La seguretat en els dispositius i el treball remot

La seguretat del costat de l'organització

Els dispositius i les seves connexions han d'estar sota mesures i eines englobades en una estratègia global i orientada a protegir les dades tant als servidors com en el seu viatge a través de la xarxa i als terminals. Del costat de l'organització, els principals elements d'aquesta estratègia serien els següents:

• Definició i aplicació de la política corporativa de ciberseguretat. L'organització haurà d'exigir a tots els empleats que acceptin i signin la política de ciberseguretat, independentment de si teletreballen o no. Aquesta política haurà de cobrir tots els protocols de seguretat que s'espera que els empleats compleixin, com la companyia els ajudarà a complir-los.
• Assignació de dispositius. Des del començament, la infraestructura ha de ser capaç d'afegir nous dispositius i assignar-los a l'usuari corresponent de manera ràpida i efectiva. Normalment estan basats en un procediment de sol·licitud i assignació dels dispositius mòbils.
• Registre. El sistema d'assignació haurà d'estar complementat amb un sistema de registre i inventari actiu que permeti no només registrar els dispositius mòbils assignats (quin dispositiu s'assigna i a qui s'assigna), sinó que també respongui millor a les necessitats del personal. Aquests sistemes permeten a més registrar l'ús que es dóna al dispositiu.
• Manteniment. El manteniment dels dispositius ha d'estar restringit al departament responsable. Per tant, s'ha de prohibir als usuaris que facin canvis en el maquinari, instal·lin programari o modifiquin la configuració de l'equip sense autorització del departament tècnic.
• Emmagatzematge de dades. La política de ciberseguretat corporativa ha d'incloure mecanismes de control i prevenció sobre l'emmagatzematge de dades en els terminals. La informació corporativa que no sigui estrictament necessària per al desenvolupament de les tasques de l'usuari no s'ha d'emmagatzemar en el dispositiu. I, si s'ha d'accedir a la informació des de diversos dispositius, aquesta ha d'estar sincronitzada per evitar duplicats i errors en les versions.
• Tractament de la informació confidencial. En temps passats, això hauria estat una mera recomanació; en els nostres dies, es tracta d'una obligació per part de totes les empreses que han d'operar conformes a legislacions com el RGPD. Tota la informació confidencial ha d'emmagatzemar-se xifrada. També és una bona pràctica utilitzar un sistema normalitzat de terminació, de manera que la informació sigui eliminada de forma segura un cop conclòs el seu cicle de vida.
• Formació dels empleats. No es tracta només d'errors involuntaris. En el context actual de la ciberseguretat en el teletreball, l'enginyeria social suposa l'execució d'atacs sota engany. Phishing, vishing, “estafa del CEO”, … Comptar amb un programa de formació eficaç és clau per mantenir la seguretat dels dispositius. És recomanable implementar programes de formació eficaços, que garanteixin que els empleats aplicaran les millors pràctiques, complementant aquesta formació amb una tasca de conscienciació que ha de ser constant.

La seguretat del costat de l'usuari

El treball remot no ha de posar en perill la seguretat de les dades. Un cop s'educa als treballadors remots i s'implementen aquests procediments de seguretat cibernètica per evitar riscos de privacitat i seguretat en el teletreball.

1. Responsabilitats. L'usuari és el responsable de l'equip portàtil o mòbil que se li ha facilitat, per la qual cosa haurà de garantir la seguretat tant de l'equip com de la informació que conté. L'usuari aplicarà les normes recollides en la Política d'ús del lloc de treball.
2. Transport i custòdia. L'equip no ha de quedar exposat a altes temperatures que puguin danyar els seus components, i l'usuari ha d'impedir que es pugui accedir a la informació emmagatzemada en el mateix. En cas de robatori o pèrdua de l'equip s'ha de notificar de manera immediata al personal tècnic responsable.
3. Seguretat en les connexions. L'ús de xarxes Wi-Fi no segures és la forma més comuna d'exposar una empresa a una violació de seguretat de dades. La solució més fàcil és habilitar una xarxa privada virtual (VPN). L'ús de VPN abans d'iniciar sessió a les xarxes Wi-Fi públiques xifrarà el trànsit d'Internet del treballador remot i supervisarà qualsevol signe d'infecció.
4. Contrasenyes. Educar els treballadors remots sobre la protecció amb contrasenya és essencial per protegir les dades de l'empresa. Una altra manera de mitigar aquest risc és utilitzar un gestor de contrasenyes que generi contrasenyes i que emmagatzemi totes les contrasenyes de manera segura.
5. Aplicacions de protecció. Firewalls, antivirus, IDS/IPS… L'organització ha d'exigir als teletreballadors que comptin amb aplicacions de protecció com firewalls, programari antivirus i antimalware, sempre actualitzats en tots els seus dispositius, incloent-hi mòbils, tauletes i portàtils.
6. Notificació en cas d'infecció. Veiem en tots els punts anteriors que la col·laboració de l'usuari és un element clau per a la seguretat del treball remot. Si es sospita la infecció per virus o un altre programari maliciós, s'ha de notificar al més aviat possible al personal tècnic responsable.

Quines tecnologies utilitzar per protegir els dispositius

En els últims anys, i especialment amb motiu de la pandèmia de la COVID-19, el desenvolupament de tecnologies per protegir la informació dels teletreballadors. A això han contribuït no només els fabricants de dispositius i les empreses de ciberseguretat, sinó també els creadors dels sistemes operatius. Heus aquí algunes d'elles.

• Protecció de la BIOS. Els equips portàtils corporatius tindran l'accés a la BIOS protegit amb contrasenya per evitar modificacions en la configuració per part de l'usuari.
• Xifrat. Programes de xat, correu electrònic, aplicacions… tot ha d'utilitzar xifrat d'extrem a extrem. El més recomanable és utilitzar autenticació multifactorial (MFA), que verifica la identitat d'un usuari en sol·licitar primer un nom d'usuari i contrasenya, així com altres dades com «resposta a una pregunta secreta» o un codi enviat a un mòbil.
• Aplicacions virtualitzades. Amb l'opció de la virtualització d'aplicacions l'usuari pot executar en el seu dispositiu una aplicació que no està instal·lada en l'equip. L'aplicació és executada gràcies a un paquet que conté les configuracions necessàries.
• Còpia de seguretat de dades al núvol. De la mateixa manera s'han de prendre mesures perquè la informació emmagatzemada allà romangui segura. També es pot activar un sistema de verificació, de manera que cada vegada que l'usuari vulgui accedir al núvol li sigui enviat un missatge de text amb un codi que haurà d'introduir per poder ingressar.
• Programari de localització. En el cas que es consideri necessari instal·lar o activar algun programari de localització es comunicarà a l'usuari del dispositiu abans de realitzar-ne el lliurament. L'usuari que serà geolocalitzat ha de signar un document acceptant aquesta condició.
• Esborrat de dades. També es pot considerar la possibilitat d'esborrar dispositius de forma remota en cas de pèrdua o robatori. Les plataformes de gestió de dispositius mòbils (MDM) poden realitzar aquests serveis.

Consideracions ètiques i legals

La mobilitat en l'àmbit empresarial ha portat la necessitat de plantejar nous models de gestió. Les eines MDM (Mobile Device Management) permeten, per exemple, permeten instal·lar i actualitzar sistemes operatius i aplicacions, fins i tot encapsular la seva utilització en xarxes aïllades, així com rastrejar dispositius per GPS, o detectar i notificar quan un dispositiu està en risc, o bloquejar o eliminar el seu contingut remotament. També permeten incorporar mecanismes de gestió d'identitats i accessos (IAM) forçant, per exemple, l'aplicació de polítiques concretes de gestió de contrasenyes. Fins i tot es poden activar antivirus, control d'accés NAC o serveis de seguretat al núvol.

I aquí arriba el dilema: disposar de mecanismes que permetin accedir als dispositius mòbils corporatius resulta de vital importància, però... és lícit accedir al contingut del dispositiu? És legal monitoritzar la seva geolocalització? Es poden supervisar les activitats dels usuaris? Sí, en principi, si prèviament s'ha notificat als empleats sobre l'ús i control que la companyia pot exercir quan els cedeix equips que són de la seva propietat i sobre el tipus de tractament de dades que es durà a terme. I, per descomptat, s'ha de donar un total compliment de la normativa vigent en matèria de privacitat de dades.

No és, en definitiva, un tema senzill. I menys ara que també és possible implementar sistemes Out of Band, que permeten controlar els dispositius fins i tot quan estan apagats. Un aspecte a considerar, a més, perquè afecta el fabricant i implica pràcticament un control absolut sobre l'equip. Per exemple, Intel proporciona la seva solució Intel vPro; Apple, per la seva banda, ofereix serveis LOM (Lights Out Management) per a l'encesa i apagada dels seus equips utilitzant certificats digitals.

En qualsevol cas, ningú dubta que el teletreball és una opció essencial per a qualsevol organització, i que la seguretat és un aspecte clau no només per evitar pèrdues d'informació i reputació, sinó també per garantir el compliment normatiu.