamos ante un desafío de “shadow TI”. Sin duda alguna, aprenderemos mucho de esta situación no solo en lo que respecta a seguridad y ciberseguridad, sino también en todo orden de cosas.

Esperamos haber aportado. Éxito y gracias por tu tiempo.

César Millavil Arenas

C|EH – ISO27001LA – ISO27032LM