Las operaciones de las empresas pasan cada vez más por el ámbito digital, lo que implica que su seguridad también debe trasladarse al mismo entorno. El ejemplo clásico consiste en comparar la inversión en sistemas de alarma y puertas metálicas para proteger una tienda física con la inversión en sistemas antivirus y gestores de contraseñas para proteger una tienda online. Lo que está claro es que, si el dinero pasa por la red, debemos proteger la red.
Las amenazas digitales se actualizan continuamente, como también evolucionan nuestras dinámicas de trabajo. El teletrabajo ha pasado a un primer plano en muchas compañías, y con él, la necesidad de acceder a la información de la empresa de manera remota. Esto plantea serios desafíos de seguridad, porque ahora la solución de una intranet desconectada de la red ya no es viable para proteger los datos.
Las políticas de acceso remoto pueden reducir riesgos
Aquí es donde entran en juego las políticas de acceso remoto, diseñadas para determinar hasta qué punto cada usuario puede acceder a las bases de datos de la empresa. Todos los empleados y empleadas necesitan tener acceso a la misma información, y por eso este tipo de políticas pueden configurar niveles de acceso para prevenir filtraciones, infecciones de malware y otros hackeos.
Algunos de los aspectos más relevantes en la configuración de estas políticas de acceso remoto son los siguientes:
Diferentes niveles de acceso
Uno de los primeros sistemas que debemos implementar es el establecimiento de niveles de acceso a la información. Solo los usuarios que realmente lo necesiten –por ejemplo, el o la CEO– deben tener pleno acceso a la información, mientras que el resto debería tener un acceso limitado solo a las bases de datos correspondientes a su cargo.
Contraseñas robustas
El desglose de niveles impide que los usuarios puedan acceder a información que no les corresponde, pero no es suficiente para prevenir filtraciones. Otra de las políticas debe ser el establecimiento de contraseñas robustas que, además, deben ser únicas para cada cuenta. La compañía también debe establecer un periodo de vigencia para las claves, tras el cual deben cambiarse por otras nuevas.
Sistemas de verificación 2FA
La configuración de un sistema de autentificación en dos pasos es fundamental para garantizar que las cuentas digitales se mantengan a salvo. Las contraseñas pueden filtrarse, pero un sistema 2FA puede mantener la información de la empresa protegida al requerir un paso extra de verificación que solo puede realizarse desde dispositivos autorizados.
Dispositivos de empresa
Hablando de dispositivos autorizados, otro de los requerimientos para acceder de forma remota a las bases de datos debería ser el uso exclusivo de dispositivos de la empresa, de forma que el personal informático pueda garantizar que estén libres de malware y de vulnerabilidades. El uso de dispositivos personales no permite su regulación estricta y puede ser el origen de las filtraciones.
El problema de las redes wifi
Mención aparte merece el problema de la conexión a Internet utilizada por el personal para acceder a las aplicaciones y a las bases de datos empresariales. Cuando cada quien usa la red Wi-Fi de su hogar –o, peor aún, si algún miembro del personal se conecta desde una cafetería–, el departamento de informática sencillamente no tiene forma de garantizar la seguridad de todas estas redes, lo que puede ocasionar un sinfín de problemas.
El uso de una VPN puede reducir estos riesgos mediante el sistema de cifrado de este tipo de herramientas. Una de las políticas debería ser el uso obligatorio de una VPN de empresa para garantizar que todo el tráfico esté correctamente cifrado y sea resistente a posibles filtraciones de datos.
Además, para mayor seguridad, se puede configurar un servidor VPN en las instalaciones de la empresa al que todo el personal debe conectarse para poder acceder después a las bases de datos de la compañía. Este sistema de IP estática garantiza que la información de la empresa se mantenga segura, y además permite al departamento de informática monitorear todas las conexiones de forma mucho más confiable.
En última instancia, debemos asegurarnos de que todo el personal sea consciente de los riesgos que las filtraciones de datos pueden entrañar para la empresa. Más allá de los ataques de intermediario por las infecciones de malware, los ataques de phishing y de ingeniería social pueden suponer una seria amenaza para la integridad de los datos, por lo que resulta indispensable que todos los empleados y empleadas dispongan de formación al respecto.