La pandemia obligó a las organizaciones a mejorar la seguridad de sus usuarios distribuidos. Algunos ejemplos de mejoras de la seguridad son la creciente adopción de la autenticación en dos fases y de las herramientas de acceso remoto como las VPN.
Estas mejoras pueden reforzar la postura de seguridad de una organización, pero por sí solas no constituyen una estrategia para los trabajadores remotos. En medio de las presiones y los recursos necesarios durante la pandemia, los equipos informáticos y de seguridad a menudo carecían del tiempo o del presupuesto necesarios para desarrollar estrategias a largo plazo para conectar a los trabajadores remotos con las aplicaciones autoalojadas en los entornos de nube híbrida, las aplicaciones SaaS e Internet. Por tanto, las organizaciones hicieron las inversiones y los cambios que pudieron.
Por desgracia, las soluciones a corto plazo pueden dar lugar a vulnerabilidades de seguridad y de visibilidad que convierten los ordenadores de los trabajadores remotos y las soluciones en la nube en un objetivo vulnerable y atractivo para los ciberdelincuentes.
Aquí te mostramos las cinco soluciones a corto plazo más comunes que las organizaciones implementaron durante la pandemia y los problemas a largo plazo relacionados. Más adelante, hablaremos de cómo dejar atrás estas soluciones y adoptar una estrategia de seguridad de los trabajadores que sea más eficaz a largo plazo.
Cuando empezó la pandemia, muchas organizaciones utilizaban conexiones de red privada virtual (VPN) para que los empleados remotos pudieran acceder de forma segura a la red corporativa.
Las VPN pueden ser una solución eficaz de acceso remoto, pero están diseñadas para un caso de uso concreto: conexiones periódicas y de corta duración de un número reducido de sistemas. Tienen varias limitaciones que las hacen inadecuadas para un uso constante por parte de una plantilla totalmente remota, entre ellas:
Bajo rendimiento: la infraestructura de la VPN suele estar diseñada para una fracción del total de empleados de una organización, y su sobrecarga crece linealmente con el número de usuarios de la VPN. Esto significa que las necesidades de acceso de los trabajadores remotos pueden desbordar la infraestructura de la VPN y de seguridad de una organización, y esto puede perjudicar al rendimiento o causar fallos.
Tiempos de espera de las sesiones: los tiempos de espera de las sesiones de la VPN son una función de seguridad necesaria. Sin embargo, para los trabajadores remotos que utilizan la VPN como fuente principal de acceso a la red de la empresa son una molestia.
Controles de acceso: las VPN no tienen controles de acceso integrados, lo que proporciona a los usuarios acceso completo a la red de la empresa, independientemente de su función. Los firewalls pueden ayudar, pero muchos utilizan reglas basadas en direcciones IP, que no funcionan bien con altos niveles de movilidad de los dispositivos o con aplicaciones en la nube cuyas direcciones IP cambian constantemente. Los firewalls de última generación pueden ofrecer controles de acceso basados en el usuario, pero normalmente carecen de la flexibilidad necesaria para trabajar con muchos proveedores de identidad diferentes al mismo tiempo, y pueden ser difíciles de integrar con proveedores de identidad basados en la nube.
Falta de controles de identidad: las VPN solo están pensadas para proporcionar una conexión encriptada entre dos puntos. Se necesitan soluciones adicionales, como una infraestructura de clave pública, para garantizar que la conexión de la VPN procede de un dispositivo autorizado.
Falta de visibilidad: las VPN de muchas organizaciones no terminan en un proxy de capa 7. Esto significa que las organizaciones carecen de visibilidad de las interacciones específicas de los usuarios en estas conexiones, lo que supone una vulnerabilidad importante.
Las VPN son, en el mejor de los casos, una solución temporal para dar soporte a los trabajadores remotos. Las organizaciones que inviertan en capacidad adicional de dispositivos de VPN y redundancia para el teletrabajo ampliado tendrán que tomar medidas para mitigar las limitaciones y los desafíos de seguridad.
Como hemos indicado, un aumento repentino del uso de la VPN puede sobrecargar los servidores de la VPN y crear latencia de red para los usuarios finales. Como resultado, algunas organizaciones han adoptado un enfoque de túnel dividido. En este enfoque, el tráfico que se dirige a la red se enruta de forma segura a través de la VPN, mientras que el tráfico que se dirige a Internet se envía directamente a su destino.
Las VPN de túnel dividido pueden reducir la latencia, pero lo hacen en detrimento de la seguridad. Concretamente, hacen que la organización pierda visibilidad del tráfico que se dirige a Internet desde los ordenadores de los trabajadores remotos. Esto conlleva la posibilidad de que estos dispositivos se infecten con malware sin ser detectados, o del robo de datos confidenciales de los ordenadores de los usuarios remotos.
Además, la aplicación de túneles divididos al tráfico de la VPN significa que los dispositivos remotos ya no están protegidos por los sistemas de protección perimetrales. Esto aumenta el riesgo de que se vean comprometidos por ataques de phishing y la explotación de vulnerabilidades de software al que no se hayan aplicado los parches necesarios. Si un dispositivo remoto está en riesgo y se activa su conexión de VPN, un atacante puede cambiar su rumbo y acceder a los sistemas de la red de la empresa. Cuando el usuario se conecta directamente a una aplicación SaaS, el dispositivo remoto en riesgo puede intentar exfiltrar datos almacenados en la caché en el navegador web.
En el pasado, toda la infraestructura de una organización se ubicaba en las instalaciones, por lo que la seguridad también se implementaba allí. El crecimiento de la informática en la nube, de las aplicaciones SaaS y del trabajo remoto han cambiado este modelo.
Para mejorar el acceso remoto y la seguridad, algunas organizaciones han trabajado para trasladar las aplicaciones y los datos a implementaciones en la nube. Sin embargo, estos traslados suelen producirse de forma desincronizada. Dos errores frecuentes son:
Trasladar los controles de proxy de las puertas de enlace web seguras a la nube, a veces centrándose solo en las aplicaciones autorizadas mediante una solución de agente de seguridad de aplicaciones en la nube (CASB), pero manteniendo las VPN de acceso remoto.
Trasladar el acceso remoto a la nube (con o sin un cliente de tipo VPN) sin trasladar simultáneamente la puerta de enlace web segura, o todo el firewall, a la nube.
Al separar las funcionalidades de acceso remoto y de seguridad, una organización perjudica a la seguridad o al rendimiento de la red. Es posible que el tráfico a través del cliente de acceso remoto no esté sometido a una inspección de seguridad. Esto dejaría a los trabajadores remotos vulnerables al phishing y a los sitios web maliciosos. Alternativamente, el tráfico puede ser redireccionado a la ubicación del conjunto de soluciones de seguridad de la organización, lo que proporciona seguridad a expensas de la productividad de los empleados y del rendimiento de las aplicaciones.
Permitir que los empleados remotos trabajen desde dispositivos personales (una práctica habitual al principio de la pandemia) crea varios problemas potenciales de privacidad y de seguridad. La aplicación de políticas de seguridad corporativas y el uso de soluciones de seguridad para puntos finales resulta más difícil en el caso de los dispositivos personales. Por este motivo, muchas organizaciones han optado por proporcionar a los trabajadores remotos ordenadores corporativos, que ya tienen instalado el software de seguridad necesario y es posible que ya estén configurados para cumplir la política corporativa.
Sin embargo, la entrega de portátiles a los trabajadores remotos solo resuelve algunos de los problemas de seguridad del teletrabajo. La organización también necesita una infraestructura y políticas para distribuir las actualizaciones de las políticas y del software a estos dispositivos remotos. En general, las empresas son lentas a la hora de aplicar las actualizaciones de software y, históricamente, los dispositivos remotos aún tardan más en recibir los parches que los que están in situ. Sin una infraestructura para enviar las actualizaciones del software a los trabajadores remotos se crean vectores de ataque potenciales contra ellos.
La transición hacia el trabajo remoto conlleva nuevos desafíos de seguridad y de supervisión para una organización. En respuesta, los equipos de seguridad buscaron e implementaron herramientas de seguridad (a menudo entre los mejores proveedores de su categoría) capaces de resolver casos de uso específicos. Por ejemplo, el acceso a la red Zero Trust (ZTNA) para proteger el acceso remoto, CASB para proteger el acceso a SaaS, y la puerta de enlace web segura en la nube (con funcionalidad de DNS y firewall) para proteger el acceso a Internet.
Como resultado, estos equipos de seguridad se encuentran con un conjunto de herramientas de seguridad independientes, separadas y superpuestas. Esto solo contribuye a la sobrecarga de alertas que experimentan la mayoría de los equipos de seguridad y da lugar a vulnerabilidades de seguridad y de visibilidad allí donde terminan las capacidades de las distintas herramientas. Estas vulnerabilidades de visibilidad permiten a los ciberdelincuentes infiltrarse y acceder a los sistemas de la empresa.
Si una organización aún depende de una o varias de las soluciones a corto plazo descritas anteriormente, resolver las vulnerabilidades de seguridad y de visibilidad resultantes hará que su estrategia sea más sostenible y eficaz a largo plazo.
Para empezar, ten en cuenta estas cinco recomendaciones:
Un servicio de acceso remoto seguro garantiza que todo el tráfico empresarial se encripta en tránsito y permanece visible, y que la empresa puede realizar inspecciones de seguridad y aplicar políticas. Sin embargo, a medida que las aplicaciones se trasladan a la nube, las soluciones de acceso remoto locales, como las VPN de hardware y los firewalls, pueden degradar el rendimiento de las aplicaciones.
Cuando las soluciones de acceso remoto operan en la nube junto con la aplicación, se elimina la necesidad de redireccionar el tráfico a la LAN de la empresa para su inspección. Esto mejora el rendimiento y la latencia del tráfico de los usuarios remotos y, como la solución está basada en la nube, ofrece mayor flexibilidad y escalabilidad que las soluciones tradicionales basadas en dispositivos.
Las VPN son tecnologías de acceso remoto diseñadas para un modelo de seguridad anticuado y basado en el perímetro. Proporcionan a los usuarios autentificados acceso completo a los recursos corporativos, lo que viola los principios de privilegio mínimo y la seguridad Zero Trust. Con una política Zero Trust, se otorga a los usuarios acceso a recursos específicos caso por caso.
Se han realizado algunos intentos de modernizar las VPN trasladándolas a la nube. Esto soluciona el problema de la centralización de la infraestructura de la VPN en la LAN corporativa. Sin embargo, este enfoque no soluciona el problema más importante de que las VPN no están diseñadas para la empresa moderna distribuida y deberían sustituirse por soluciones que admitan de forma nativa los modelos de seguridad Zero Trust.
A medida que se generaliza cada vez más el uso de la nube para alojar aplicaciones internas, de forma paralela se amplía la superficie de ataque. Cada aplicación que se expone a los usuarios remotos, y a Internet en su conjunto, es otro posible vector de ataque.
Para minimizar el riesgo es necesario aplicar una política Zero Trust para el acceso a las aplicaciones. En lugar de permitir a un usuario autenticado el acceso total al entorno y a las aplicaciones de una organización, el acceso debe otorgarse caso por caso, según las políticas de control de acceso.
Para lograrlo, es necesario poder aplicar controles de acceso en toda la red de una organización. Esto requiere el uso de una vasta red global y la capacidad de aplicar controles de acceso a las aplicaciones tanto autoalojadas como SaaS en la nube.
Es probable que los dispositivos de los trabajadores remotos sean menos seguros que los de los trabajadores en las instalaciones. Históricamente, la aplicación de los parches es más lenta en los dispositivos remotos, y los trabajadores remotos que utilizan dispositivos personales solo pueden estar protegidos por las soluciones de seguridad corporativas para las conexiones realizadas a través de la VPN de la empresa. Como resultado, los trabajadores remotos corren un mayor riesgo de sufrir ataques a su navegador y otras ciberamenazas.
La navegación Zero Trust reduce el ciberriesgo implementando el aislamiento de navegador basado en la nube. En lugar de permitir que los scripts integrados en las páginas web se ejecuten en el dispositivo del usuario, estos se ejecutan en instancias del navegador desechables y de un solo uso.
La solución basada en la nube explora los sitios para el usuario y le entrega una réplica de la página. Esta réplica debe crearse de forma que proporcione tanto un alto rendimiento como seguridad (es decir. no debe añadir latencia, interrumpir el funcionamiento de los sitios o permitir que se cuele código potencialmente malicioso). La navegación Zero Trust proporciona a una organización la visibilidad y el control necesarios para identificar y bloquear los intentos de fuga de datos y otros ciberataques.
A medida que aumenta la complejidad de la red y la superficie de ataque de las organizaciones, los equipos de seguridad necesitan soluciones que les permitan proteger su organización. Evita la pérdida de datos, el malware y el phishing con la solución Zero Trust más eficaz para el acceso a aplicaciones y la navegación por Internet, Cloudflare Zero Trust, una solución de seguridad a largo plazo para trabajadores remotos que incluye:
Acceso a aplicaciones Zero Trust: Cloudflare Access proporciona acceso a aplicaciones Zero Trust para aplicaciones autoalojadas y SaaS, y dirige todo el tráfico entrante a través de la red perimetral global de Cloudflare para la inspección de seguridad y la aplicación de políticas.
Navegación web segura: Cloudflare Gateway y Cloudflare Browser Isolation proporcionan una navegación segura para los equipos que permite detectar y bloquear el phishing, el malware y otros ataques basados en el navegador, y aplicar reglas Zero Trust a toda la actividad de navegación.
Este artículo forma parte de un conjunto de publicaciones sobre las últimas tendencias y temas que afectan a los responsables de la toma de decisiones sobre tecnología en la actualidad.
Después de leer este artículo podrás entender:
Las 5 soluciones a corto plazo más comunes implementadas durante la pandemia mundial
Los problemas a largo plazo derivados de estas soluciones a corto plazo
Las 5 recomendaciones para crear una infraestructura segura para el teletrabajo
Obtén más información sobre cómo proteger a tus trabajadores remotos a largo plazo con el libro electrónico .