VIVIANA LAURA DIAZ
Comencemos por definir que es el MODELO TCR: se
trata de la modalidad laboral realizada a través de las tic desde un
lugar remoto o distante, al principal asiento de la organización..
Cuando se habla de seguridad informática se consideran dos
ámbitos de acción:
• Seguridad de la información. Se concentra en prevenir posibles
ataques o accidentes que provoquen la pérdida física o la alteración
de la información.
• Protección de datos. Se relaciona con la confidencialidad de la
información, particularmente de las bases de datos y de los
registros sensibles de la organización.
Entre los temores que existen al momento de
adoptar el modelo TCR está el de poner en riesgo la información,
especialmente porque se cree que al compartir datos con
dispositivos remotos se corre mayor riesgo de que sean víctimas de
ataques o filtraciones. Este temor es válido, pero ello no significa
que no sea superable. Al momento de adoptar el modelo TCR, bien
sea con equipos entregados por la oficina o por el uso de
dispositivos de propiedad de los trabajadores (BYOD), Bring Your
Own Device es necesario que se tomen las medidas pertinentes
para garantizar la seguridad de la información.
En algunos casos los datos que circulan entre los
equipos de trabajo tienen carácter sensible o confidencial, y basta
con el uso de correos electrónicos corporativos, que incluyan los
filtros básicos para detener posibles amenazas. En otros, la
información tiene un carácter estrictamente privado y solo puede
estar al alcance de los colaboradores autorizados para ello, como
es el caso de los datos financieros o la información de futuros
proyectos, para ello existen sistemas de protección de datos más
complejos, que garantizan la transparencia en el flujo de
información y disipan cualquier riesgo de ataque.
La recomendación en cualquier caso es la capacitación,
el entrenamiento de jefes y trabajadores remotos por eso desde
USUARIA llevamos adelante programas en formación DREAM
TEAM que brindan certeza jurídica, informática, comunicacional y
en seguridad e higiene para quienes implementen el modelo TCR.
Los controles aplicables al TCR abarcan capas extra de
cifrado de información, cláusulas de responsabilidad adicionales,
cumplimiento de procedimientos específicos, contraseña en BIOS,
software para asistencia remota y localización del equipo en caso
de pérdida o robo, inventario de información del dispositivo,
procedimientos de emergencia para revocar los permisos del
usuario (también en caso de pérdida), o herramientas de borrado
remoto de dispositivos.
La correcta aplicación de estos controles debería ser
suficiente para garantizar unos niveles aceptables de seguridad,
pero pueden tener el problema de limitar demasiado el uso del
equipo fuera del entorno laboral, por lo que si el equipo también es
utilizado para fines personales es posible que se acaben
deshabilitando salvaguardas o se degrade la seguridad del sistema.
Es por ello que si la conexión a los sistemas va a ir más allá de
interactuar con interfaces web en aplicaciones poco críticas o enviar
información por correo electrónico, debería establecerse un nivel
adicional de seguridad introduciendo el concepto de equipo o
conexión confiable..
Es prácticamente imposible poder considerar un equipo
100% seguro, se puede establecer una línea base a partir de la cual
se confiará en el dispositivo: consideramos como un equipo
confiable aquel que ha sido plataformado y securizado por personal
cualificado (implica antivirus, actualizaciones automáticas,
bastionado, etc.…), instalando el sistema operativo desde una
fuente confiable (soportes originales, fuentes de los que se ha
comprobado el hash, o similar), y sobre el cual el usuario no
dispone de permisos de administración. Aun así es posible
comprometer el equipo, pero para una organización estándar este
nivel de seguridad se considera más que aceptable.
Las medidas de seguridad necesarias para aplicar
son:
Instalación del sistema operativo desde una fuente fiable.
Sistema operativo y aplicaciones actualizadas.
Software antivirus.
Cuentas de usuario sin permisos para instalar software.
Control de acceso robusto.
Configuraciones seguras en aplicaciones (navegación web, correo
electrónico, etc).
Bloqueo automático por inactividad.
Software antirootkits.
Control de software original.
Cifrado del disco.
Comprobación periódica de la adecuación de las salvaguardas.
Ahora bien, si la información a tratar en los equipos
de TCR es considerada importante o crítica, pero no se considera el
equipo lo suficientemente confiable, es posible aplicar medidas
compensatorias mediante las cuales se pueden conseguir niveles
aceptables de seguridad según los requisitos de cada organización,
por ejemplo:
Diferentes cuentas de usuario: se trata simplemente de tener
diferentes cuentas de usuario en el mismo equipo donde se utilizará
una para entornos confiables (TCR) y otra para asuntos personales.
Si bien la protección que ofrece esta configuración es fácilmente
vulnerable para la mayoría de virus y código malicioso, puede ser
una primera línea de defensa poco intrusiva que permite establecer
medidas de seguridad diferentes a diferentes perfiles de usuario.
. Arranque dual: resulta una solución mucho más robusta que la
anterior. Se trata de instalar en un mismo equipo dos sistemas
operativos, iguales o diferentes, de los cuales cada uno se utilizará
para un entorno (TCR o personal). Si bien seguiría siendo posible
acceder a los datos de las otras particiones, la información puede
almacenarse cifrada para evitar que pueda ser modificada desde la
otra partición.
Distribuciones “live”: antiguamente se las conocía como live-cd
aunque ya hace tiempo que es posible instalarlas en memorias USB
o en tarjetas de memoria estilo SD. Se trata de instalaciones
completas de sistemas operativos que son totalmente
independientes de lo que haya en la PC ya que se cargan antes de
que el sistema operativo del equipo arranque. Con esta opción se
utilizaría, el sistema operativo de la PC para temas personales y la
distribución live para el TCR, ya que desde la distribución live se
puede acceder a la partición instalada en el equipo, pero no al
revés.
Por motivos de movilidad y para poder trabajar
indistintamente desde casa o desde la oficina, el modelo TCR actual
utiliza en la mayoría de los casos ordenadores portátiles, tablets, o
cualquier otro dispositivo portable cuyas ventajas son conocidas. No
obstante, precisamente por el hecho de ser portables, fáciles de
perder, y susceptibles de ser robados, deben tomarse medidas
especialmente diseñadas para este tipo de dispositivo. Para evitar
los robos de equipos portátiles suele ser suficiente tomar algunas
medidas de sentido común como no dejarlo a la vista en el auto..
Además pueden adquirirse candados de seguridad para portátiles,
los cuales sirven para anclar el dispositivo a algún elemento del
mobiliario. Su utilidad está más enfocada a proteger el equipo del
robo fácil por descuido que no de una intrusión en casa o en la
oficina. Como alternativa a los candados que van en la ranura de
seguridad del equipo (relativamente poco seguras), existen otros
que llevan un arnés enganchado a una placa metálica que se pega
en la pantalla por la parte de detrás de forma que si se intenta forzar
seguramente la pantalla se parta y el robo dejará de tener sentido.
Existen múltiples aplicaciones tanto para dispositivos
móviles como para PC que permiten administrar remotamente los
dispositivos extraviados o robados. Entre las funcionalidades típicas
de estos programas se encuentran el activar el GPS del dispositivo
(si lo tiene) para intentar localizarlo, o hacer un borrado completo
del equipo si no va a ser posible recuperarlo. Además, algunos de
estos programas cuentan con la posibilidad de, por ejemplo,
acceder remotamente al equipo para recuperar datos necesarios
antes de borrar el disco, monitorizar el uso que se está haciendo del
equipo, o incluso activar la webcam para intentar averiguar la
identidad del ladrón. El acceso remoto al equipo generalmente se
hace desde la web del proveedor de la aplicación mediante un
usuario y contraseña previamente fijado, siendo recomendable
obtener un software que se gestione y administre desde la propia
organización, antes que utilizar servicios web de terceros, todas
estas acciones deberán estar descriptas de antemano y aceptadas
por el trabajador conectado remoto .
Algunos consejos útiles para la seguridad de la información
en el modelo TCR:
:Limitar el acceso al dispositivo mediante un bloqueo con
contraseña, patrón o similar.
Cifrar la memoria del dispositivo en caso de contener información
sensible.
Disponer de medidas para poder localizar el dispositivo o hacer
un borrado remoto del dispositivo en caso de pérdida o robo.
Disponer de algún mecanismo lo más automatizado posible para
hacer copias de seguridad de la información del dispositivo.
Se deben tomar medidas para prevenir y detectar malware en los
dispositivos móviles.
No se deben deshabilitar las medidas de seguridad de que
disponen los dispositivos.
Instalar siempre las últimas actualizaciones de seguridad de los
programas y sistemas operativos.
Desactivar las conexiones inalámbricas que no se utilicen como el
Bluetooth o Wi-Fi .
¿Es más seguro usar el propio equipo o el de la
organización?
Es importante realizar un análisis del riesgo antes de
decidir implantar una política de BYOD (Bring Your Own Device) en
una organización y, si se considera adecuado, tomar una serie de
medidas técnicas y organizativas al respecto:
Se deben establecer políticas organizativas indicando lo que se
considera un uso adecuado de los equipos y lo que no, además de
un compromiso por parte del trabajador para con la seguridad de la
información que se trate en el dispositivo.
Se deben documentar los derechos y obligaciones de cada parte
y detallar en qué casos el equipo podrá ser objeto de revisión por
parte de la organización. Ésta parte resulta especialmente relevante
ya que puede contener información personal, familiar o sensible que
el trabajador no desea que la organización posea, y que durante
una auditoría, revisión rutinaria, cambio de configuración, o similar
es posible que sea visualizada.
Se debe disponer de un mecanismo de reemplazo de equipos en
caso de pérdida o avería de los mismos para garantizar que el
empleado pueda seguir desempeñando sus tareas habituales.
Se deben establecer medidas técnicas para garantizar las
mismas condiciones de seguridad que tendría la información en
caso de estar almacenada en un equipo propio de la organización.
Para ello se recomiendan cuentas de usuario independientes o
incluso el uso de sistemas operativos o máquinas virtuales
separadas, además de implantar el resto de controles habituales
(borrado remoto, cifrado, copias de seguridad, control de acceso,
etc.).
Se deben establecer medidas para evitar el acceso fortuito a
información corporativa por otros usuarios del equipo aparte del
propio trabajador sus familiares o convivientes.
Finalmente, destacamos los denominados “”ataques de
ingeniería social “que son aquellos que tratan de conseguir
información mediante engaños a los usuarios. Los más frecuentes
suelen ser correos electrónicos o llamadas telefónicas suplantando
a algún compañero, proveedor o cliente y solicitando cualquier tipo
de información, o llegando incluso a suplantar al soporte técnico
pidiendo al usuario que ejecute comandos en su equipo o que
comparta las contraseñas de acceso. Si bien este tipo de ataque
puede afectar a cualquier empleado, el hecho de trabajar a
distancia hace que sea posible que el usuario no conozca
físicamente a sus compañeros, o que el comunicarse siempre por
teléfono le haga ser más confiado ante una llamada maliciosa. Para
evitar este tipo de ataques se debe de entrenar al trabajador
conectado para que sepa en todo momento la información que
puede dar por teléfono y la que no, como por ejemplo
configuraciones de red, contraseñas o ficheros con información
sensible. Por otro lado se debería de establecer un protocolo para
identificar al interlocutor en las llamadas telefónicas que vayan a
requerir intercambiar información sensible, especialmente si los
usuarios no se conocen.
Cabe destacar que este tipo de ataques pueden llegar a
ser muy elaborados pudiendo crearse perfiles falsos en redes
sociales profesionales como Linkedin haciéndose pasar por alguien
de la empresa, o llegar a entablar una relación amistosa en redes
sociales para, con el tiempo, obtener información sensible.
Las tic mejoran el rendimiento de nuestro trabajo, lo
facilitan, y el modelo TCR es la expresión más acabada de la
mejora del clima laboral, sin embargo es responsabilidad de
nosotros, el resguardar la información, humanizar la tecnología y
entrenar a nuestro cerebro para gestionar las emociones sacando el
mayor rendimiento de la relación MAQUINA-SER HUMANO.