El trabajo remoto no es un tema nuevo para los colegas de TI y ciberseguridad, pero con la pandemia ha alcanzado un nuevo nivel inesperado y, en el mejor o el peor de los casos, el 100% de los empleados de una organización trabajan de forma remota. ¿Se disponían a menudo de infraestructuras de apoyo? No. ¿Estábamos nosotros, los colegas de ciberseguridad, completamente preparados para este nuevo desafío? No.
Lo que hemos descubierto es que estábamos preparados principalmente en la parte técnica, pero necesitábamos trabajar en la parte humana. Se planteó entonces otra cuestión: ¿Cómo manejamos tantas formas diferentes y no seguras de conectarnos a nuestras instalaciones? Puntos de acceso públicos, Traiga su propio dispositivo (BYOD), redes de área local domésticas (LAN), etc. extendió la superficie de ataque a una escala nunca antes vista.
Desde el punto de vista técnico, se han generado tres escenarios principales:
El ‘No Trust’: Activos que solo se pueden usar con una Red Privada Virtual (VPN) y no se permite ninguna comunicación lateral, como un activo interno, tan controlado y reforzado como debería ser.
La ‘Confianza parcial’: Activos que permiten al usuario tener una actividad secundaria (controlada por CASB (Cloud Access Security Broker), EDR (EndpointDetection and Response), etc.), pero solicitan una conexión cuando la actividad es en la oficina. Datos del trabajo y de la empresa.
El ‘Lo que sea’: BYOD o activos no controlados, pero con acceso solo a aplicaciones ‘públicas’ o a través de Infraestructuras de Escritorio Virtual para obtener acceso a aplicaciones internas.
Ahora, si pasamos al lado del usuario, debemos notar que no todos tenían el mismo nivel de conciencia de seguridad, particularmente cuando pensaban en trabajar en espacios públicos. Parece obvio no hablar en voz alta sobre datos o proyectos sensibles en espacios públicos, bloquear sesiones, asegurarse de que nadie pueda ver tu pantalla, etc., pero no lo es. Para eso, necesitamos enseñar más y enfatizar las consecuencias de esos comportamientos. Y al mismo tiempo, debemos asegurarnos de que nuestros sistemas de detección puedan manejar el comportamiento del usuario y tenerlo en cuenta. Además, debemos considerar la especificidad de las funciones críticas y asegurarnos de que la seguridad esté en el nivel correcto.
Siempre es difícil determinar cómo será el futuro, pero sabemos con certeza que el trabajo remoto permanecerá. Tenemos que centrarnos en asegurarnos de que los empleados sean conscientes y comprendan el mayor nivel de amenaza al que nos enfrentamos. Los operadores de ciberseguridad deberían apoyar rápidamente a los empleados en caso de sospechas de incidentes de seguridad, deberíamos reforzar los mensajes sobre amenazas, riesgos y comportamientos, y ofrecer una mejor orientación y ayudar a los usuarios con activos que se ajusten adecuadamente a sus necesidades sin debilitar la seguridad.
Por otro lado, debemos proporcionar controles sólidos sobre las configuraciones y funciones, estar preparados para mejorar la verificación de identidad y autorización, reforzar los filtros y los sistemas, y asegurarnos de que realmente no exista ninguna derivación hacia las joyas de la corona. El trabajo remoto no significa que todo esté abierto al mundo, el acceso debería, au contraireestar más apretado que nunca.
Lionel Garacotche es líder de la oficina técnica de arquitectura de ciberseguridad de TI en Airbus Protect
