Siete pasos para garantizar una fuerza laboral remota y con dispositivos personales propios

Siete pasos para garantizar una fuerza laboral remota y con dispositivos personales propios

En el momento en el que surgen las palabras “dispositivo personal propio” en una conversación sobre liderazgo, la gran mayoría de los Gerentes Generales de Seguridad de la Información (CISO, en inglés) entran en pánico. Debido a nuestra naturaleza, los CISO nos vemos obligados a evitar las palabras “dispositivo personal propio” en todos los formatos (en la oficina, en la fuerza laboral móvil y en los empleados remotos). 


Aunque existen herramientas de administración de dispositivos móviles (MDM, en inglés) eficaces para la oficina y la fuerza laboral móvil, el COVID-19 ha dado origen a un caso de uso de dispositivos propios que ningún CISO en su sensatez podría haber anticipado jamás: permitir que un empleado utilice su dispositivo personal propio para prestar servicios corporativos en entornos de negocio a negocio y de negocio a consumidor.  Afortunadamente para mis grupos de interés, muchas veces me han acusado de no ser sensato, ya que mi enfoque es evitar los casos de uso de amenaza y dejo de lado la “poca tolerancia al riesgo” del formato de “dispositivo personal propio”.  De hecho, cuando se trata de dispositivos personales propios, creo que existe una estrategia que podría ser tan segura como usar un dispositivo corporativo en casa. 

 
¿Cuáles son los riesgos de trabajar desde casa?

Siempre traté de analizar el riesgo cibernético desde el punto de vista del atacante.  A medida que reflexiono sobre estos casos de uso de amenaza de los dispositivos personales propios, la primera pregunta que intento responder es: ¿cuáles son las vías más probables de ataque del sistema de trabajo en casa si se utiliza un dispositivo personal propio?   

En mi opinión, estos son los casos de uso que representan el mayor riesgo:

  • La amenaza ya está a la puerta si se utiliza un dispositivo personal propio vulnerado (por ej., registrador de pulsaciones de teclas, otras herramientas de vigilancia).
  • Acceso no autorizado a la infraestructura de la empresa desde un dispositivo personal propio vulnerado para infringir los datos en la red.
  • Vulneración de los datos corporativos que están en el dispositivo personal propio.
  • Suplantación del empleado en la conexión del dispositivo personal propio.
  • Actividades no autorizadas por parte del empleado (por ej., toma de fotografías de datos o descarga de datos en almacenamientos externos o en la nube).

 Siete pasos para enfrentar estas amenazas

La nueva normalidad actual ha provocado que muchas empresas probablemente tengan que contratar empleados de manera virtual, sin conocerlos personalmente en ningún momento.  Enviarle un equipo costoso de TI a ese empleado virtual (de entre USD 1000 y USD 4000) puede implicar un riesgo financiero considerable.  En lugar de esto, ¿qué pasaría si ese empleado virtual pudiera usar su dispositivo personal propio?  Creo que eso es viable si trata las amenazas que se mencionan arriba. 

 

1. Utilice un software de seguridad para asegurarse de que el dispositivo personal propio no esté vulnerado antes de proporcionar las aplicaciones corporativas.

2. Luego, separe el uso personal del dispositivo personal propio del empleado del uso comercial del equipo.  Esto se hace mediante un software que se carga en el dispositivo o a través de una memoria miniatura con software de virtualización.  Básicamente, esto permite crear una máquina virtual dentro del dispositivo personal propio de manera que el empleado no puede utilizar el equipo para uso personal mientras está conectado para trabajar.

3. El software o la memoria miniatura de aislamientos usado para separar el dispositivo personal propio también debe restringir las conexiones externas y dejar solo las necesarias para el uso corporativo (por ej., teclado, mouse, USB solo para auriculares, cámara web).

4. Conéctese a la red corporativa usando la autenticación multifactor.

5. Proporcione escritorios y aplicaciones corporativos mediante la Infraestructura de escritorio virtual, manteniendo la misma tecnología de seguridad que utiliza para los dispositivos corporativos (por ej., detección de terminales y respuesta, protección contra pérdida de datos, proxy web, administración de vulnerabilidades).

6. Utilice un software de detección de anomalías para confirmar que la persona que está detrás de la máquina virtual corporativa es su empleado. Para esto, puede usar tecnologías de reconocimiento facial durante la jornada laboral (si las leyes de privacidad local lo permiten).

7. Si las cargas de trabajo exigen mantener una política de escritorio limpio (por ej., manejo de datos de tarjeta de pago), aproveche algunas de las nuevas tecnologías que utilizan IA y AA para detectar casos de uso de amenazas internas (por ej., tomar fotografías de la pantalla con un teléfono móvil).

 ¿Cómo enfrentó Teleperformance estas amenazas?


Identificar si un dispositivo personal propio es vulnerable
Para hacer frente a esta amenaza, hacemos un examen de seguridad de la máquina antes de ejecutar el software de aislamiento.

Evitar el acceso no autorizado a la empresa
La autenticación multifactor con la red privada virtual o Security Access Service Edge (SASE) es una herramienta de control eficaz con un alto grado de seguridad si se implementa adecuadamente.

 

Vulnerar datos que se encuentran en la máquina
El uso de una infraestructura de escritorio virtual permite que nunca haya datos presentes en el dispositivo personal propio.

 

Vulnerar datos en la red corporativa
Si el escritorio virtual está configurado correctamente, los controles de seguridad (por ej., EDR, DLP y proxy web) del escritorio y la restricción de los puertos de dispositivos hacen que sea muy poco probable que un empleado no autorizado pueda extraer datos.  Sin embargo, es necesario hacer las pruebas pertinentes a menudo para asegurarse de que los controles y los mecanismos de restricción funcionen como deben. 

 

Suplantación de un empleado
Aprovechar el software de reconocimiento facial durante la jornada laboral (donde las leyes de privacidad lo permitan) permitirá garantizar que la persona detrás del dispositivo personal propio sea su empleado.

 

Actividades no autorizadas por parte del empleado
Se trata de una tecnología nueva y emergente en el espacio de seguridad cibernética.  Mediante el uso de la inteligencia artificial y el aprendizaje automático, la cámara web (si las leyes de privacidad lo permiten) puede analizar el espacio de trabajo del empleado para comprobar si cumple con la “política de escritorio limpio”. Incluso, puede enviar una alerta si detecta a otra persona detrás de la computadora o si el empleado está usando un teléfono móvil para tomar fotografías de la pantalla.

 

"Si conoces al enemigo y te conoces a ti mismo, no temas el resultado de cien batallas". Sun Tzu, el estratega militar chino más citado de la historia

 
Las necesidades, las preferencias y las conductas del ser humano están cambiando y, junto con ellas, los modelos de negocio también deben evolucionar y adaptarse.  Se calcula que los últimos meses han acelerado la transformación digital y los modelos de trabajo remoto unos cinco a diez años, con estos resultados:

 

  • El 33 % de la fuerza laboral de los Estados Unidos ya está trabajando de manera remota tiempo completo y otro 25 % utiliza esta modalidad con frecuencia, según datos revelados por una encuesta de Gallup realizada recientemente.
  • Gallup también confirmó que alrededor de dos tercios de los trabajadores remotos quieren continuar con esta modalidad.
  • Desde una perspectiva más global, Global Workplace Analytics prevé que, para fines de 2021, entre el 25 % y el 30 % de la fuerza laboral trabajará desde su casa varios días a la semana.

 

Por lo tanto, sin duda, en el futuro próximo, la administración de empleados remotos a escala será un desafío para los equipos de seguridad y TI. Y, aunque este enfoque del uso del dispositivo personal propio de un empleado virtual puede que no cumpla con la tolerancia al riesgo para todos, tengo la certeza de que se puede implementar de manera segura si se tiene la arquitectura adecuada y se usan la seguridad y la privacidad desde el diseño como principios rectores.

OUR LATEST POSTS