Plan de seguridad de TI para el regreso a la oficina

Una lista de verificación de ciberseguridad para el regreso a la oficina.

Tarde o temprano, la mayoría de las organizaciones tendrán que pensar en las rutinas de trabajo posteriores a la pandemia. Si bien muchas empresas, aún bajo los estragos de la pandemia, todavía tienen que tomar sus decisiones finales respecto al manejo de sus nuevas realidades en el lugar de trabajo, incluso un regreso parcial a la oficina requiere ciertas medidas de parte de los equipos de informática y seguridad de TI.

El cambio al trabajo en casa fue difícil, pero, extrañamente, regresar a la oficina podría ser igual de desafiante. Las organizaciones tendrán que revertir algunos cambios, lo que podría representar la misma cantidad de esfuerzo que se necesitó para implementarlos. También será necesario que vuelvan a revisar la seguridad de los servicios internos y cubrir las necesidades de los empleados en cuanto al software al que se acostumbraron durante el confinamiento. Para ayudar a los gerentes de seguridad de TI estresados a organizar sus prioridades, recopilamos algunos puntos de acción de ciberseguridad para las empresas.

1.     Mantenén las alternativas de ciberseguridad para el trabajo en casa

A fin garantizar la seguridad de los endpoints corporativos mientras los empleados trabajaban desde casa, muchas empresas introdujeron medidas de protección adicional como verificaciones de seguridad y administración de parches centralizada de las computadoras remotas, añadiendo o expandiendo el acceso a VPN y ofreciendo capacitación específica en concienciación. Los agentes de detección y respuesta en endpoints desempeñaron funciones clave para identificar y cerrar las brechas en los perímetros de la red.

Ya sea que tu fuerza de trabajo pase de la casa a la oficina o solo viaje mucho, utilizar VPN, EDR y sistema de detección de intrusiones en endpoints garantizará su regreso seguro al trabajo en sitio.

2.     Restaura los controles de seguridad que se deshabilitaron para los trabajadores a distancia

Para permitir que los empleados a distancia se conectaran a la red corporativa, especialmente desde dispositivos personales, algunas organizaciones debilitaron o deshabilitaron los controles de ciberseguridad como el Control de admisión a la red (NAC). El NAC revisa que las computadoras cumplan con los requisitos de seguridad corporativa como protección contra malware actualizada antes de otorgar acceso a la red corporativa.

Cuando los empleados regresen a la oficina y se conecten a la red corporativa, el NAC debería encenderse para proteger los sistemas internos en caso de que las máquinas sean un riesgo. Pero debido a que las computadoras han sido remotas durante más o menos 18 meses, es posible que les hayan faltado algunas actualizaciones. Esto significa que activar el NAC para docenas o incluso cientos de máquinas puede causar muchos errores. Como resultado, encender el servicio podría convertirse en un proceso paso a paso y de afinación para grupos pequeños de empleados.

Es necesario que las organizaciones anticipen estos problemas y tengan un plan que incluya recursos, fechas límite, arreglo de errores y tal vez incluso ayuda de los integradores de TI.

3.     Actualiza los sistemas internos

No olvides verificar los servicios críticos internos. En caso de haber servidores sin parchear en el edificio, el equipo de seguridad de TI necesita saberlo antes de que cualquiera pueda entrar.

Cuando todos estábamos con equipos de escritorio en la oficina, nuestras computadoras estaban siempre conectadas a la red corporativa y contaban protección y control de políticas las 24 horas al día. En consecuencia, el riesgo de que un exploit penetrara la red desde una PC y comprometiera un servidor vulnerable era bajo.

Ahora que todos regresen a la oficina y conecten sus laptops a la red corporativa al mismo tiempo, un solo controlador de dominio sin parchear podría otorgar acceso libre a, por ejemplo, datos de las cuentas y contraseñas de los empleados.  Un equipo de seguridad de TI vigilante debería detectar el problema a tiempo y desviar problemas serios, pero, aun así, esto deja el trabajo adicional de reorganizar la red y cambiar todas las contraseñas.

4.     Prepárate para ahorrar, pero también para pagar

El regreso de los empleados a la oficina les ahorrará algo de dinero. Por ejemplo, en Kaspersky, incrementamos la cantidad de túneles de VPN de 1,000 a más de 5,000 para que la mayoría del personal trabajara desde casa. Es probable que este costo se reduzca a medida que el equipo regrese a la oficina.

De manera similar, las empresas pueden reducir la cantidad de soluciones basado en la nube a las que están suscritas, como Slack o Microsoft Teams. Ahora que el personal está en la oficina, las empresas no necesitarán tantas licencias para nube, y es posible que algunos servicios puedan volver a ser a recursos locales. La misma estrategia aplica para aplicaciones de firma electrónica, las cuales fueron necesarias durante el confinamiento, pero ahora pueden reemplazarse (o escalarse) con el regreso a procesos de firma tradicional de documentos.

Considera gastar este presupuesto liberado en la organización de estaciones de trabajo digitales para que los empleados puedan dividir sus semanas entre la oficina y otro lugar. El concepto no es nuevo, pero la pandemia lo ha hecho más común, como apunta Garnet. De la infraestructura de escritorio virtual (VDI) a equipo de escritorio como servicio (DaaS), las tecnologías de trabajo remoto pueden, en esencia, mover los espacios de trabajo a la nube, lo que permite que estén disponibles desde cualquier dispositivo conectado, y los escritorios virtuales son mucho más fáciles de implementar, gestionar, arreglar y proteger que las computadoras remotas.

5.     Guarda las herramientas y configuraciones que los empleados usaban a nivel remoto

En el trabajo remoto, los empleados aprendieron a dominar nuevas herramientas de comunicación y colaboración, para conversaciones, videoconferencias, planeación, CRM y más. Si estas herramientas funcionan, los empleados querrán seguir utilizándolas. Gracias a su experiencia en la pandemia, 74% de quienes respondieron a nuestra encuesta dijeron que quieren condiciones de trabajo más flexibles y cómodas.

Es posible que vetar estas innovaciones no sea lo mejor. Podría provocar el crecimiento de un tipo de TI sombra, es decir, empleados que utilizan aplicaciones sin aprobación del equipo de TI. Las empresas deben estar preparadas para aprobar nuevos servicios o sugerir, y defender, alternativas. Las soluciones dedicadas pueden ayudar a las organizaciones a administrar el acceso a los servicios en nube (mediante funciones de descubrimiento en nube dedicadas en una solución de seguridad o agentes de seguridad de acceso a la nube) y aplicar las políticas de seguridad asociadas.

Las seguridad de TI debe ser un habilitador de la empresa y no una barrera. Ignorar un cambio masivo en la conducta puede dañar la visión que un empleado tienen de la empresa, mientras que permitir el trabajo remoto y los servicios que son convenientes para los trabajadores puede tener el efecto opuesto. Esto también aplica a los futuros candidatos y personal. Esto lo vimos en Apple en donde algunos empleados escribieron una carta abierta a Tim Cook y a los ejecutivos para que considerarán las decisiones sobre el trabajo remoto y la flexibilidad en la locación de este como autónomas de cada equipo, así como los son las decisiones de contratación.

La pandemia y las transiciones mundiales al teletrabajo representaron desafíos de fuerza mayor para las empresas y sus departamentos de TI. A pesar de las dificultades, esta experiencia es invaluable y proporciona una lección crucial para el futuro.

Una de las lecciones más importantes de la pandemia es qué tan rápido las empresas pueden cambiar. Con toda esta experiencia, la seguridad de TI debería ofrecer opciones y respaldar la flexibilidad continua. Un regreso inteligente y seguro a la oficina en cualquier forma puede ayudar a las empresas a mantenerse al frente de la tendencia y a sacar el mejor provecho de sus procesos empresariales.

Consejos