¡Conoce las opiniones de nuestros +8500 alumnos!

Banner LISA Comunidad


Medidas de seguridad para teletrabajar de forma segura

Cuáles son las medidas seguridad que deben tomarse para teletrabajar de forma segura es una pregunta muy habitual entre los usuarios y las organizaciones en este contexto de incertidumbre y crisis en el que vivimos debido al Coronavirus.

Con motivo de la crisis sanitaria existente en España y en otros países del mundo, los gobiernos han recomendado e, incluso, obligado a las organizaciones dejar que sus trabajadores, en la medida de lo posible, teletrabajen desde casa, lo cual puede ser un peligro especialmente en el caso de las Infraestructuras Críticas.

El teletrabajo viene acompañado de otro riesgo que son las vulnerabilidades de ciberseguridad. Esta situación es una oportunidad para los cibercrimales. Es más, ya se está produciendo una gran oleada de ciberataques con motivo del teletrabajo, de ahí la necesidad de unas medidas de seguridad que garanticen un teletrabajo seguro.

En este artículo, destacamos las medidas y soluciones de seguridad que permiten implantar ágilmente el acceso remoto a los recursos de una organización y ofrecer unas mínimas garantías de seguridad a la hora de teletrabajar:

  • Soluciones y medidas técnicas para teletrabajar de forma segura: basadas en la nube y sistemas locales
  • Procedimientos de actuación de las personas o equipos para teletrabajar de forma segura
  • Lista de 14 consejos para teletrabajar de forma segura

        Si quieres aprender a prevenir y gestionar las consecuencias psicológicas que provoca el coronavirus, haz clic aquí.

         

        Medidas de seguridad para teletrabajar de forma segura - LISA Institute

        Soluciones y medidas técnicas para teletrabajar de forma segura

        La implementación de una solución de acceso remoto es todo un desafío desde la perspectiva de la seguridad y la gestión para cualquier organización. Las soluciones clásicas basadas en el despliegue de sistemas locales necesitan unas capacidades, tanto de personal como de infraestructura, que no siempre están disponibles en las organizaciones medianas o pequeñas. Aquí te explicamos los 4 retos para la ciberseguridad de la próxima década.

        No obstante, las organizaciones más grandes podrán adaptar sus sistemas actuales para implementar un sistema de acceso remoto seguro que pueda desplegar los servicios necesarios y evitar vulnerabilidades por malware, botnets, ransomware, suplantación de identidad, etc.

        En línea con la Estrategia Nacional de Ciberseguridad de España, a continuación y según el Centro Criptológico Nacional (CCN) adscrito al CNI, se explican dos soluciones de seguridad para la implementación de un sistema de acceso remoto seguro en función de las capacidades de cada organización y que permiten teletrabajar de forma segura:

        1. Solución basada en la nube para teletrabajar de forma segura 

        La solución basada en la nube para teletrabajar de forma segura consiste en desplegar una solución de acceso remoto seguro en la nube, a pesar de no disponer de una gran capacidad dentro de la organización, que facilite temporalmente el acceso a la organización desde cualquier lugar con las medidas de seguridad necesarias al tipo de información manejada.

        Su seguridad se basa en el doble factor de autenticación y la trazabilidad total de las conexiones realizadas por los usuarios remotos. Al aislarse completamente a la plataforma de acceso de la red corporativa, se impide que las vulnerabilidades presentes en el cliente pongan en riesgo a los sistemas corporativos a la hora de teletrabajar. Aquí te ofrecemos 15 consejos de Ciberseguridad para tener una vida cibersegura.

        Las principales características de este sistema de teletrabajo son las siguientes:

        • Nivel de seguridad: Medio/Alto
        • Infraestructura: basada en soluciones Cloud
        • Sistema de autenticación: Fuerte/Doble factor
        • Tiempo de puesta en producción: Mínimo
        • Complejidad TIC: Media/Baja
        • Equipo de trabajo remoto: cualquiera con acceso a Internet

        La arquitectura necesaria para proporcionar el teletrabajo (acceso remoto) recae principalmente en la infraestructura que se encuentra en la nube. La única parte de la arquitectura de la que es responsable cada organización para que el teletrabajo sea seguro es una pequeña máquina virtual llamada “Conector”. Su función es establecer una comunicación segura entre la nube y los servicios corporativos.

        - Medidas de seguridad del servicio en la nube 

          Las medidas de seguridad del servicio en la nube son las siguientes:

          1. Identity Management (suministrado por el Cloud): Se deben utilizar las tecnologías de gestión de identidades a la hora de establecer distintos perfiles de permisos de acceso basados en las políticas de la organización. Como mínimo, se definirán dos tipos de perfiles: usuarios no privilegiados y administradores privilegiados. El control de accesos deberá permitir aplicar los siguientes criterios:
            1. Todo acceso debe estar prohibido salvo concesión expresa.
            2. Los privilegios de cada usuario o proceso se reducirán al mínimo para cumplir con sus obligaciones (principio de mínimo privilegio).
            3. Cada usuario quedará identificado singularmente.
            4. La utilización de los recursos deberá estar protegida.
            5. La identidad del usuario deberá quedar previamente autenticada.
            6. Exclusivamente el personal con competencia para ello, podrá conceder, alterar o anular la autorización de acceso a los recursos, conforme a los criterios establecidos por la organización.
            7. Deberá implementar mecanismos de autenticación fuerte (doble factor) basada en certificados para acceder al servicio.

            2. Notificación y respuesta ante incidentes. Los proveedores conectados a la organización deben reportar todos los incidentes de seguridad detectados en sus instalaciones que afecten a los equipos prestadores de servicios, así como añadir información de las soluciones de eliminación y medidas de seguridad de los incidentes detectados. 

            - Medidas de seguridad en el canal de comunicaciones

                1. La parte del canal de comunicaciones entre la nube y los servicios corporativos se delegaría en los servicios Cloud (por ejemplo: Citrix):

                Es una plataforma de administración en la nube que permite a las organizaciones implementar aplicaciones y escritorios alojados en la nube para los usuarios finales y facilitar el teletrabajo seguro.

                Primero, se asegura el segmento Cliente-Cloud mediante una conexión https y servicios de autenticación fuerte. Segundo, se establece una conexión segura Cloud-Servicios corporativos mediante la máquina virtual llamada “Conector”.

                2. Se establecerán dos canales seguros:

                1. Canal Organismo-proveedor de servicio en la nube. Deberán establecerse canales cifrados mediante la utilización de redes privadas virtuales (VPN). Estas VPN deberán ser establecidas entre el terminador de túneles del Organismo y el servicio en la nube. Para el establecimiento de dichas VPN se utilizarán protocolos seguros como IPSec o TLS 1.2 o superior.
                2. Canal Proveedor de servicio en la nube-end point. El proveedor se encargará de dar acceso VPN mediante su tecnología y mecanismo de validación a sus usuarios. En este caso, serán canales https/TLS 1.2 o superior, al que serán de aplicación las indicaciones expuestas en el caso anterior.

                - Medidas de seguridad en los equipos

                  1. Cada usuario de la organización haría uso de su propio equipo TIC para acceder a través de una página web y una autenticación fuerte o doble factor de autenticación (por ejemplo, token software en el teléfono móvil, un SMS, etc.) a un portal Citrix en la nube que le daría acceso a los sistemas corporativos.

                  2. Los equipos de acceso a los servicios corporativos disponen de las mismas medidas de seguridad que las establecidas en la organización para el resto de sus equipos:

                  1. DMZ. Esta DMZ alojará al “Conector” y dará acceso a los servicios corporativos a los que se tenga acceso en remoto.
                  2. PROXY en DMZ. El acceso a Internet se gestionará a través de un servidor proxy a través de la red corporativa, aplicando las políticas de seguridad establecidas en la organización.
                  3. CONECTOR. Despliegue del conector Citrix dentro de la organización.

                  - Medidas de seguridad en el acceso a los servicios corporativos

                    1. Para el acceso a los servicios de la organización se plantean tres escenarios:

                    1. NIVEL SEGURIDAD ALTO - Acceso a los servicios a través de Sistema VDI: cada usuario dispondrá de una máquina virtual que será un equipo de la propia organización.
                    2. NIVEL SEGURIDAD MEDIO - Acceso a los servicios a través de un Servidor de Escritorios Remoto (MTSC): los usuarios accederían a una especie de máquina virtual con acceso a los mismos servicios corporativos que tendrían en la oficina. Requiere del despliegue de un servidor con capacidad de dar servicio a todos los usuarios de la organización.
                    3. INSEGURO - Acceso directo a los propios equipos de los usuarios: este tipo de alternativas es desaconsejable al suponer un alto riesgo de infección por código dañino o ransomware. En caso de que sea la única alternativa posible, se deberían aplicar las siguientes medidas complementarias:
                      • Restringir las direcciones IP desde donde se van a originar las conexiones.
                      • Aumento de la gestión administrativa diaria para poder autorizar de nuevo cada una de las nuevas direcciones IP dinámicas que presentan los usuarios.
                      • Contar con registros de auditoría asociados a las conexiones.

                     

                    Medidas de seguridad para teletrabajar de forma segura

                    2. Solución basada en los sistemas locales para teletrabajar de forma segura 

                    La solución basada en los sistemas locales para teletrabajar de forma segura consiste en desplegar equipos portátiles configurados y bastionados por la organización en los que se use Internet como medio de acceso seguro a los servicios corporativos.

                    Esta solución requiere de múltiples mecanismos de seguridad que garanticen que todos los elementos TIC involucrados cumplan las medidas de seguridad establecidas para prevenir y evitar el riesgo de exposición de los sistemas a la hora de teletrabajar. Aquí te explicamos las 6 tendencias en Ciberseguridad que marcan (y marcarán) el mundo digital.

                    Las principales características de este sistema de teletrabajo son:

                    • Nivel de seguridad: Medio/Alto
                    • Infraestructura: Sistema local
                    • Sistema de autenticación: Certificados máquina/Simple
                    • Tiempo de puesta en producción: Alto
                    • Complejidad TIC: Alto
                    • Equipo de trabajo remoto: Portátil corporativo

                    - Medidas de seguridad en el canal de comunicaciones

                      1. La seguridad del canal de comunicaciones seguras parte entre el propio equipo portátil corporativo y la red de la organización. Para establecer la comunicación es necesario confirmar la identidad del equipo, por ejemplo, a través de una comunicación VPN mediante autenticación con certificado de máquina (opción más habitual de conexión). Estas VPN deberán ser establecidas extremo a extremo entre el terminador de túneles del organismo y el end point.

                      2. Para el establecimiento de dichas VPN se utilizarán protocolos seguros como IPSec o TLS 1.2 o superior. Proveerán autenticación extremo a extremo, basada en la utilización de certificados digitales, protección de la integridad y, en el caso de que se maneje información sensible, protección de la confidencialidad. Las medidas de seguridad vinculadas a la validación de acceso deben ser revisadas con frecuencia para evitar duplicidades de acceso o se conozca la dimensión de los mismos.

                      - Medidas de seguridad en los equipos clientes

                        1. Para teletrabajar, cada usuario utilizaría un equipo corporativo que incluyera, además de todas las medidas de seguridad estándar de la organización, medidas adicionales que permitan la comunicación con los servicios corporativos a través de Internet. Las medidas para registrar las actividades de los usuarios, así como sus conexiones son muy importantes para evitar posibles incidentes o facilitar su investigación posterior ya sea en materia pericial o de ciberinteligencia.

                        2. El cumplimiento de estas medidas de seguridad permitirá reducir la superficie de ataque y mitigar amenazas derivadas del teletrabajo:

                        • DMZ. Todos los servicios a los que se tenga acceso en remoto deberán encontrarse en una DMZ. En esta DMZ se dispondrá de un proxy que controle el acceso a Internet.
                        • NAC. Se deben utilizar las tecnologías de gestión de identidades a la hora de establecer distintos perfiles de permisos de acceso basados en las políticas de la organización. Como mínimo, se definirán dos tipos de perfiles: usuarios no privilegiados y administradores privilegiados.

                        - Medidas de seguridad en el acceso a los servicios corporativos

                          1. Para el acceso a los servicios de la organización se plantean dos escenarios:

                          1. NIVEL SEGURIDAD ALTO - Acceso a los servicios a través de Sistema VDI: cada usuario dispondrá de una máquina virtual que será un equipo de la propia organización.
                          2. NIVEL SEGURIDAD MEDIO - Acceso a los servicios a través de un Servidor de Escritorios Remoto (MTSC): los usuarios accederían a una especie de máquina virtual con acceso a los mismos servicios corporativos que tendrían en la oficina. Requiere del despliegue de un servidor con capacidad de dar servicio a todos los usuarios de la organización.

                          - Medidas de seguridad en los end point

                            Por regla general, salvo causa justificada, deberán utilizarse:

                            1. Herramientas EPP: en cualquier tipo de sistema.
                            2. Herramientas EDR: recomendada para los sistemas que manejen información sensible.

                            Estas herramientas deberán actualizarse con una periodicidad establecida por la política de seguridad de la organización y que dependerá del nivel de seguridad exigido por la información que vaya a manejar.

                            El end point deberá contar con las medidas de seguridad establecidas por la organización y, específicamente, deberán tenerse en cuenta las siguientes:

                            1. Medidas de Hardware:
                              • BIOS protegida con contraseña fuerte y configurada de acuerdo con el principio de mínima funcionalidad.
                              • Si son portátiles, dotados de filtros de privacidad (pantallas).

                              2. Medidas del sistema operativo:

                                • Autenticación fuerte y mediante directorio activo de la organización. En caso de que se vaya a manejar información sensible se recomienda doble factor de autenticación. Se bloqueará el equipo tras intentos fallidos de autenticación consecutivos o después de un período de inactividad para evitar accesos no autorizados.
                                • Sistema operativo con soporte y parches de seguridad actualizados.
                                • Únicamente se podrá administrar el sistema desde un usuario administrador.
                                • Se implementará una configuración que restrinja y controle la ejecución de software de acuerdo con las políticas de la organización.

                                3. Herramientas de seguridad:

                                  • Se instalarán herramientas antimalware. El software de detección de código dañino deberá configurarse para:
                                    1. Analizar los ficheros procedentes de fuentes externas antes de trabajar con él.
                                    2. Revisar el sistema cada vez que arranque y realizar escaneos regulares para detectar software malicioso.
                                    3. Actualizar periódicamente las firmas de malware.
                                    4. Implementar protección en tiempo real de acuerdo con las recomendaciones del fabricante.
                                  4. Cortafuegos personal. Permite únicamente los flujos de comunicación autorizados conforme a las políticas de la organización y rechaza el resto. Evita que el equipo se conecte a otras redes no corporativas.
                                    5. HIPS. Es muy útil para sistemas que manejen información de nivel alto de seguridad. Su función es detectar y bloquear en tiempo real cualquier intento de intrusión en éste. El conjunto de reglas predefinidas y patrones de firma utilizados para detectar posibles ataques deberán ser personalizados y actualizados periódicamente conforme a la Política de Seguridad de la organización.
                                      6. Gestión de eventos. Se utilizarán mecanismos para el registro de logs y eventos de seguridad generados por el sistema y/o los usuarios, que puedan ser almacenados y retenidos durante el período que establezca la Política de Seguridad establecida en la organización. La modificación de la referencia de tiempo será una función del administrador.
                                        7. Cifrado de datos. Su función es proteger la confidencialidad e integridad de la información de los sistemas que almacenen información sensible. Concretamente, estos mecanismos serán:
                                          • Cifrado off line: para la protección de la información sensible que vaya a ser enviada por o almacenada en un medio inseguro.
                                          • Cifrado at rest o cifrado de la información almacenada. Deberá utilizarse siempre que la solución de endpoint sea móvil o portátil para sistemas que guarden información sensible.

                                          8. Prevención de Fuga de Datos (DLP). Siempre que sea posible, para sistemas que manejen información sensible, se aplicarán mecanismos que permitan controlar la salida de información desde el sistema.

                                            9. Borrado seguro. Todos aquellos archivos que contengan información sensible deberán ser borrados de manera segura cuando finalice su uso utilizando un borrado seguro. El proceso consiste en una o varias pasadas de sobreescritura o el cifrado de la información. Medida que debe poder hacerse de forma telemática, especialmente para escenarios en los que un empleado demuestre ser infiel o deba ser despedido. Haz clic aquí para conocer todas las medidas para prevenir y detectar insiders en tu organización

                                             

                                            Medidas de seguridad para teletrabajar de forma segura (3)

                                              Procedimientos de actuación de las personas o equipos para teletrabajar de forma segura

                                              Es fundamental que los usuarios dispongan, diariamente, de sus portátiles o equipos para acceder remotamente a la organización en caso de activarse algún protocolo de actividad extraordinaria fuera de la oficina, dicho de otra manera, teletrabajo.

                                              En estas situaciones que pueden ser provocadas por escenarios de crisis sanitarias como la del coronavirus, o por indisponibilidad de oficinas o desplazamientos profesionales, es conveniente llevar a cabo pruebas de conectividad para comprobar la funcionalidad del acceso remoto y registrar las direcciones IP, credenciales y accesos disponibles mediante la conexión remota.

                                              Si para teletrabajar se debe dejar el equipo de la organización encendido, asegúrate de las siguientes medidas:

                                              1. Tener actualizado el puesto de trabajo con los últimos parches de seguridad (Sistema operativo, herramientas de seguridad, aplicaciones, etc.).
                                              2. Cerrar todas las conexiones que no sean estrictamente necesarias.
                                              3. Cerrar todas las aplicaciones cuando no se estén utilizando.
                                              4. Realizar análisis de los antivirus (exhaustivos) a los puestos de trabajo, aunque los ordenadores no se reinicien.
                                              5. Aplicar las actualizaciones programadas en la organización.
                                              6. Prever mecanismos que permitan el reinicio de los equipos de forma remota y acceder a través de canales establecidos desde fuera de la organización una vez reiniciado el equipo.

                                                Lista de 14 consejos para teletrabajar de forma segura

                                                A continuación, ofrecemos una lista de 14 consejos de protección para teletrabajar de forma segura:

                                                1. Evita navegar por páginas sin https, Deep Web o la Dark Web.
                                                2. Evita realizar pagos online y, si lo haces, ten en cuenta los consejos de prevención del phishing y los consejos de seguridad bancaria online.
                                                3. Evita o limita el acceso de equipos conectados entre sí o con la misma red, para evitar los riesgos de los wearables y el IoT.
                                                4. Ten instaladas las últimas actualizaciones del sistema operativo.
                                                5. Ten activados servicios de monitorización con alertas definidas.
                                                6. Revisa los registros y auditorías de las conexiones remotas.
                                                7. Ten habilitados canales de comunicación para reuniones mediante Internet.
                                                8. Restringe montar unidades mapeadas del organismo en equipos remotos inseguros.
                                                9. Evita las opciones de “Split-Tunneling” en equipos inseguros o que no cumplan todas las medidas de seguridad.
                                                10. Revisa o ten más vigiladas unidades para intercambiar información.
                                                11. Asegura si los antivirus escanean los dispositivos USB conectados a los equipos remotos o si se bloquea el acceso de USB en dichos equipos.
                                                12. Ten listados telefónicos de fácil acceso para comunicarse con las diferentes personas.
                                                13. Ten listados de personas, direcciones IP, teléfonos, correos electrónicos corporativos y alternativos relacionados con el acceso a los sistemas de forma remota.
                                                14. Ten actualizado el listado de personas que pueden acceder remotamente a los equipos de la organización con la dirección IP de acceso y medio de conexión

                                                Si quieres formarte en ciberseguridad, tanto a nivel preventivo como de ciberinvestigación o gestión de la ciberseguridad, haz clic aquí.

                                                 

                                                Cursos de Ciberseguridad LISA Institute

                                                Quiero saber más, ¿qué hago?

                                                Si quieres ampliar información sobre cualquier ámbito de la Ciberseguridad, consulta estos artículos de nuestro blog:

                                                  Si quieres empezar ya a formarte en Ciberseguridad, te recomendamos estos cursos online:

                                                  Si quieres saber aún más

                                                  Suscríbete para ser el primero en recibir artículos, análisis y noticias, además de descuentos exclusivos para suscriptores en formación sobre Seguridad, Inteligencia, Ciberseguridad y Geopolítica.