Teletrabajo, conexión remota al negocio y mejora en la seguridad.
La presente entrada de blog responde a una pregunta sencilla ¿hemos relajado las medidas de seguridad de la red informática de oficinas y negocios por la necesidad de establecer conexiones que permitan el teletrabajo?
Se estima que durante la pandemia se han producido miles de ciberataques asociados a los accesos desde redes externas aprovechando las conexiones remotas, solamente los casos mas graves aparecen en los medios de comunicación, pero empresas de todos los tamaños están sufriendo ataques en sus redes.
Durante los pasados meses, debido a las urgencias por cubrir el teletrabajo son muchas las pequeñas industrias y negocios que han precisado abrir la conexión de su red local permitiendo a los trabajadores el acceso a la red del negocio desde el exterior de la instalación. Y aunque las grandes empresas han sufrido los ataques con mayor valor económico unitario, son las Pymes las más afectadas, representando entre el 43% y el 70% de los ciberataques de España según las fuentes.
Obviamente ha sido necesario realizar estas medidas, la situación así lo requería, sin embargo debemos pensar que unas medidas de urgencia no han de quedar establecidas de forma definitiva.
La solución más habitual para responder ante la necesidad de realizar trabajo desde fuera de las instalaciones ha sido permitir que desde el exterior de las mismas se acceda a algunas aplicaciones o a algunos ordenadores. Realizar esta operación se suele denominar “abrir puertos”, debido a que la solución consiste en que nuestra conexión a Internet, permita el acceso desde el exterior a través de determinados puertos asociados a la dirección IP del router o firewall de la instalación. Estos puertos actúan como un canal abierto y redirigido a un ordenador del interior de la red informática.
Mediante la apertura de puertos en la instalación algunos ordenadores del negocio quedan accesibles desde el exterior, simplemente accediendo a través de la dirección IP del negocio mediante el puerto que se deja abierto y redirigido al ordenador correspondiente.
¿se puede mantner estas conexiones abiertas sin comprometer la seguridad del negocio? La respuesta depende de cada caso, la conexión de una empresa a Internet deberá tener un nivel de seguridad proporcional a la dependencia que el negocio tenga de los sistemas albergados en la instalación, por lo que no es sencillo proponer medidas que sean de utilidad de forma universal.
Existen muchos negocios que ni tan siquiera disponen de un firewall o cortafuegos que proteja su conexión, simplemente se conectan mediante el router que les proporciona el operador de telefonía. Siempre que sea posible será conveniente disponer de un firewall, existen en gama básica que pueden cubrir las necesidades mínimas sin necesidad de una gran inversión.
Tanto si disponemos de firewall, como si el negocio se conecta directamente mediante un router y sin entrar en detalles excesivamente técnicos, si que es posible realizar una propuesta de revisión, consistente en tres pasos:
- Verificar que los puertos abiertos sean solamente los necesarios
- Si es posible, permitir el acceso solamente desde direcciones Ip autorizadas
- Asegurar lo máximo posible que los usuarios no sean suplantados por otras personas.
Revisemos cada uno de estos pasos
- Verificar los puertos abiertos
Para verificar los puertos abiertos podremos usar aplicaciones que nos indiquen exactamente que puertos tenemos abiertos, en muchas ocasiones corresponderan a servidores de documentos y otras aplicaciones que se han usado en el pasado y que actualmente no están en uso, deberemos reconfigurar nuestro router o firewall para cerrar dichos puertos.
Tanto como podamos reducir los puertos abiertos, y las direcciones que tienen acceso, tanto mas protegida queda la instalación.
2 . Permitir el acceso solamente desde direcciones Ip autorizadas
En caso de tener puertos abiertos, lo ideal sería permitir solo acceder desde un conjunto de direcciones IP conocidas, correspondiente a los domicilios de los trabajadores. Pero eso es muchas veces inviable.
En muchas ocasiones no es posible conocer las direcciones ip’s desde la que se quiere acceder, las razones pueden ser varias, como el gran número de personas que tienen acceso, o la necesidad de acceso desde teléfonos móviles cuya dirección IP suele ser variable en el tiempo.
Para resolver el problema del acceso desde múltiples direcciones Ip’s o direcciones Ip variables se suele utilizar aplicaciones que se denomina conexiones VPN..
Establecer una conexión VPN (Red privada virtual , por sus siglas en Inglés), entre la instalación y el cliente remoto, precisa que la persona que quiere conectarse a nuestra instalación disponga de una aplicación en la que introducir un usuario y un password que se deberá validars por el sistema como paso previo a permitir el acceso. Establecer conexiones VPN es una buena medida, pero no suficiente.
La posibilidad de que un password sea suplantado es un riesgo excesivo y debemos ser consciente de que un acceso a nuestra red está expuesto de forma que puede intentar ser accedido desde cualquier parte del mundo. Sin duda debemos limitar al máximo el riesgo de que el usuario sea suplantado por otra persona o mecanismo que pueda acceder a nuestra instalación.
3. Asegurar lo máximo posible que los usuarios no sean suplantados por otras personas.
Para evitar que los usuarios sean suplantados por personas ajenas a la organización, se viene utilizando cada vez de forma más extendida el uso de un segundo factor de autentificación, consistente en que tras validar el usuario y el password se requiere una confirmación, en general un sms o un código que solo se puede obtener en el teléfono de la persona que se quiere conectar.
Sin duda, te resultará familiar si usas aplicaciones de banca en el móvil, por razones evidentes los bancos han sido pioneros en utilizar el segundo factor asociado a nuestros telefónos.
Obligar a usar un segundo factor en las conexiones VPN es una medida cada vez más frecuente, si utilizas conexiones VPN en tu negocio, a través de aplicaciones asociadas al firewall como Fortinet, sophos o zyxel, probablemente podrás solicitar que la conexión obligue a usar un segundo factor tras la contraseña. Los proveedores de segundo factor son muchos, desde los propios fabricantes del firewall hasta compañías como Google o Cisco DUO .
Sin duda estas breves líneas son solo el principio, en función de cada negocio las medidas pueden ir mucho mas allá, esta sencilla entrada de blog solo pretende ser un comienzo, Nuestros compañeros a través de la cuenta ciberseguridad@sabico.com podrán informarle más ampliamente de las muchas posibilidad de protección que una compañia especializada puede ofrecerle.
Entrada publicada por Raúl Barba Vera, Dpto. IT, el 17/11/2021 a las 07:57