Desafíos de seguridad para la presencia virtual

En el episodio “The Cruciferous Vegetable Amplification” (temporada 4, episodio 2) de la galardonada serie The Big Bang Theory, Sheldon Cooper construye un “Dispositivo de Presencia Virtual Móvil”, el cual le permite lidiar en forma remota con los riesgos de la vida los cuales de otra forma tendría que enfrentar en persona, todo desde un “lugar seguro y no revelado”. Probablemente nosotros no llegaremos a tales extremos como el personaje de la serie, sin embargo, ya estamos cambiando nuestros paradigmas de trabajo a esquemas de trabajo remoto o híbridos (combinando trabajo presencial y remoto).

A pesar de que han habido esfuerzos por promover esta nueva forma de trabajar, no ha habido una mayor discusión respecto de este tema, hasta hoy. El 18-O puso al teletrabajo en una posición de mayor atención debido a las dificultades e incluso la imposibilidad de asistir presencialmente a los lugares de trabajo debido a interrupciones en el tránsito, indisponibilidad de lugares físicos de trabajo, e incluso casos donde la falta de sueño causada por incidentes en el exterior de la vivienda han provocado bajas en la productividad individual. A eso se suma el arribo a Chile del CoronaVirus, ante lo cual las organizaciones ya están comenzando a prepararse para contener su propagación, manteniendo un grado aceptable de continuidad operacional, y el trabajo remoto en esto es una opción bastante considerada.

El trabajo remoto conlleva consigo muchos beneficios, sin embargo, como todo en la vida, conlleva riesgos asociados. No es demasiado complicado (menos hoy en día) configurar una VPN (Virtual Private Network) y permitir que los empleados accedan a la red interna de la empresa desde sus hogares u otros lugares. O quizás proveer a los mismos empleados con una URL accesible desde Internet de aplicaciones web de productividad para poder manejar agendas, escribir informes, enviar y recibir e-mails, etc. ¿Quienes tienen acceso a nuestros recursos de información? ¿Existen controles de acceso para usuarios remotos? ¿Tales accesos tienen seguridad reforzada en su transporte? El uso de VPN o HTTPS no garantiza completa confidencialidad, sobre todo en su configuración por defecto. ¿Qué pasa si un empleado se va de la empresa? Han habido varios casos de ciberataques basados en accesos remotos no deshabilitados aprovechados por personas desvinculadas de la organización.

El uso de plataformas Cloud ha acrecentado estos riesgos, ya las diferentes plataformas ofrecen acceso a muchos recursos y herramientas. Uno de los principales desafíos es el control de acceso: ¿Quién puede hacer qué acción con qué herramienta? es una pregunta que puede tener una infinidad de respuestas. Adicionalmente, los dos principales problemas en Cloud son la configuración insegura de herramientas y la falta de monitoreo de accesos y acciones realizadas sobre los activos de información basados en Cloud.

Pero también, los lugares de estudio están comenzando a considerar formas remotas de impartición de contenidos. ¿Qué pasa si se suspenden clases por incidentes dentro del campus o por problemas de transporte o seguridad de los estudiantes? ¿Qué ocurre si un estudiante tiene sospecha de estar contagiado o viajó a países donde ya hay personas infectadas con COVID-19? Herramientas como sistemas de e-learning, videoconferencia, toma digital de evaluaciones son propuestas para casos de disrupciones en la continuidad docente. ¿Quiénes acceden a tales herramientas y las administran? ¿Quienes tienen potestad de agregar, modificar y borrar notas de evaluaciones? ¿Se consideran y advierten las políticas de privacidad de herramientas gratuitas online recomendadas por autoridades académicas? ¿Se considera la seguridad de herramientas opensource de gestión de aprendizaje (LMS)? ¿Se aplican los parches de seguridad correspondientes? ¿Se respalda la información de los cursos ante potenciales casos de ransomware?

El dispositivo de presencia virtual móvil de Sheldon Cooper tenía una función de emergencia que permitía su reinicio remoto en el caso de que alguno de sus amigos lo apagara. ¿Tomamos, como Sheldon, en consideración la seguridad y continuidad de nuestra continuidad como organizaciones?

Perfil del autor

Cristián Rojas
Cristián Rojas
Profesor universitario, consultor independiente, expositor y coach con más de 10 años de experiencia proveyendo servicios de ciberseguridad a empresas privadas e instituciones estatales. Investigador asociado en el CLCERT de la U. de Chile. Profesional certificado en ciclo de vida de desarrollo seguro (ISC)² CSSLP. Implementador Líder del estándar de gestión de seguridad de la información ISO27001:2013.