Teletrabajo y la Seguridad

Proporcionar accesos de banda ancha.
Puede parecer obvio, pero el primer paso para garantizar el éxito del teletrabajo no es otro que garantizar que las conexiones de los empleados estén en sintonía con la red corporativa en lo que respecta al ancho de banda disponible. Después de todo, las prácticas de seguridad y las actualizaciones de software no ayudarán en nada si el ancho de banda de las conexiones de los usuarios remotos impiden descargarlas con rapidez. Un punto especialmente problemático cuando el teletrabajador reside en zonas geográficas sin acceso a redes de cable o servicios DSL. En estos casos, poco puede hacer la empresa por mejorar sus conexiones, salvo optimizar los equipos del propio empleado o reforzar la velocidad de la WAN en su totalidad.

En general, hay que garantizar que los PC o portátiles de los empleados remotos tengan la suficiente memoria y espacio de disco para aprovechar al máximo las conexiones Web con las que trabajan. Otra opción es invertir en tecnologías de aceleración WAN a fin de optimizar el routing Web y agilizar las velocidades de las aplicaciones de la empresa. Los aceleradores de aplicaciones IP buscan los caminos más rápidos y fiables hacia los servidores corporativos. Es fácil conseguir en el mercado herramientas de este tipo de fabricantes como Akamai, Array Networks, Converged Access, Expand Networks, Juniper, Packeteer, Riverbed o Silver Peak.

teletrabajo

Pero si la aceleración WAN y la optimización de los equipos del usuario no son suficientes para conseguir la conexión adecuada, allí donde sea posible conviene contratar servicios de acceso con mayores anchos de banda. Los accesos a 5 ó 10 Mbps -hoy disponibles en cada vez más áreas geográficas- son suficientes para soportar todo tipo de aplicaciones, incluida la voz y el vídeo de baja resolución. En áreas rurales donde el único medio de acceso sea la línea telefónica convencional, una opción es invertir en accesos por satélite hasta las redes de alta capacidad, proporcionando así a los empleados “ancho de banda portátil”.

Alternativas “sin cables” de respaldo.
Aunque los servicios cableados son la forma más fiable y segura de conectar los teletrabajadores a la WAN corporativa, también a veces se quedan fuera de juego. Por ello, conviene que tanto los empleados que trabajan desde sus hogares como los trabajadores móviles dispongan de una opción wireless segura en caso de que las redes cableadas se queden fuera de servicio. Hoy no sólo se dispone de Wi-Fi, cuya seguridad muchos usuarios siguen poniendo en duda pese a los avances conseguidos en este terreno; también es posible utilizar tecnologías de alta velocidad como WiMAX, 3G y HSPA.

Los servicios móviles 3G resultan más caros que los servicios fijos cableados convencionales pero pueden ser una muy buena alternativa como sistema de acceso de reserva. Asimismo, aunque todavía hay pocas redes WiMAX desplegadas, su despliegue como extensión de Wi-Fi irá en aumento durante los próximos años.

Seguridad: más allá de las VPN.
Las redes privadas virtuales (VPN) se han hecho casi imprescindibles para los empleados que necesitan acceder en remoto a los datos corporativos. Pero es arriesgado confiar sólo en esta alternativa como medio de seguridad. Las VPN crean conexiones punto a punto resistentes a posibles interceptaciones, pero no garantiza la posible contaminación de la red corporativa por virus. Obviamente, son mejor que nada, pero las VPN siempre se deberían complementar con la instalación de cortafuegos y software antivirus actualizado. Otra opción es acceder directamente a los datos corporativos a través de un website protegido mediante SSL como capa de seguridad para cifrar la información.

A pesar de todo, de poco valdrán todas estas técnicas si los empleados no están lo suficientemente formados en las políticas de seguridad corporativa ni actúan con la prudencia necesaria para minimizar los fallos humanos. Las empresas han de adoptar políticas estrictas sobre lo que los trabajadores pueden y no pueden hacer, a qué recursos están autorizados a acceder e incluso qué tipo de email no debe nunca abrir. Y siempre hay que tener presente que las cuestiones de seguridad en un gran número de ocasiones están íntimamente relacionadas con la simple estupidez humana.

Cuidar el software.
Disponer de una sólida infraestructura de banda ancha que funcione correctamente no es suficiente: también es vital contar con un buen software que proporcione actualizaciones y pueda ser utilizado para reforzar las políticas de seguridad. Habría que garantizar, por ejemplo, que el software que los empleados descarguen del website de la empresa pase a formar parte del modelo de administración corporativo, en cuanto a políticas y actualizaciones. En este aspecto, una alternativa que las empresas empiezan a considerar son las ofertas SaaS (software como servicio). Este tipo de servicios dan la posibilidad de obviar el despliegue de infraestructuras de red más costosas, como los servidores Exchange. Cada día más las empresas están concibiendo las aplicaciones desde el punto de vista de los accesos remotos, a medida que crece el número de teletrabajadores.
Hoy, más de medio millón de empresas utilizan Google Apps para gestionar su correo electrónico. Asimismo, el software de colaboración online HyperOffice aporta a las pymes servicios intranet, de correo electrónico y gestión de documentos, y la firma Egnyte Software ofrece gestión de contenidos online y hosting seguro de datos. Con este tipo de servicios los negocios pueden externalizar la seguridad dejando en manos de terceros estas funciones.

Gestión de los dispositivos móviles.
La plétora de dispositivos móviles que se mueven alrededor de la WAN corporativa supone un gran reto de gestión y seguridad para el departamento TI. La creciente presencia de las conexiones sin cables obliga a seguir la pista de la ubicación de los terminales móviles y del uso que se les está dando tanto por razones de seguridad como de costes. La movilidad puede ser un gran valor añadido o un enorme inconveniente. Por ello, se deben establecer políticas estrictas en lo concerniente a actualizaciones contra antispyware y virus.

Pero la seguridad sólo es uno de los factores a tener en cuenta en relación con la gestión de la movilidad. También es imprescindible proporcionar a los empleados las aplicaciones apropiadas para que puedan sacar partido a las comunicaciones sin cables, tanto en lo que se refiere al acceso a datos críticos como a la unificación de sus comunicaciones y la colaboración. En cualquier caso, la movilidad añade nuevos retos. Ya no se trata sólo de gestionar en remoto laptops o PCs sino toda una nueva generación de dispositivos móviles, como PDAs, BlackBerries, iPhone y smartphones de todo tipo, que han de ser actualizados con las últimas aplicaciones de seguridad y de negocio.

7 líneas TECNICAS de protección

Cualquier trabajador que acceda de forma remota a los recursos corporativos a través de Internet debería disponer de, como mínimo, de estas siete líneas de protección:

1. Traducción de direcciones de red (NAT)
La red interna del trabajador debe utilizar un rango de direcciones privadas. De esta forma, las direcciones internas de la red no pueden ser utilizadas en Internet sin que previamente hayan sido convertidas.

2. Cortafuegos/router para la conexión ADSL o cable
La mayoría de los routers existentes para las conexiones ADSL y de cable permiten aplicar reglas de filtro de paquetes. Por tanto es necesario aprovechar esta prestación para realizar un filtrado del tráfico de salida y entrada.

3. Un cortafuegos con inspección de estado
Los cortafuegos con inspección de estado no se limitan a analizar que el tráfico está formateado de una forma correcta (dirección IP de origen y destino válida, las marcas correctas, protocolo permitido, etc…) sino que van más allá y comprueban que el contenido del paquete sea realmente aquello que se espera.

Es muy aconsejable utilizar un sistema de cortafuegos con inspección de estado como una medida adicional de protección al cortafuego de filtrado de paquetes. Una máquina Linux con Netfilter es un excelente cortafuegos con inspección de estado.

4. Utilizar cortafuegos personales en cada sistema
Los cortafuegos personales son una combinación de cortafuegos de filtrado de paquetes y de inspección de estado que se ejecutan en el ordenador. Básicamente lo que hacen es analizar el tráfico de la red, monitorizando y restringiendo los intentos de conexión. Algunos cortafuegos personales incluyen, además, funciones propias de sistemas de detección de intrusos.

Una de las características más interesantes es que nos informan de que aplicaciones están accediendo a recursos remotos. ¿No es extraño que el NOTEPAD.EXE -bloc de notas-intente conectar con una dirección IP de Rusia? Conocer este tipo de actividad de la red puede ser vital para descubrir cualquier incidencia en el ordenador.

5. Verificación automática de puertos abiertos
De forma periódica debe realizarse una verificación de los puertos abiertos en la conexión, tanto a nivel del router ADSL/cable periférico como en el propio ordenador. La existencia de puertos abiertos puede indicar la instalación de software que actúa como servidor o la presencia de troyanos.

6. Software antivirus
No únicamente debe considerarse el antivirus como un sistema de detección de virus informáticos. Muchos troyanos son también detectados. De hecho, en muchas ocasiones la primera alarma ante el ataque de un ordenador viene dada por el propio antivirus.
Debe configurarse el software antivirus para que realice la actualización del archivo de firmas de forma automática, como mínimo una vez a la semana.

7. Verificación de vulnerabilidades
De forma periódica las estaciones de trabajo de los teletrabajadores deben ser verificadas con un sistema de verificación de vulnerabilidades con el objeto de descubrir cual es su nivel de protección ante las diversas vulnerabilidades existentes. Una vez descubiertas estas, deben tomarse las medidas adecuadas para eliminarlas.

Otras medidas adicionales de protección pueden ser el encapsulamiento del tráfico con destino a la red corporativa a través de una red privada virtual (VPN), donde pueden aplicarse la encriptación del tráfico. No obstante, una VPN puede ser totalmente inútil si previamente no se han aplicado las otras medidas de protección básicas.

by komz

Anuncios

Responder

Por favor, inicia sesión con uno de estos métodos para publicar tu comentario:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s