Seguridad en el teletrabajo

En el artículo anterior dejé pendiente profundizar en los aspectos de la seguridad a la hora de establecer la infraestructura necesaria para permitir el teletrabajo en una empresa u organización. Como decía en dicho artículo, no hay que olvidar que al instalar un sistema de teletrabajo se está habilitando una “puerta” de la empresa al exterior, lo que puede facilitar el acceso no autorizado a los datos y recursos telemáticos de la misma si no se planifica bien la seguridad de todo el sistema. En este sentido, los puntos de vista relacionados con la seguridad a tener en cuenta son tres: la seguridad de la comunicación, la seguridad en el acceso al dispositivo de conexión y la seguridad en el acceso a los datos y recursos de la empresa. Veamos en detalle cada uno de ellos.

Por seguridad de la comunicación me refiero principalmente al protocolo y nivel de encriptación de red privada virtual (VPN) utilizado para conectarse a la empresa. La mayor dificultad en este sentido radica en saber elegir un protocolo con una encriptación robusta, que sea relativamente fácil de configurar, que esté disponible en los sistemas operativos y dispositivos más populares, que no entre en conflicto con los sistemas de comunicación utilizados habitualmente (por ejemplo, que no obligue a reconfigurar un router ADSL simplemente para que la VPN pueda atravesarlo), que sea flexible y versátil y que resuelva las necesidades de la empresa. Además, si el protocolo es robusto, se relativiza la importancia de la seguridad del medio físico sobre el que corre el túnel virtual, ya que aunque utilizáramos una red inalámbrica con un sistema de protección pobre, el tráfico del túnel seguiría protegido por la propia tecnología de la VPN. Un mal ejemplo de tecnología VPN es el protocolo PPTP, muy fácil de configurar y echar a andar, pero cuya seguridad hace tiempo que fue comprometida, por lo que hay que huir de él en la medida de lo posible y sustituirlo con otros protocolos como L2TP o IPsec.

Igualmente importante es tratar de salvaguardar la seguridad del dispositivo de conexión (ordenador, portátil, móvil, agenda, etc.), ya que en el mismo momento en el que se conecta a la empresa por VPN, se comporta como si físicamente estuviera dentro de la misma, En este sentido, es necesario establecer una sencilla pero estricta política de uso de estos dispositivos que contemple cuestiones como la imposibilidad de guardar contraseña para su reutilización en sesiones posteriores o la implantación de mecanismos de autentificación de usuarios que pueden llegar a ser tan sencillos como la mencionada contraseña o tan complejos como las soluciones biométricas (como el control mediante huella digital), pasando por soluciones intermedias como el uso de certificados y tarjetas inteligentes. Por supuesto, si la seguridad del dispositivo se ve comprometida (por ejemplo, por culpa de un virus o porque el dispositivo ha sido robado), hay que proceder inmediatamente a revocar los permisos de acceso que dicho dispositivo concediese a sus usuarios.

Por último, vez que el usuario remoto se ha conectado por VPN a la red de la empresa, hay que gestionar la seguridad en el acceso a los datos y recursos de la misma, siendo lo ideal que dicho usuario reciba como máximo los mismos permisos y privilegios con los que cuenta cuando se encuentra físicamente en la empresa. En este sentido, una solución sencilla, elegante y versátil es implantar una intranet que sirva para acceder a los recursos de la empresa tanto desde dentro como desde fuera, evitando así el tener que mantener dos sistemas de seguridad distintos, algo que tarde o temprano va a producir incoherencias y a que la seguridad se vea comprometida por asignar más permisos de los que se debe a un usuario remoto o menos de los que necesita a un usuario local.

En definitiva, la seguridad es un aspecto primordial a tener en cuenta si queremos que la inversión en un nuevo sistema de teletrabajo en la empresa sea realmente útil y eficiente.