La seguretat als dispositius i el treball remot

El teletreball s'ha convertit en una pràctica còmoda, eficient i fins i tot necessària per a moltes empreses. Però hi ha regles de ciberseguretat que s'han d'implementar per evitar posar en risc la informació sensible, pròpia o dels clients.

No es tracta només d'establir una estratègia i una infraestructura de seguretat. També es tracta de seguir les millors pràctiques en matèria de ciberseguretat per garantir no només la protecció de la informació, sinó també el compliment normatiu.

A continuació, es mostren els aspectes més importants per tenir en compte, tant des del prisma de l'organització com pel que fa a les persones usuaries.

Els dispositius i les seves connexions han de seguir mesures i tenir eines englobades en una estratègia global i orientada a protegir les dades tant als servidors com en el seu viatge a través de la xarxa i als terminals. De la banda de l'organització, els principals elements d'aquesta estratègia serien els següents:

• Definició i aplicació de la política corporativa de ciberseguretat. 
  L'organització haurà d'exigir a tots els empleats que acceptin i signin la política de ciberseguretat, independentment de si teletreballen o no. Aquesta política haurà de cobrir tots els protocols de seguretat que s'espera que els empleats compleixin, com la companyia els ajudarà a complir-los.
• Assignació de dispositius. 
  Des de l'inici, la infraestructura ha de ser capaç d'afegir nous dispositius i assignar-los a l'usuari corresponent de manera ràpida i efectiva. Normalment estan basats en un procediment de sol·licitud i assignació dels dispositius mòbils.
• Registre. 
  El sistema d'assignació haurà d'estar complementat amb un sistema de registre i inventari actiu que permeti no només registrar els dispositius mòbils assignats (quin dispositiu s'assigna i a qui s'assigna), sinó que també respongui millor a les necessitats del personal. Aquests sistemes permeten, a més, registrar l'ús que es dona al dispositiu.
• Manteniment. 
  El manteniment dels dispositius ha d'estar restringit al departament responsable. Per tant, ha de prohibir-se als usuaris que facin canvis al maquinari, que instal·lin programes o modifiquin la configuració de l'equip sense autorització del departament tècnic.
• Emmagatzematge de dades. 
  La política de ciberseguretat corporativa ha d'incloure mecanismes de control i prevenció sobre l'emmagatzematge de dades als terminals. La informació corporativa que no sigui estrictament necessària per al desenvolupament de les tasques de l'usuari no ha d'emmagatzemar-se al dispositiu. I, si es vol accedir a la informació des de diversos dispositius, ha d'estar sincronitzada per evitar duplicitats i errors a les versions.
• Tractament de la informació confidencial. 
  Antigament, això hauria estat una mera recomanació; actualment, es tracta d'una obligació per part de totes les empreses que han d'operar seguint legislacions com el RGPD. Tota la informació confidencial ha d'emmagatzemar-se xifrada. També és una bona pràctica utilitzar un sistema normalitzat de terminació, de manera que la informació s'elimini de manera segura una vegada conclòs el seu cicle de vida.
• Formació dels empleats. 
  No només es tracta d'errors involuntaris. En el context actual de la ciberseguretat en el teletreball, l'enginyeria social suposa l'execució d'atacs sota engany. Phishing, vishing, “estafa del CEO”… Disposar d'un programa de formació eficaç és clau per mantenir la seguretat dels dispositius. És recomanable implementar programes de formació eficaços, que garanteixin que els empleats aplicaran les millors pràctiques i complementar aquesta formació amb una tasca de conscienciació ha de ser constant.

El treball remot no ha de posar en perill la seguretat de les dades. Una vegada que s'educa els treballadors remots i s'implementen aquests procediments de seguretat cibernètica per evitar riscos de privacitat i seguretat en el teletreball.

1. Responsabilitats.
   La persona usuaria és la responsable de l'equip portàtil o mòbil que se li ha proporcionat, per la qual cosa haurà de garantir la seguretat tant de l'equip com de la informació que conté. L'usuari aplicarà les normes que es recullen la política d'ús del lloc de treball.
2. Transport i custòdia. 
   L'equip no pot quedar exposat a altes temperatures que puguin danyar-ne els components, i l'usuari ha d'impedir que es pugui accedir a la informació que s'hi emmagatzema. En cas de robatori o pèrdua de l'equip, s'ha de notificar de manera immediata el personal tècnic responsable.
3. Seguretat a les connexions. 
   L'ús de xarxes wifi no segures és la forma més comuna d'exposar una empresa a una violació de seguretat de dades. La solució més fàcil és habilitar una xarxa privada virtual (VPN). L'ús d'una VPN abans d'iniciar sessió a les xarxes wifi públiques xifrarà el trànsit d'internet del treballador remot i supervisarà qualsevol signe d'infecció.
4. Contrasenyes.
   Educar els treballadors remots sobre la protecció amb contrasenya és essencial per protegir les dades de l'empresa. Una altra manera de mitigar aquest risc és utilitzar un gestor de contrasenyes que generi contrasenyes i que les emmagatzemi totes de manera segura.
5. Aplicacions de protecció. 
   Tallafocs, antivirus, IDS/IPS… L'organització ha d'exigir als teletreballadors que comptin amb aplicacions de protecció com tallafocs, programa antivirus i antimalware, sempre actualitzats en tots els seus dispositius, incloent-hi mòbils, tauletes i portàtils.
6. Notificació en cas d'infecció. 
   Hem vist a tots els punts anteriors que la col·laboració de l'usuari és un element clau per a la seguretat del treball remot. Si se sospita d'infecció per virus o un altre programa maliciós, s'ha de notificar al més aviat possible el personal tècnic responsable.

En els últims anys, i especialment amb motiu de la pandèmia de la COVID-19, s'han desenvolupat tecnologies per protegir la informació dels teletreballadors. Hi han contribuït no només els fabricants de dispositius i les empreses de ciberseguretat, sinó també els creadors dels sistemes operatius. Vet aquí algunes.

• Protecció de la BIOS.
  Els equips portàtils corporatius tindran l'accés a la BIOS protegida amb contrasenya per evitar modificacions a la configuració per part de l'usuari.
• Xifratge. 
  Programes de xat, correu electrònic, aplicacions… Tot ha d'utilitzar xifratge d'extrem a extrem. El més recomanable és utilitzar autenticació multifactorial (MFA), que comprova la identitat d'un usuari en sol·licitar primer un nom d'usuari i contrasenya, així com altres dades com la resposta a una pregunta secreta o un codi enviat a un mòbil.
• Aplicacions virtualitzades. 
  Amb l'opció de la virtualització d'aplicacions, l'usuari pot executar al seu dispositiu una aplicació que no està instal·lada a l'equip. L'aplicació s'executa gràcies a un paquet que conté les configuracions necessàries.
• Backup de dades al núvol. 
  De la mateixa manera, s'han de prendre mesures perquè la informació aquí emmagatzemada romangui segura. També es pot activar un sistema de comprovació, de manera que cada vegada que l'usuari vulgui accedir al núvol se li enviï un missatge de text amb un codi que haurà d'introduir per poder entrar.
• Programa de localització. 
  En cas que es consideri necessari instal·lar o activar algun programa de localització, es comunicarà a l'usuari del dispositiu abans de fer-ne l'entrega. L'usuari que estarà geolocalitzat ha de signar un document acceptant aquesta condició.
• Esborrament de dades. 
  També es pot considerar la possibilitat d'esborrar dispositius de manera remota en cas de pèrdua o robatori. Les plataformes de gestió de dispositius mòbils (MDM) poden dur a terme aquests serveis.

La mobilitat en l'àmbit empresarial ha portat la necessitat de plantejar nous models de gestió. Les eines MDM (Mobile Device Management ) permeten, per exemple, instal·lar i actualitzar sistemes operatius i aplicacions, i fins i tot encapsular la seva utilització en xarxes aïllades, així com rastrejar dispositius per GPS, o detectar i notificar quan un dispositiu està en risc, o bloquejar o eliminar el seu contingut remotament. També permeten incorporar mecanismes de gestió d'identitats i accessos (IAM) i forçar, per exemple, l'aplicació de polítiques concretes de gestió de contrasenyes. Fins i tot es poden activar antivirus, control d'accés NAC o serveis de seguretat al núvol.

I aquí arriba el dilema: disposar de mecanismes que permetin accedir als dispositius mòbils corporatius resulta de vital importància, però... és lícit accedir al contingut del dispositiu? És legal monitorar-ne la geolocalització? Es poden supervisar les activitats dels usuaris? Sí, en principi, si prèviament s'ha notificat els empleats sobre l'ús i control que la companyia pot exercir quan els cedeix equips que són de la seva propietat i sobre el tipus de tractament de dades que es durà a terme. I, per descomptat, s'ha de donar un total compliment de la normativa vigent en matèria de privacitat de dades.

No és, en definitiva, un tema senzill. I menys ara que també és possible implementar sistemes Out of Band, que permeten controlar els dispositius fins i tot quan estan apagats. Un aspecte per considerar, a més, perquè afecta el fabricant i implica pràcticament un control absolut sobre l'equip. Per exemple, Intel proporciona la seva solució Intel vPro; Apple, per la seva banda, ofereix serveis LOM (Lights Out Management ) per a engegar i apagar els seus equips utilitzant certificats digitals.

En qualsevol cas, ningú dubte que el teletreball és una opció essencial per a qualsevol organització, i que la seguretat és un aspecte clau no només per evitar pèrdues d'informació i reputació, sinó també per garantir el compliment normatiu.