arsdigital - stock.adobe.com

Gestionar Aprenda a aplicar las mejores prácticas y optimizar sus operaciones.

Cómo regresar a la oficina de forma segura y sin incidentes

Los equipos de seguridad ya deberían estar acostumbrados a apoyar a los trabajadores remotos, pero ¿qué va a pasar cuando las personas comiencen a regresar a sus oficinas? Analizamos los riesgos y cómo abordarlos.

La oficina ha sido limpiada a profundidad y configurada para cumplir con las recomendaciones de distanciamiento social y, contra todo pronóstico, suficiente fuerza laboral está dispuesta a desafiar el transporte público para volver al trabajo. Es hora de tartar de volver a la normalidad.

La mayoría de nosotros todavía no estaremos allí, pero en los próximos meses, a medida que la pandemia de coronavirus covid-19 comience a disminuir, más y más oficinas se encontrarán en este escenario.

Desafortunadamente, reintroducir a los empleados a la oficina a medida que las regulaciones de encierro van cediendo expondrá a los equipos de seguridad a un mayor nivel de riesgo del que nunca se había visto antes, o eso dice Joseph Carson, científico jefe de seguridad de Thycotic.

"Es esencial establecer medidas para mitigar y gestionar los riesgos potenciales para que la red corporativa no se vea abrumada por nuevas amenazas", dice. "Las organizaciones tendrán que considerar que los sistemas que han sido retirados de la oficina con controles de seguridad limitados necesitarán una revisión de seguridad obligatoria".

CISO preocupados

Rich Orange, vicepresidente del Reino Unido e Irlanda en Forescout, le dijo a nuestro sitio hermano Computer Weekly que sus clientes ya le están preguntando sobre el potencial de problemas aquí.

Él dice: "Cuando todos dejaron las herramientas y se pusieron a trabajar desde casa, la VPN volvió a ser popular y sexy, lo cual está bien, pero la amenaza no tan obvia de la que la mayoría de las organizaciones se están dando cuenta ahora que han tenido miles de personas trabajando desde el hogar es abordar cómo podemos recuperar estos usuarios y dispositivos que han estado remotos y fuera de nuestros controles de seguridad corporativos típicos”.

“Los dispositivos no están ubicados detrás de capas de seguridad empresarial, están sentados en casa detrás de un enrutador BT durante 12 semanas; los clientes no han podido hacer un barrido de vulnerabilidades en ellos y no han podido insertar automáticamente ningún parche a ellos porque necesitan estar conectados a la red. ¿Cómo traen estos dispositivos de manera segura, asegurándose de que aún cumplan con la política corporativa?”.

Pero este no es solo un problema que afecta a las principales empresas corporativas: cualquier empresa de cualquier tamaño que haya implementado el trabajo remoto universal durante la pandemia está en riesgo.

"Una de nuestras principales preocupaciones en torno a esto es por las compañías menos cibernéticas con personas que trabajan de forma remota y simplemente van trabajando como pueden", dice el jefe de inteligencia de amenazas de Redscan, George Glass. "Tal vez están compartiendo archivos por correo electrónico, o tal vez su solución VPN no puede soportar el rendimiento de toda la empresa trabajando de forma remota, y por lo tanto han reducido la cantidad de conectividad que tienen entre sus dispositivos remotos y la red interna”.

"Además, los dispositivos que se usan de forma remota pueden no estar recibiendo actualizaciones de antivirus porque ciertas compañías pueden requerir una conexión a un servidor centralizado para empujarlos; por lo tanto, esos dispositivos podrían verse comprometidos con poco conocimiento de la organización. Si no están ejecutando una detección y respuesta de punto final (EDR), es posible que no sepan que ha habido un compromiso en un dispositivo hasta que vuelva a funcionar y se conecte directamente a la red ".

El problema tampoco afecta solo a los dispositivos que han estado fuera. Como señala Zeki Turedi, estratega de tecnología de Europa, Medio Oriente y África (EMEA) en CrowdStrike, los equipos de seguridad también deberán asegurarse de que el equipo de TI local pueda tratar con las personas que regresan a la oficina.

"Si tiene sistemas de escritorio que se han apagado durante los últimos tres meses y no se han utilizado, ¿sabe si se han actualizado correctamente? Probablemente hay miles de computadoras de escritorio en oficinas en todo el Reino Unido que tienen enormes vulnerabilidades que deben mitigarse y cuidarse antes de que las personas comiencen a utilizarlas ", dice.

Acechando a la espera

Quizás aún más preocupante es el hecho de que este problema no termina con parches básicos e higiene antivirus: tiene el potencial de ser mucho más siniestro, como reveló una alerta reciente emitida por Redscan, advirtiendo que persuadiendo con éxito para abrirse camino hacia los dispositivos de los empleados a través de ataques de phishing dirigidos, los ciberdelincuentes organizados ahora están al acecho para conectarse a redes corporativas y causar estragos.

Desde que comenzó el encierro del Reino Unido el 23 de marzo, el centro de operaciones de seguridad (SOC) de Redscan ha observado un aumento significativo de los delincuentes cibernéticos dirigidos a trabajadores remotos, incluido un aumento en el correo no deseado de malware, intentos de escaneo externo para encontrar debilidades en las herramientas de acceso remoto e intentos de relleno de credenciales en cuentas de nube pública.

La empresa dice que muchas empresas se apresuraron a introducir el trabajo remoto sin hacer su investigación e implementar controles suficientes para minimizar los riesgos que los actores maliciosos representan para los trabajadores y dispositivos cuando están más allá del perímetro corporativo.

Glass cree que con una fatiga inevitable, esta falta de atención conducirá a un aumento en los incidentes a medida que los empleados inicien sesión nuevamente en la infraestructura organizacional y los hackers inactivos inicien sus ataques moviéndose lateralmente a través de la red en busca de derechos de administrador de dominio elevados o lanzando un ataque de ransomware, por ejemplo.

Después de todo, a un ciberdelincuente determinado no le importa esperar un poco. Carson, de Thycotic, dice: "Los ciberdelincuentes sin duda jugarán el juego a largo plazo, utilizando dispositivos comprometidos en casa para poner un pie en la puerta, y cuando esos dispositivos regresen a la red corporativa, tendrán dos pies en la red de la organización, ahora potencialmente con acceso remoto y decidiendo la próxima acción maliciosa”.

"El trabajo remoto ha brindado la oportunidad perfecta para plantar el huevo del cuco en los ataques en los dispositivos de borde, para lanzarse más tarde una vez que los trabajadores regresen al lugar de trabajo físico y se conecten a la red corporativa".

Glass agrega: “Nuestra preocupación gira en torno a esto exactamente. Las pandillas de delincuentes cibernéticos de caza mayor están más que felices de quedarse sentados todo el tiempo que necesiten, siempre que sientan que pueden evitar ser detectados, podrían ser semanas o incluso meses. Hemos visto que los tiempos de permanencia ciertamente aumentan y sabemos, específicamente con cosas como el ransomware Maze, que los ciberdelincuentes recopilarán tanta información y datos como puedan y los usarán como palanca".

Consejo práctico

Afortunadamente, el regreso al trabajo no tiene por qué ser necesariamente un desastre para los equipos de seguridad, siempre y cuando planifique con anticipación, dice Glass, y una herramienta útil con que la mayoría de las empresas ya contarán es una red inalámbrica para invitados.

"Conectar los dispositivos de los empleados que regresan a la oficina a una red de invitados limita primero el riesgo de una propagación inmediata al resto de la red corporativa, al almacenamiento conectado a la red [NAS]", dice.

"En las últimas semanas y meses, las personas han aprendido a ponerse en cuarentena y limitar las interacciones con las personas con las que viven de inmediato para contener la propagación del coronavirus", dice Orange en Forescout.

"Este enfoque de aislar elementos individuales de un sistema para evitar la contaminación cruzada no es exclusivo de la virología; es igual de efectivo cuando se trata de ciberseguridad. La segmentación de una red en partes diferentes e independientes sigue siendo un elemento básico de seguridad cibernética que, en caso de incumplimiento, evita que los malos actores se muevan lateralmente a través de la red de una organización”.

"Al igual que los hospitales están cerrando diferentes secciones y controlando quién entra y sale de ellas, las organizaciones deben hacer lo mismo con sus redes".

Además de la segmentación de la red, ya sea de forma rudimentaria o de manera más formal, las organizaciones también deben establecer políticas integrales de cumplimiento de la red antes de regresar al trabajo, al igual que los gobiernos nacionales están cerrando sus fronteras a los visitantes de países gravemente afectados.

También se recomienda asegurarse de que las reglas de firewall estén actualizadas con la información de inteligencia de amenazas más reciente para intentar capturar algunos de los servidores de comando y control más conocidos.

Para los dispositivos de punto final en sí, Glass recomienda primero realizar un ejercicio de escaneo de vulnerabilidades para detectar parches de software y actualizaciones del sistema operativo perdidos, algo que un oficial de seguridad competente debería estar haciendo de todos modos, y luego aumentar la supervisión de los puntos finales hacia el futuro.

"No todas las compañías podrán implementar soluciones EDR de inmediato en todo su patrimonio, lo entiendo, pero aumentar el monitoreo definitivamente podría ayudar a atrapar a los actores que están tratando de moverse lateralmente", dice.

Los profesionales de la seguridad también deberían aprovechar la oportunidad de resurgir la capacitación básica en seguridad, ayudando al personal a comprender los riesgos que podrían enfrentar cuando regresen al trabajo, y recordarles las pautas estándar para detectar correos electrónicos de phishing, etc.

Revisión de seguridad

Turedi de CrowdStrike advierte que, durante un tiempo, posiblemente incluso de forma permanente, las oficinas no funcionarán a una capacidad similar a la de antes de la pandemia, por lo que también es importante que los directores de seguridad de la información (CISO) mantengan las medidas que establezcan para salvaguardar sus trabajadores remotos. También vale la pena formalizar las políticas de trabajo remoto que se elaboraron a toda prisa en marzo.

“Esta es una etapa mucho más compleja porque el regreso al trabajo no se trata solo de encender dispositivos y parchar actualizaciones, se trata de identificar cuáles son los mecanismos principales que se utilizan para proteger el medio ambiente y asegurarse de que las herramientas y tecnologías instaladas sean realmente capaces de proporcionar seguridad total, sin importar dónde se encuentren los empleados", dice.

"Al entrar en el mundo posterior al cierre, las personas tal vez no quieran ir a trabajar desde una oficina o tal vez no puedan trabajar en la oficina porque esas oficinas solo pueden tener una capacidad del 20 %, por lo que pueden comenzar a optar por trabajar desde un café o trabajar desde el parque o desde un espacio compartido que al menos les permita estar fuera de la casa. Eso cambiará el entorno de seguridad".

A mediano y largo plazo, Orange en Forescout dice que el regreso al trabajo es una buena oportunidad para considerar la implementación de políticas de confianza cero, estableciendo requisitos mínimos de seguridad que los dispositivos deben cumplir antes de conectarse a la red. Por ejemplo, si se identifica una vulnerabilidad en un sistema operativo más antiguo, se puede negar el acceso a cualquier dispositivo que lo ejecute hasta que se haya actualizado o parchado.

“Si tales políticas ya existen, es esencial revisarlas y actualizarlas ahora, ya que el panorama de amenazas cambia constantemente. Los ciberdelincuentes no dejarán de buscar posibles exploits en los sistemas operativos comunes simplemente porque está ocurriendo una pandemia global", dice.

Investigue más sobre Gestión de la seguridad de la información

Inicie la conversación

Envíenme notificaciones cuando otros miembros comenten sobre este artículo.

Por favor cree un Nombre de usuario para poder comentar.

- ANUNCIOS POR GOOGLE

Close