Instituto Nacional de ciberseguridad. Sección Incibe
Protege tu empresa. Sección empresas

Protege tu empresa de los riesgos asociados al teletrabajo y a otras conexiones externas

Fecha de publicación 31/01/2019
Autor
INCIBE (INCIBE)
Imagen de acompañamiento.

Viajes de negocios, atender solicitudes de clientes en sus oficinas, tareas de gran importancia que llegan fuera de hora o simplemente la propia irrupción del BYOD, son algunas de las situaciones que pueden obligar a los miembros de una organización a realizar sus funciones fuera de la compañía. Es en esas situaciones, cuando muchos usuarios recurren a redes wifi públicas como las que podemos encontrar en un hotel, estaciones de tren o en locales de ocio como una cafetería, para llevar a cabo las tareas. Sin embargo, hay que tener en cuenta, que estas redes wifi podrían poner en riesgo la privacidad e integridad de la información que tras ellas transcurra, ya que su seguridad puede ser deficiente. Además, un ciberdelincuente podría haberlas creado para “pescar” y tratar de capturar los datos de los usuarios que se conecten.

Otro caso que también debe considerarse, es el de cuando una organización decide abrir una nueva sede en otra ubicación geográfica distinta. Las comunicaciones entre ambas sedes han de realizarse de manera segura, evitando que los datos en tránsito puedan caer en manos de ciberdelincuentes.

Para evitar estas situaciones se hace imprescindible implantar una política de uso de wifis y redes externas.

Principales requisitos para la implantación de una política de uso de wifis y redes externas

El primer paso para que los miembros de la compañía puedan acceder a información interna desde una red considerada no segura, será obtener el permiso de la dirección. Para ello, se deberán establecer en qué situaciones y condiciones se permitirá su uso junto con los servicios e información a los que se podrá acceder.

La tecnología que se utilizará para habilitar un acceso remoto seguro, será la conocida como VPN o Red Privada Virtual. Una VPN, por sus siglas en inglés (Virtual Private Network), permite extender la red local (LAN) sobre una red pública no segura como es Internet, haciendo que todo el tráfico generado mantenga la integridad y confidencialidad de la información.

Red insegura, tunel VPN, red local de la empresa.

Como muestra la imagen, una VPN permite establecer una conexión segura a la red local de la organización por medio de Internet. Los empleados de una empresa que se encuentren en un aeropuerto, una cafetería o en cualquier otro lugar que disponga de conexión a Internet, podrán conectarse de forma segura y acceder a los recursos y servicios corporativos, como si estuvieran físicamente en la organización. La interconexión de sedes distantes geográficamente, también es otro de los supuestos en los que se utiliza esta tecnología, ya que una VPN se puede configurar para que ambas sedes trabajen sobre la misma red local. De esta forma, podrán acceder a los mismos recursos como si todos los trabajadores se encontraran en la misma ubicación.

En caso de no ser posible utilizar una VPN para acceder a información corporativa, existe una segunda opción: hacer uso de la red móvil como la usada por los smartphones o los módem USB (3G/4G/5G). La mayoría de los teléfonos inteligentes permiten crear un punto de acceso wifi para compartir la conexión móvil. Esto presenta una gran ventaja: no se comparte la red con ningún otro usuario, impidiendo que pueda realizar acciones maliciosas contra nosotros.

En una política de uso de wifis y redes externas debe indicarse a qué recursos se permitirá el acceso, siempre y cuando no sea posible utilizar una conexión VPN o una red móvil. Las opciones pueden ir desde establecer una política muy restrictiva que prohíba su uso completamente, aunque puede suponer un problema en la operación de la compañía, hasta permitir su uso pero siempre que se usen servicios no críticos para la organización. En el supuesto de tener que hacer uso de servicios corporativos en una red no segura sin utilizar una VPN, es recomendable hacerlo exclusivamente en aquellas redes que cuenten con el estándar WPA2/WPA3 y además será requisito necesario que los servicios utilicen comunicaciones seguras (SSL, HTTPS, etc.).

Una vez se haya elaborado la política, se deberá dar a conocer a todos los miembros de la organización, que debido a su actividad laboral podrían verse afectados, informándoles de las acciones que se tomarán en caso de incumplimiento.

 

Cuando los miembros de una organización, independientemente de su tamaño, tengan que acceder a recursos y servicios corporativos desde una red considerada no segura, deben hacerlo siempre en base a lo establecido en la política de uso de wifis y redes externas. Esta, determinará bajo qué requisitos se podrá acceder a recursos de la organización para garantizar la seguridad de la misma. Implantar esta política reducirá en gran medida los riesgos asociados al uso de redes wifi públicas. No lo dudes, comienza a crear ya tu política de uso de wifis y redes externas.