Pregúntele a una persona de negocios dónde se encuentra su oficina y la respuesta probable es "en todas partes". Están trabajando desde casa, permaneciendo en el circuito mientras viajan y se ponen al día con el correo electrónico entre llamadas de ventas. Por el bien de la productividad, muchas compañías brindan a sus empleados, y quizás a los clientes o proveedores de servicios, acceso remoto a sus redes. ¿Está tomando medidas para asegurarse de que esas entradas externas en sus sistemas se defiendan con sensatez?
Si su empresa quiere comenzar con la seguridad, es importante asegurar el acceso remoto a su red. Aquí hay algunos ejemplos basados en investigaciones de la FTC, acciones de aplicación de la ley y preguntas que las empresas nos han hecho.
Asegurar la seguridad del punto final.
Su red es tan segura como el dispositivo menos seguro que se conecta a ella, y no hay garantía de que la computadora doméstica de un empleado, la computadora portátil de un cliente o el teléfono inteligente de un proveedor de servicios cumplan con sus estándares de seguridad. Antes de permitirles acceder a su red de forma remota, establezca reglas de seguridad, comuníquelas con claridad y verifique que el empleado, el cliente o el proveedor de servicios cumplan. Además, las compañías sabias toman medidas para asegurarse de que los dispositivos utilizados para el acceso remoto tengan software actualizado, parches y otras características de seguridad diseñadas para proteger contra las amenazas en evolución.
Ejemplo: Antes de permitir que los empleados accedan a la red de la empresa de forma remota, una empresa establece configuraciones estándar para firewalls, protección contra antivirus y otras medidas de protección en dispositivos utilizados para acceso remoto y realiza capacitación interna periódica. También proporciona un token con un código de seguridad dinámico que el empleado debe escribir para acceder a la red de la compañía, y mantiene procedimientos para garantizar que los dispositivos de los empleados tengan los firewalls obligatorios, la protección antivirus y otras protecciones. Además, la compañía reevalúa regularmente sus requisitos a la luz de las amenazas emergentes y bloquea el acceso remoto por dispositivos con seguridad anticuada. Al acercarse a la seguridad del punto final como un proceso continuo, la compañía ha tomado medidas para reducir los riesgos asociados con el acceso remoto.
Ejemplo: Una empresa de búsqueda ejecutiva tiene archivos en su red que incluyen información confidencial sobre candidatos de trabajo. Cuando un posible empleador conserva la empresa de búsqueda, la empresa le da al empleador acceso remoto a su red para ver esos archivos, pero no verifica que las computadoras del empleador usen firewalls, software antivirus actualizado u otras medidas de seguridad. El mejor enfoque sería que la empresa de búsqueda requiera contractualmente estándares de seguridad mínimos para los empleadores que desean acceder a la red de la empresa de forma remota y utilizar herramientas automatizadas para asegurarse de que los empleadores cumplan con los requisitos.
Ponga límites de acceso sensibles en su lugar.
En esta serie de blogs, ya hemos hablado es la necesidad de controlar el acceso a los datos con sensatez. Así como las empresas conscientes de la seguridad restringen el acceso interno a los archivos confidenciales a los miembros del personal con una necesidad comercial de datos, también ponen límites sensibles para el acceso remoto.
Ejemplo: Un minorista contrata a un contratista para renovar su sistema de nómina en línea. El minorista brinda al contratista acceso remoto a las partes de la red necesarias para completar la tarea, pero restringe al contratista de otras partes del sistema. Además, el minorista suspende la autorización del contratista tan pronto como se complete la tarea. Al limitar el alcance y la duración del acceso remoto del contratista, el minorista ha tomado medidas para proteger los datos confidenciales en su red.
Ejemplo: Una compañía decide actualizar su infraestructura de información y firmar contratos con múltiples proveedores para instalar y mantener de forma remota software en numerosos sistemas en la red de la compañía; un proyecto que la compañía anticipa tomará un año desde el principio hasta el final. Debido a que los proveedores trabajarán en diferentes partes de la red en diferentes momentos, la compañía crea cuentas de usuario para proporcionar a cada proveedor privilegios administrativos completos en toda la red de la compañía durante todo el año. Aunque esta podría ser la forma más rápida para que la empresa administre las cuentas de los proveedores, es una elección insegura. Una opción más sabia sería adaptar el acceso de los proveedores al alcance de su trabajo. Por ejemplo, la compañía debe determinar si algunos proveedores pueden realizar sus deberes sin privilegios de acceso administrativo en toda la red de la compañía. Otros proveedores pueden necesitar acceso administrativo, pero solo por un período de tiempo limitado. Además, si un proveedor en particular tendrá múltiples empleados que comparten acceso administrativo, la Compañía debe implementar un método para que pueda auditar y atribuir el uso de la cuenta a un empleado de proveedor en particular.
No muchos ladrones lloran por una pared. En cambio, explotan las debilidades en puertas, ventanas y otras entradas externas. El mensaje para las empresas es que si permite el acceso remoto a su red, esté atento a la defensa de esas entradas.
Siguiente en la serie: Aplicar prácticas de seguridad sólidas al desarrollar nuevos productos
