Os vengo hoy con una pregunta surgida en una conversación de este fin de semana, porque estoy seguro de que aquí hay gente con más conocimientos y mejor criterio que los que estábamos en aquella mesa.
La cuestión es que a un conocido le han retirado la opción de teletrabajar y le dicen que es por razones de seguridad, ya que el router doméstico y su Wifi no ofrecen el nivel de seguridad requerido por la empresa.
A mí no me queda muy claro si eso es razonable, lógico o no. Tampoco me queda claro hasta qué punto es legal llevarse datos sensibles en un ordenador a tu casa, como datos personales de terceros, etc.
En el caso de la persona de la que hablábamos, puede que se tratase de datos algo sensibles, no los planos de una base militar secreta, pero sí reconocimiento facial y cámaras de vigilancia.
Y el caso es que no tengo ni idea, porque el debate sólo sirvió para incrementar mis dudas. Algunos, yo creo que exagerados, decían que un ordenador con esos datos, y ese tráfico, en un domicilio particular es una brecha de seguridad de tres pares de huevos, y otros decían que para nada, que todo consiste en tomar las precauciones oportunas.
Los primeros alegaban que, además del router, la Wifi y demás mondongo tecnológico, la empresa no puede controlar quién entra en tu casa, con quién estás, si mira tu pantalla tu madre, tu novia, o siete tíos que nunca podrían entrar en las instalaciones de la empresa pero sí en tu domicilio, si les dejas. O incluso si no les dejas, porque las medidas de seguridad no son las mismas.
Yo, como rural, estoy completamente a favior del teletrabajo, porque es lo único que ha dado un poco de vida a los pueblos, pero aquí no se trata de lo que uno quiere, sino de cual es la respuesta a este debate sobre seguridad.
¿Cómo lo veis? ¿Es el teletrabajo una brecha de seguridad? ¿Es normal que haya cuatro tarjetas de acceso para entrar en una empresa y luego un empleado cualquiera pueda acceder a la base de datos sin que la empresa pueda saber quién más está mirando esa pantalla?
Comentarios
El debate tiene un argumento muy contundente:
Si la empresa exige al trabajador hacer guardias, o echar horas fuera de la jornada laboral, noches, fines de semana, etc., como suele suceder en la mayoría de los trabajos de proceso de datos, existiría la contradicción clara de permitir el teletrabajo fuera de la jornada laboral, pero no durante la misma. Y salvo que me indique usted lo contrario, muy probablemente es así en el caso de su amigo, por lo que el argumento de la protección de datos quedaría desmontado sin entrar en detalles técnicos.
#3 Me parece una respuesta brillante. Gracias.
Aquí uno que teletrabajaba varios días a la semana antes de la pandemia, 100% durante la pandemia, y vuelta a flexible ahora.
Os cuento mi punto de vista:
- Wifi & intrusos
En muchas empresas internacionales, con miles de trabajadores, es normal tener viajes de empresa más o menos habituales. Por supuesto, los viajes también están presentes en las pequeñas empresas, aunque en otra proporción.
Pues bien, en cualquier viaje de empresa ya tienes un riesgo descomunal (taxi, aeropuerto, hotel, conferencia con competidores, oficina de cliente, cena en restaurante con la mochila en el guardaropa,...) mucho mayor que trabajando tranquilamente desde tu casa con un router y conexión que controlas. Y que sabes y controlas quién entra en tu casa, pero no quién se sienta a tu lado durante un viaje de negocios.
- Acceso a datos
Cualquier compañía que se precia, tiene acceso basado en roles (RBAC = Role Based Access Control) o en attributos/situación (ABAC = Attribute Based Access Control /PBAC = Policy Based Access Control https://en.wikipedia.org/wiki/Attribute-based_access_control). Esta última es especialmente interesante ya que permite configurar el acceso basado en la situación: ¿puede Pepe acceder a este dato de esta cuenta, conectado desde esta localización (país/ciudad) un domingo por la mañana?
Vamos, que si con RBAC ya controlas que el personal sólo tenga acceso a lo que necesita basado en su rol, si quieres puedes restringir un poco más este acceso con ABAC para controlar anomalías.
- Evasión de datos
Algunas empresas piensan que por llevarte el portatil a casa los datos de la empresa pueden copiarse y acabar en cualquier torrent.
En realidad, los datos que puedas tener en tu portatil son más bien escasos. Los datos jugosos están en las bases de datos, que normalmente están el el centro de datos o en cualquier nube. Con lo cual, el riesgo es el acceso a esa base de datos y la gestión de copias de seguridad.
- Protección de software o protección intelectual
En el mundo actual con tantos copilots, herramientas para decompilar y aumento de lenguajes interpretados (siempre abierto), no considero el código fuente una brecha enorme de seguridad. Lo más importante para mi son los equipos que entienden las problemas que ese software intenta solucionar y saben interpretar y mejorar ese software. Ahí radica la dificultad: entender el problema de negocio y entender la estructura y navegar los miles de líneas de código y procesos implementación.
La mejor solución: pagar bien a tus empleados.
- Formar y mantener equipos
Desde siempre hemos trabajado con gente en otras ciudades, en otros idiomas, en otras zonas horarias.
Es un problema de comunicación y organización de esos equipos para facilitar/engrasar esa comunicación.
Por supuesto, al nuevo le va a costar un poco más acoplarse si no está sentado en la misma habitación. También el veterano va a trabajar más tranquilo sin interrupciones.
Podría extenderme más, pero esos son los principales aspectos.
El único punto negativo que veo al trabajo remoto es que se pierde la sensación de pertenencia al equipo. Pero con un ambiente flexible, con algún día a la semana o con encuentros cada mes, tienes los beneficios de crear "sensación de equipo" y permite trabajar a mejor ritmo (más concentrado) y conciliando.
Mi recomendación es un ambiente flexible.
#5 Muy completo. Y nada que objetar. Gracias
El teletrabajo es mas inseguro, pero bueno, también es una mala excusa.
Por ejemplo, usando VPNs para acceder a la red de la empresa ya tienes el mismo nivel de seguridad que tendrías trabajando desde oficina. Lo de "alguien puede mirar la pantalla", me parece también una excusa muy peregrina.
De todas formas, lo de siempre. Depende de en que trabaje esa persona. Desde luego no requiere los mismos niveles de seguridad alguien que lleve campañas de publicidad a PYMES que alguien que trabaje fabricando piezas para aviones militares.
#7 No, no necesariamente tienes el mismo nivel de seguridad. El equipo de la oficina normalmente esta bajo control de la empresa. Le es posible parchearlo, controlar la configuració, limitar lo que hace el usuariol supervisarlo. En nuestro trabajo son contados los que tienen permisos para instalar software.
En cambio en casa el ordenador lo pone el empleado, y no es lo mismo un informatico concienciado en seguridad, que un administrativo, que por las tardes comparte el ordenador con el niño para que haga los deberes y de escondidas instala programas raros para ver porno.
Un equipo descontrolado conectado a la red de la empresa es un peligro, y solo le puedes abrir a servicios muy securizados.
#18 En cambio en casa el ordenador lo pone el empleado,
No. La ley es clara, el ordenador lo tiene que poner el empleador.
#0 A ver, que la gente de la NSA también teletrabaja. La puta NSA! Por supuesto tienen sus controles y alguno que otro ha sido despedido por no seguir los protocolos de seguridad. Pero si se puede teletrabajar in the motherfucking NSA, se puede teletrabajar en cualquier lado.
#12 Me parece un buen argumento. No te digo que no. Insisto ebn que más que enunciar o contar algo, pregunto, porque sabéis de esto mucho más que yo.
#14 Ya, perdona, si lo que me enerva son las gilipolleces de cuatro imbeciles con poder para joderle el teletrabajo a sus empleados.
No tiene porque ser inseguro si la empresa toma las medidas apropiadas:
- Discos duros encriptados en tu portátil (Bitlocker o similar).
- Acceso cifrado vía VPN a los recursos de tu empresa.
- Infraestructura de clave pública PKI para cifrado, firmado y autenticación.
- Autenticación multi-factor para garantizar que accede quien dice ser (PKI + clave o validación en móvil).
- Bloquear el acceso a recursos externos a la empresa en tu portátil (no permitir imprimir en casa o exportar a un USB), esto es importante para no dejar papeles por tu casa.
- Formación en ciberseguridad al empleado (esto es lo más importante).
Lo que no entiendo es lo de router si es doméstico o profesional, si accedes por VPN a tu empresa da igual tu router, móvil o lo que uses, es un cifrado punto a punto.
En mi empresa estamos en modo híbrido, sólo voy un día a la oficina por semana, eso si no te dejan trabajar desde cualquier lado si no que tienes que poner como máximo dos domicilios desde dónde trabajas y deben estar en España. Creo que lo hacen más por temas de PRL (tienes que rellenar un cuestionario) y lo de estar en el país porque hay cierta información sujeta a control que no puede salir del país.
Como dice #8, a nivel técnico se puede securizar todo con un ordenador de empresa. Eso está más que superado; con los portátiles corporativos que nosotros tenemos ahí no mete la zarpa nadie ni pueden sacar nada, y el router de casa no influye con la VPN.
El único punto es lo no técnico: efectivamente, en tu casa puede entrar otra gente y mirar cosas si les dejas. Al final, lo que ocurre, es que de quien no se fían es del empleado y es a quien le gustarían estar vigilando.
Aqui uno que trabaja con informacion sensible y en ocasiones clasificada.
En algunos entornos de alta seguridad, es necesario que el sujeto esté personalmente en la sede por motivos de seguridad.
En otros, menos restrictivos, se asume que el sujeto es responsable y está capacitado para seguir las políticas de seguridad pertinentes allí donde se encuentre.
En ambos casos, al final, el sujeto es responsable y cualificado, si falla el sujeto, habrá compromiso. Independientemente de dónde la cague (o si la caga intencionalmente).
Por tanto, considero que el teletrabajo está asociado a la responsabilidad y capacitación del sujeto y es viable en entornos que requieren manejo de información clasificada (al menos a niveles de difusión limitada y confidencial) si el sujeto sabe hacer y hace las cosas bien. Eso si, si el nivel de seguridad requiere total presencialidad (por clasificación superior o requisitos extraordinarios del cliente, normativa, o el motivo que sea), entonces el protocolo va primero que la persona (pero como he dicho antes, si la persona la caga, la caga en su casa, o en su bastionaco ultra-seguro).
#17 Pero seguramente no costará lo mismo robar la contraseña de acceso en la sede de la empresa que en la wifi de la calle Ramón Cajal, nmero 134, 4ºB, Solsona.
¿No? #20
#24 Si te refieres a passwords personales, debería de suponer un esfuerzo muy similar, dado que ese vector de ataque normalmente es la ingeniería social; y un tipo en estos entornos debería estar bastante capacitado para no caer en algo así. Un password robado debería, en un entorno seguro, dar poco acceso, mitigado por 2fa y otros temas, como el cifrado de ficheros local.
Si te he entendido mal, y te refieres al password de la wifi... pues en ambos casos va a depender de la seguridad de las contraseñas, y si bien es trivial intentar crackearla, si la contraseña es robusta esa tarea no va a ser nada fácil. Pero en este caso de aproximación física, las organizaciones tienen sedes que son usualmente conocidas, no es el caso de los particulares. SI trabajas con info confidencial tan jugosa que actores con altas capacidades son capaces de desplazarse geográficamente y hacer seguimientos personales para tratar de dar con ella... mas te vale proteger tu identidad y por supuesto, no exponer datos personales y ni mucho menos poner en bandeja siquiera que perteneces a x proyecto o a x organización. (Hay monguercitos infracualificados que si, fardan y alardean incluso en RRSS y sobre todo Linkedin de su status y posición; cuando un tipo así debería ejercer la "supresión del ego").
En este caso, igualmente tu wifi tal vez sea el menor de los problemas cuando te puedes encontrar intrusiones en tu casa, o peor, gente esperándote. Un ejemplo es el caso del USB de barcenas, o el de la embajada nor-coreana en Madrid (https://es.wikipedia.org/wiki/Asalto_a_la_embajada_de_Corea_del_Norte_en_Madrid) o el del autor de la herramienta Mimikatz (Leer entero o ir al grano y buscar la palabra Moscow en el siguiente texto: https://boingboing.net/2017/11/09/password123.html). Obviamente el tipo que se encuentra trabajando con esta clase de información, no lo prediga a los cuatro vientos ni se expone en redes y da su info personal de forma tan obvia. Pero todo esto ya es un poco peliculero.
Respuesta corta, si trabajas con info extremadamente sensible, mejor que lo hagas en una sede y que no te lleves nada a casa (como Trump https://www.bbc.com/news/articles/c3gglgwe49zo), ni tengas un dispositivo itinerante que pueda ser robado, que todo quede en la sede. Si trabajas con info clasificada hasta grado confidencial, un tipo cualificado perfectamente puede cubrir los riesgos de la itinerancia, políticas BYOD y otros riesgos de seguridad, salvo que el cliente o la organización expresamente indiquen lo contrario, y se hace lo que piden sin chistar
#25 Me refería a una contraseña, por ejemplo,d e una base de datos. Pero me doy por respondido. Gracias.
#24 Conociendo la seguridad de muchos edificios de empresas, diria que es mas facil robar en las empresas. A mi se me cayo la cerradura de una oficina cuando estaba cerrando la puerta, como en una tira comica.
#16 Estoy de acuerdo. El error es considerar segura la oficina.
Pero tampoco tiene sentido crear treinta controles de acceso al edificio y luego permitir que la gente s elleve el trabajo a casa, donde no saben quién entra ni sale.
Para eso se inventó el concepto de Zero Trust.
El resto, sandeces de jefecillos.
El otro día en una conversación sobre seguridad me llevé una sopresa: mi empresa consideraba la red corporativa insegura. Luego te das cuenta que tiene como un cuarto de millón de equipos conectados y a ver quien es el hace eso seguro, por muy plataformados que estén los equipos.
Con esta base, pues lo que dice #4. Nosotros estamos conectados al OneDrive de la empresa con lo que los ficheros en local son mínimos, el acceso a los ordenadores está muy restringido (no se admiten unidades externas, USB capados, firewalls a patadas, sistemas ser permisos para todo, unidades de almacenamiento, encriptadas, etc)
Si alguien entra en mi Wifi (nunca digas de este agua no beberé) se va a encontrar con un sistema de comunicaciones encriptado entre el laptop y mi empresa, los ficheros confidenciales están en la nube, no en local. Si intentan conectar un USB no va a funcionar y si quieren colocar un troyano, hay un sistema de seguridad bastante potente que salta a la mínima,
IMHO, yo puedo trabajar en cualquier lugar del mundo que tenga acceso a internet con un. cierto grado de seguridad (aconsejan evitar las wifi públicas) Es más antes de la pandemia he trabajado de este modo en tres continentes sin tener que hacer nada raro.
#9 En mi curro es parecido. La de de "Oficina" donde están los portátiles de tol mundo esta requeteseparada por 17 firewalls de la red donde están los servidores de producción.
En el caso de la persona de la que hablábamos, puede que se tratase de datos algo sensibles, no los planos de una base militar secreta, pero sí reconocimiento facial y cámaras de vigilancia.
Los datos del reconocimiento facial deberían estar en un servidor y no en el PC local del usuario. El acceso debería ser igual de restrictivo y con logs siendo datos tan sensibles, ya sea estando en la oficina o en casa con una VPN, así que ahí no veo mucha diferencia.
Lo de las cámaras de vigilancia me crea más dudas, pero porque me estoy imaginando a un tipo mirando las cámaras como trabajador remoto desde su casa. Si se trata de correcciones técnicas al interfaz a través del cual se ven esas cámaras, no veo tanto problema.
A menudo el centro de datos donde se guardan las cosas no está físicamente en la propia oficina. A menudo uno se conecta a clientes a través de una cuenta externa que te dan de VPN para arreglar o desarrollar cosas. No acabo de ver por dónde puede haber un gran problema de seguridad.
Y lo que dice #9, creo que el error es considerar segura la oficina o red corporativa
Una brecha de seguridad es que te metan 10 passwords que cambian cada 12 dias y que la jefa te pida las claves por whatsapp, por el teams del grupo de trabajo, que las tengan apuntadas en un txt o en un cuaderno encima de la mesa, que lo hacen continuamente. Lo demas son excusas y memeces.
Al curro te puedes conectar por una vpn con seguridad punto a punto por cable y es tu responsabilidad custodiar el ordenador, igual que en la oficina, si no se fian del trabajador ¿por que no lo despiden o directamente no lo contratan? ¡que hacen los de las agencias de seguridad en reomoto! todos a la oficina!
No se fian de sus empleados pero luego te encuentras cosas como la informacion confidencial de uno de los grandes bancos de españa en bolsas de basura sin triturar que se lleva una empresa de recogida de papel y carton, porque la empresa que la trituraba antes de llevarsela habia osado pedir dinero al banco por dicho trabajo. Lo de españa tiene cojones.
Llevo años currando desde casa en un sector NO estratégico pero sí con muchas cláusulas de confidencialidad (el sector audiovisual mueve mucha pasta)... básicamente debo mantener el secreto de esto, eso, aquello y lo otro... guardar los ficheros de un modo concreto y una vez terminada la tarea que sea (completamente terminada y cobrada) destruir los ficheros... como con todo siempre hay truco... pero el pelotazo de denuncias que me pueden caer y sus multas correspondientes (de muchos ceros) hacen que sea extremadamente cuidadoso con la información, por la cuenta que me tiene. Sin ir más lejos no puedo ni contar en una charla de bar detalles sobre lo que estoy haciendo ahora, entre otras cosas porque el robo de ideas está a la orden del día.
En el caso de mi empresa, el portátil de trabajo lo pone la empresa, está monitorizado mediante un antivirus, y tiene los discos cifrados por si alguien lo roba. Además, la conexión se realiza mediante VPN.
Normalmente se centran todas las miradas en los ordenadores, suele haber más peligro con los smartphones de empresa, que se dan permitiendo un uso personal de los mismos, ya sabes, así estás siempre más o menos localizado. Teléfonos que muchos le dejan al crio con el fortnite o el juego de turno para que se entretenga
Claro, estos teléfonos no se lo dan a cualquiera, sólo a altos cargos y tal, que son precisamente los que manejan información más sensible y que tienen permisos más delicados.
Como yo tampoco soy experto, te remito a los que si lo son, que seguro te pueden ayudar.
https://www.incibe.es/empresas/tematicas/teletrabajo
Por lo que puedo leer en la web, las practicas de seguridad no son muy distintas a las que se piden para una oficina, la verdad.
Pero así a voz de pronto yo compartimentarizaria y restringiría lo mas posible la información y no solo por ataques.
Para lo demás poca diferencia veo entre tener la base de datos en casa que en una oficina cualquiera de una pyme española al menos. Y menos como excusa para quitarle la opción de teletrabajar, tampoco es que cueste demasiado dinero o recursos tener un pc mas o menos seguro para teletrabajar.
Desde que existen VPNs, no entiendo lo de que el router casero es malo. Aún así, la empresa debería proveer de cierto material al empleado. En algunas empresas molonas le dan ordenador, silla, mesa, Internet, x dinero para otras cosas como router ... En las mediocres te dicen que te compres tú todo eso o si no, a la oficina a teletrabajar de nuevo (porque la mayoría antes ya teletrabajábamos ... desde la propia oficina, ya que casi siempre estábamos conectados a un sistema remoto).
¡Ay!, mi empresa es como la chica de ayer.
Según el caso puede ser razonable, sin ánimo de extenderme mucho, en una oficina tienes un puesto de trabajo, y la empresa vela por todas las medidas de seguridad. En tu casa igualmente deberías tener tu ordenador de trabajo, una VPU, pero es cierto que hay muchas cosas que no controlas, como quién puede tener acceso a ese ordenador, o simplemente al espacio en el que está el ordenador.
Ahora bien, en general, y teniendo en cuenta todas las muchas vulnerabilidades que tiene una empresa, sus procesos, etc, a menos que sea algo excesivamente sensible, no creo que el teletrabajo sea precisamente el vector de ataque más peligroso.
pues en casa trabajas con datos no sensibles, y vas a la oficina a poner tu trabajo en producción.
Que usen un sistema de acceso remoto y que ningún dato vaya a parar a tu casa, mas allá de aparecer por pantalla.
Citrix, VMware Horizon, Azure Virtual Desktop...
He trabajado de momento en 5 multinacionales. En 2 de ellas, robaron material de las oficinas de la empresa. En mi casa, nunca. Puede que sea un espacio muestral pequeño, pero para mí el argumento de más seguridad en oficinas es fehacientemente falso.
No soy un experto, pero "luego un empleado cualquiera pueda acceder a la base de datos sin que la empresa pueda saber quién más está mirando esa pantalla?"
La base de datos debería proporcionar unicamente la información que requiere ese trabajo. Los únicos capaces de ver toda la base de datos deberian ser los Administradores y sin posibilidad de borrar el registro de lo que hacen.
Me parece una excusa barata. Si alguien tiene acceso físico a una maquina, puede apoderarse de ella. Con acceso físico no creo que fuera muy complicado instalar un keylogger hardware a un compañero para robarle sus claves.
#1 Rectifico, lo del acceso físico no es de aplicación en este caso.