En el mundo laboral se producen diversos escenarios relativos al uso de dispositivos electrónicos dentro y fuera del trabajo, tanto propios como corporativos que, sin darnos cuenta, pueden comprometer la seguridad no sólo del dispositivo sino también de la red corporativa.
Por ejemplo, un empleado tiene un ordenador corporativo para uso profesional, pero, a veces, lo utiliza para temas personales, como leer el correo electrónico. Puede ser también que lo saque de la oficina para terminar un informe y se conecta a la WiFi de un hotel para poder enviarlo.
Otro ejemplo sería el de un empleado que se conecta con su tablet a la red WiFi de la empresa. O decide descargarse una app en el móvil de la empresa.
Estos actos, aparentemente inofensivos y bastante cotidianos, pueden resultar de alto riesgo si no se toman determinadas precauciones.
Si el empleado que lee el correo personal en el ordenador del trabajo pica en un correo de phishing puede no sólo infectar su dispositivo, sino extender la infección al resto de la organización.
Lo mismo pasa con esa app de dudosa reputación que instalas en el móvil corporativo y que permite espiar toda la información que contenga.
Como muestra, recientemente se ha conocido el caso de la popularísima aplicación de vídeos TiKToK, a través de la cual, al parecer, varios empleados del Departamento de Defensa de EEUU han sido objeto de ciberataques. Este hecho ha llevado al Pentágono a ordenar a todos sus trabajadores que se desinstalasen dicha aplicación.
Teletrabajo
En este sentido, uno de los mayores riesgos a los que se enfrentan las empresas está asociado al teletrabajo, una de las tendencias actuales en el mundo laboral que muchas empresas están implantando para favorecer la conciliación familiar y ofrecer más flexibilidad a los trabajadores.
Porque hoy día el desarrollo de los puestos de trabajo modernos requiere cada vez menos la presencia física en un puesto de trabajo, ya que se basa mayoritariamente en herramientas tecnológicas, con alta demanda de conexión a Internet o en aplicaciones en la nube accesibles desde cualquier ubicación.
Teóricamente, todas las herramientas de las que disponen los empleados para desarrollar su trabajo, ya sean PC's o móviles, deberían estar sometidas a las políticas corporativas de seguridad: conexión segura, elementos de protección perimetral como firewall, antivirus, así como un control sobre qué herramientas se pueden o no usar en dichos dispositivos.
Sin embargo, ¿qué pasa cuando estos empleados trabajan desde fuera de la oficina? Si lo hacen dentro del hogar puede que los riesgos estén más limitados, pero si ese teletrabajo se realiza desde centros públicos tales como un hotel, una cafetería, un coworking o sala de reuniones externa, el riesgo se dispara, ya que todas esas conexiones WiFi, basadas en una PSK (pre-shared key o contraseña compartida) son altamente vulnerables.
Es necesario que la empresa dote a los empleados desde medidas técnicas, como el uso de VPN's para conectarse desde este tipo de sitios, hasta medidas formativas y de concienciación para poder actuar con suficiente responsabilidad y diligencia en dichos casos.
No sólo pueden robarle información confidencial, sino también infiltrarse en el dispositivo para luego poder entrar en la red corporativa cuando dicho empleado vuelva a su puesto de trabajo habitual.
Bring your own device (BYOD)
Otro escenario habitual es la conexión de dispositivos privados a la red corporativa, también conocida como BYOD (Bring your own device). Pero, si un empleado se conecta a la red corporativa con un dispositivo hackeado está poniendo en riesgo la seguridad de toda la red.
Las empresas más grandes o que tienen un equipo de IT dedicado, suelen habilitar una red de invitados para que estos se conecten a una red aislada del resto de elementos corporativos.
Sin embargo, no es algo que la gran mayoría de las empresas, especialmente las pymes, se puedan permitir o seguramente desconocen, por lo que se conectan a la misma red WiFi que el resto de empleados.
Además, como dicha conexión se hace mediante PSK, una vez un empleado conoce la clave puede compartirla con más gente de fuera de la organización, quedando totalmente fuera de control.
Por tanto, las empresas deben establecer unas mínimas políticas de seguridad corporativas que permitan que la flexibilidad laboral no se convierta en un riesgo de ciberseguridad. Desde TECTECO recomendamos implantar las siguientes medidas:
-
La medida más básica e inmediata es que todos los ordenadores corporativos deben tener instalados antivirus y credenciales de acceso individuales por usuario.
-
Dotar a los ordenadores corporativos de VPNs para que puedan conectarse en remoto minimizando los riesgos de usar redes WiFi con PSK.
-
Limitar la capacidad de los usuarios para instalar aplicaciones no corporativas en los ordenadores del trabajo.
-
No permitir la conexión de dispositivos privados a la red WiFi corporativa si no es utilizando una red de invitados aislada del resto de dispositivos.
-
En caso de facilitar teléfonos móviles a los empleados, es necesario instalar herramientas de control, conocidas como MDM o Mobile Device Management, que sólo permiten el uso de aplicaciones autorizadas por la empresa.