Categories: Seguridad

Trabajar (o estudiar) desde casa de forma segura

El trabajo desde casa es una de las grandes contradicciones de nuestros tiempos. La primera referencia fue en los distantes años 40, dicho por Alvim Toffler en su bestseller “La Tercera Ola”, libro que profetizó la era de la información. Unos veinte años más tarde, Bill Gates hizo sus también famosas predicciones sobre el futuro, en donde las personas tendrían la flexibilidad de trabajar desde cualquier lugar. El futuro ha llegado, pero no completamente. Hoy en día tenemos tecnología, incluso más alta de lo imaginado, estamos al borde de una revolución con la llegada de 5G y WiFi-6 y la mayoría de los empleados de negocios continúan trabajando plenamente en sus oficinas corporativas. Hay, por supuesto, un factor cultural muy importante, aún más en nuestro país. Somos seres sociales y nos gusta el contacto y la charla del pasillo.

Sólo un hecho extremo podría romper esto y eso es lo que pasó con la llegada del coronavirus: El futuro ha llegado, pero no exactamente en la forma en que imaginábamos.

Enviar a todos los empleados posibles a trabajar desde casa no es trivial, a pesar de  que pueda parecerlo a primera vista y aunque las tecnologías son más que maduras los desafíos son muchos, de diferentes tipos y grados, pero aquí me gustaría apegarme sólo a los de seguridad de la información porque las empresas simplemente dejaron la seguridad para después.

Las situaciones extremas requieren medidas extremas, dice el dicho, pero no es por eso por lo que las vulnerabilidades no deben corregirse lo más rápido posible, especialmente si tenemos en cuenta que nuestros oponentes no están teniendo el mismo problema, ellos siempre han “trabajado” desde casa.

El primer paso es entender dónde están todos los sistemas y aplicaciones con los que necesitan trabajar y luego las tecnologías y recursos que tenemos a nuestra disposición para acceder a ellos desde cualquier lugar. Los sistemas y aplicaciones se pueden dividir en dos tipos: lo que se instalan en la red de la empresa y lo que están en la nube. La realidad de prácticamente todas las empresas es combinar ambas.

El segundo es más simple, como debería ser, así que comencemos con lo que está en las premisas.

Los sistemas tradicionales de producción y oficina fueron diseñados y creados para acceder desde la misma red, incluso aquellos que fueron optimizados de diferentes maneras para su acceso remoto en grandes corporativos. La solución encontrada para permitir a una persona acceder a estos sistemas de forma remota fue VPN, tecnología publicada a principios de siglo y conocida por 10 de cada 10 profesionales de TI. A pesar de esto hay varios desafíos, desde el rendimiento del sistema heredados que nunca fueron diseñados para este uso, hasta los de seguridad que se pueden resumir en una oración: VPN es la mejor puerta de entrada para que un pirata informático entre en una red.

Al instalar una VPN, el perímetro de la red se extiende a la computadora remota, que se convertirá en el nuevo perímetro. Si esa computadora es hackeada y hay una conexión VPN a la red de la compañía, el atacante puede aprovecharla al igual que el empleado, y con el mismo beneficio de una conexión encriptada que puede no ser analizada por un sistema de detección de intrusos. Tenga en cuenta que no se habla de “romper” la seguridad de VPN, que es lo que generalmente se piensa. Lo que está roto o hackeado es la computadora del empleado y luego solo se usan las conexiones existentes. Por lo tanto, el punto fundamental de seguridad es la computadora del usuario. Pero aquí hay otro concepto erróneo: pensar que por el simple hecho de tener una computadora portátil de la empresa  se elimina el riesgo. No siempre.

La protección del equipo comienza con la protección para el sistema operativo en general (que incluye navegadores y programas relacionados) y aquí tenemos que ir más allá de los mecanismos incorporados y antivirus tradicionales y defenderse contra el malware avanzado. Cisco AMP para EndPoints, junto con la cuadrícula de la amenaza – el sandbox de Cisco, cumple este papel detectando el malware de diversas técnicas, incluyendo el comportamiento. Uno de los grandes diferenciales de AMP es su interfaz de gestión e investigación, que abordaré en un futuro artículo.

La segunda línea de protección es la autenticación de dos niveles y en este punto debemos ir más allá de simplemente mejorar el inicio de sesión VPN. Como ya he comentado, el atacante no necesita romper el inicio de sesión VPN para hacer su intento, puede, pero  ese no es su proposito. Por lo tanto, es necesario proteger tanto el inicio de sesión vpn, para que solo las personas autorizadas obtengan acceso y desde sistemas internos, para que un atacante no haga un uso indebido del acceso de un usuario autorizado. Y la solución a esto está en Cisco DUO, un sistema de autenticación multifactorial que soporta los sistemas en redes tradicionales y en la nube. Pero todavía hay una tercera línea extendida basada en la tecnología DNS. Es útil incluso cuando un ordenador tiene Cisco AMP instalado, ya que bloqueará el acceso a las páginas de propagación de malware en la fuente, es decir, en el momento en que se realiza la búsqueda DNS. Además, bloqueará el contenido que la empresa considere inapropiado en caso de que el ordenador pertenezca a la empresa. Pero será muy importante si esto pertenece al empleado, puede estar utilizando la laptop familizar donde los hijos pueden estar jugando video juegos en linea, Cisco Umbrella sera la primera capa de defenza para proteger la instalación de software dentro de la maquina. Como actúa a través de búsquedas DNS, es suficiente redirigir el tráfico DNS a través de una pequeña aplicación para el análisis, con la ventaja de proteger también la red doméstica del empleado.

El segundo tipo de aplicaciones son residentes en la nube. Como he comentado, es más simple, lo que está lejos de ser más seguro. Existen varias modalidades de contratación de servicios en la nube, con diferentes implicaciones, obligaciones y acuerdos de nivel de servicio de seguridad, pero se requieren algunas alertas. El primero es para las empresas que han migrado sus sistemas y archivos a redes públicas. Pueden estar completamente expuestos, no por vulnerabilidad del proveedor sino por error de configuración. Es necesaria una cuidadosa evaluación de la seguridad; pero también hay recomendaciones para aquellos que lo hicieron con cuidado o ya tenían sus sistemas o archivos en la nube.

La primera recomendación es con respecto al MFA (MultiFactor Factor Authentication) de Cisco DUO. Tanto las aplicaciones como los carpetas de archivos deben estar protegidos y aquí tenemos la ventaja de la gestión unificada para todos los aplicativos y tipos de acceso que tienen los usuarios. Los archivos ya deben tener una capa adicional, vía un sistema CASB (Cloud Access Security Broker), tal como Cisco Cloudlock.

Finalmente, el hecho de que la aplicación o el archivo esté en la nube no significa que el dispositivo del usuario no necesita ser protegido, y aquí también se utilizza Cisco AMP4E y Cisco Umbrella.

Todas estas medidas deben ser vistas no como una capa adicional del trabajo remoto, sino como un componente esencial para que no se convierta en un dolor de cabeza para la empresa.

Share
Marcelo Bezerra dos Santos

Marcelo Bezerra has been working for more than 25 years as an information security specialist, international speaker, and writer. He is the author of the book Jornada da Segurança, published in 2018, and maintains a monthly column in Revista RTI. It also maintains the blog Segurança Digital. Has presented in conferences in Brazil, Argentina, Chile, Colombia, Mexico, and the United States.

Bezerra is currently senior manager of security engineering for Cisco in Latin America at Cisco Systems, leading the team of security architects in Latin America. Before Cisco, Marcelo led the technical sales team in Latin America for FireMon, Crossbeam (acquired by BlueCoat) and Internet Security Systems (acquired by IBM).

Marcelo Bezerra atua há mais de 25 anos como especialista em segurança da informação, palestrante internacional e escritor. É autor do livro Jornada da Segurança, publicado em 2018, e mantém coluna mensal na Revista RTI. Mantém ainda o blog Segurança Digital. Como palestrante participou de conferências no Brasil, Argentina, Chile, Colômbia, México e Estados Unidos. Atualmente é gerente sênior de engenharia de segurança da Cisco na América Latina na Cisco Systems, liderando a equipe de arquitetos de segurança na América Latina. Antes da Cisco, Marcelo liderou a equipe de vendas técnicas na America Latina para a FireMon, Crossbeam (adquirida pela BlueCoat) e Internet Security Systems (adquirida pela IBM).