En esta vorágine de modernizarlo todo, “alguien” debe profundamente reflexionar y pensar que nuevos medios implica revisión de los diseños. Es como si a un edificio ya construido, le ponemos por encima cuatro plantas más. ¿Vale el mismo proyecto arquitectónico? ¿Resistirá la nueva carga?. Pues eso es lo que habitualmente se hace con los sistemas de información, y por desgracia, sin contar con “sus arquitectos” ni con expertos en “seguridad de la información” (que no ya informática).
El teletrabajo es un nuevo elemento que hay que tratar de proteger de la manera mejor posible. Sin todavía justificar mi respuesta, ya anuncio que el principal problema de seguridad es el usuario teletrabajador que no sea un empleado fiel.
Cuando se estudia y diseña un sistema de seguridad, se realiza lo que llamamos un análisis de riesgos. Básicamente consiste en identificar el sistema de información, sus procesos, sus actores y para cada una de estas piezas plantearte qué cosas pudieran suceder y cuales son realmente los daños y por tanto, los riesgos.
En el tema del teletrabajo, podemos identificar tres trozos que forman el proceso: Usuario-cliente, el canal de comunicación, y los sistemas centrales que suministran los datos. Este esquema es por ejemplo, el que también presentan los servicios de banca electrónica.
Ante esta situación, ¿qué nuevos riesgos aparecen? Pues bastantes más que cuando el proceso está localizado en una única sede. En un servicio presencial, podemos controlar de alguna manera tanto a los visitantes como a los empleados.
A nivel técnico, las decisiones de seguridad para establecer controles tienen por objetivo garantizar:
- Seguridad del canal de comunicación a través de conexiones seguras, utilizando para ello VPN (virtual private networks) que en teoría, son eso, redes privadas virtuales (digo en teoría, porque que una red sea vpn no implica explícitamente que el tráfico que circula por ella vaya cifrado, aunque así sea en el 99% de los casos).
- Seguridad en el cliente, tratando de garantizar su identidad mediante un proceso de autenticación (usuario y contraseña, tarjeta de claves, dni-e,etc.)
- Seguridad del proceso que sirve datos, que es lo que ya tiene medidas de seguridad porque esta parte no ha cambiado en cuanto a lo que hace, pero sí en cuanto a los medios de acceso. Es necesario ahora que ésta parte también se identifique, requiriendo una prueba técnica de que la dirección de Internet asociada es la correcta. Esto es básicamente un certificado digital de servidor (por lo que ponemos httpS://www.banco.es). Necesitamos poder verificar que cuando en el navegador ponemos la dirección que nos sabemos (la URL), www.banco.es, el servidor que nos atenderá será realmente el del banco.
Siguiendo con el ejemplo de la banca online, lo que se ha hecho mal ha sido no garantizar suficientemente la robustez del mecanismo de identificación del cliente ( y por ello se sufre el phishing) ni de los procesos que sirven datos (Identificación del servidor mediante un certificado digital y por ello se sufre el pharming).
En un entorno de teletrabajo, ¿Qué puede controlar una organización?
- a) Que no se acceda por canales inseguros o manipulables, o sea, no permitir teletrabajo sin una conexión cifrada y nada de redes wifi abiertas.
- b) Que no pueda acceder cualquiera, requiriendo una adecuada y robusta autenticación (olvidarse de usuario y contraseña)
- c) Que los servidores responderán las 24 horas los siete días de la semana, unos 365 días al año.
¿Qué es difícil que pueda controlar una organización? Pues, sencillamente que el usuario sea honrado. Nadie va a poder evitar que ese teletrabajador en su casa, no siente a su lado, por ejemplo, a un empresario que sea de la competencia, o al vecino que quiere ver un expediente donde es afectado. Imagino que dentro de unos años, al igual que ahora se graban las conversaciones telefónicas en los servicios prestados mediante este medio, también se obligará al uso de una cámara Web y se grabará todo el rato al teletrabajador que está delante teóricamente trabajando.
¿Descabellado? Tiempo al tiempo…
Ya he comentado alguna vez la normativa internacional utilizada en materia de seguridad, ISO 27001 e ISO 27002. En ellas, esta problemática está extensamente cubierta por diferentes tipos de controles que indico:
Seguridad ligada al personal
- Funciones y obligaciones, investigación de antecedentes, concienciación, proceso disciplinario.
Gestión de comunicaciones y operaciones
- Políticas de intercambio de información, mensajería electrónica
Control de acceso
- Responsabilidades del usuario, control de acceso a la red, al sistema, a la aplicación e información, Controles 11.7. Ordenadores portátiles y teletrabajo.
El problema como se puede ver, tiene solución, pero requiere, por un lado de interés por parte de la Dirección, Recursos técnicos, establecimiento claro de responsabilidades, concienciación, disciplina, fidelidad del empleado, monitorización del uso, … y un adecuado diseño de la seguridad de la información que realmente es necesaria.
Todo el mundo quiere teletrabajo porque busca sus beneficios, pero ¿conocemos los nuevos riesgos?