¿Cuáles son los elementos clave de una política de acceso remoto? Los expertos explican cómo actualizar o crear una política de seguridad remota para su organización y mantenerse a salvo mientras las personas trabajan de forma remota
Un buen lugar para comenzar ese proceso de revisión: revise sus requisitos originales para ver cómo podrían necesitar cambiar para el modelo de trabajo desde el hogar (FMH). Y si nunca reunió esos requisitos en primer lugar, bueno, no hay tiempo como el presente, especialmente dado que muchas organizaciones tendrán alguna forma de FMH en el futuro previsible, si no para siempre.
“Al crear una política de seguridad de trabajo desde el hogar, o cualquier política, realmente, debe comenzar por identificar una lista de requisitos. Estos requisitos provienen de necesidades contractuales, legales, regulatorias u organizativas y, a menudo, son exclusivos de cada organización ", dice Jerry Gamblin, ingeniero de seguridad principal de Kenna Security .
“Muchos grupos de seguridad pasan por alto este paso e intentan crear sus propias políticas basadas en plantillas populares o experiencia laboral previa. Si bien esto no siempre es malo, ser capaz de señalar cualquier parte de su política a una obligación real la hace mucho más exigible y respaldada por el liderazgo ”, dice Gamblin.
Con esos requisitos en mano, el siguiente paso es identificar los controles técnicos y de procedimiento que puede implementar para cumplirlos. Nuevamente, no estás (o no deberías) comenzar desde cero aquí. Por el contrario, es posible que algunos de sus controles existentes deban ajustarse o reforzarse, y quizás algunos requisitos nuevos relacionados con el modelo de la FMH. En cualquier caso, Gamblin señala que los controles técnicos, como las rotaciones de contraseña, los tiempos de espera de sesión y los parches automáticos, generalmente son más fáciles de aplicar que las reglas o procedimientos. Este último, que incluye cosas como las reglas sobre el transporte de equipos de la empresa fuera del sitio y la capacitación en conciencia de seguridad, depende más del comportamiento humano.
Con eso en mente, le pedimos a Gamblin, Wilson y otros profesionales de seguridad que compartan algunos de los componentes clave que sus políticas de seguridad remota deberían abordar:
¿Qué debería estar en una política de seguridad remota?
Acceso
Este es uno de los fundamentos de lo que Wilson llama la política de trabajo remoto "orientado a la organización", es decir, la política general que rige las prácticas de seguridad de la empresa. Es un área que probablemente necesita ser reevaluada ahora y de manera continua, especialmente en organizaciones donde trabajar desde casa no era ya una práctica regular o semi-regular.
"Comience por identificar los grupos autorizados para realizar actividades de forma remota, al tiempo que señala que esto probablemente ha cambiado drásticamente en los últimos dos meses, y capture los privilegios mínimos de acceso necesarios para las funciones de usuario final", dice Wilson. "A continuación, defina métodos autorizados para acceder a los recursos de la organización (como VPN), así como a software de terceros aprobado, ya sea como servicio o como cliente tradicional en un dispositivo de usuario final. Esto incluye los tipos de activos autorizados para conectarse a los recursos de la organización. El componente final de esta política orientada a la organización es delinear los requisitos de cifrado para los [datos] en reposo y en tránsito ”.
El uso de VPN es más alto de lo normal ahora en muchas organizaciones, lo que puede plantear varios desafíos de seguridad de la FMH . El concepto de red de túnel dividido es una opción, según Joe Partlow, CTO de ReliaQuest .
"Las organizaciones pueden gestionar el aumento en el uso de VPN mediante la implementación de VPN de túnel dividido, que pueden mantener la visibilidad en el punto final mientras disminuyen la carga en la VPN", dice Partlow.
Brian Wilson, CISO de SAS , también recomienda considerar otros tipos de herramientas de acceso seguro para aliviar la presión sobre su VPN.
"Agilice el acceso a los recursos internos para que estén disponibles desde Internet sin VPN: acceso a través de Azure AD Proxy, Cloudflare Access, Okta Access Gateway, por ejemplo", dice el CISO. "Estas tecnologías le permiten hacer que los recursos internos estén disponibles externamente, pero verificar su identidad antes de exponerle los servicios".
Líneas de base
El monitoreo y la detección de amenazas, e iniciar respuestas apropiadas, generalmente se basan en la evaluación de una organización de "normal" en su red, aplicaciones web, puntos finales y otros activos. Bueno, adivina qué: el tipo "normal" perdió su significado hace un par de meses. Según Partlow, debe volver a visitar sus líneas de base para poder identificar adecuadamente la actividad anormal.
“A medida que los empleados ingresen a las redes corporativas desde ubicaciones remotas dispares, los equipos de seguridad probablemente verán un aumento en los intentos de inicio de sesión y fallas en sus portales VPN o BDI. También habrá más tráfico RDP , disparadores geográficos fuera del espacio IP de su empresa y un aumento de falsos positivos ”, dice Partlow. "Vuelva a sus principios básicos de seguridad de lo que es actividad normal y anormal, y baselos".
Sus líneas de base existentes no necesariamente representarán a todos, o incluso a la mayoría de los miembros de su equipo que inician sesión de forma remota. Un aumento en las fallas legítimas de inicio de sesión, dice Partlow, podría parecer un ataque de fuerza bruta. De manera similar, dependiendo de la distribución geográfica de sus empleados, las restricciones de viaje probablemente limiten la cantidad de diferentes lugares o regiones desde los cuales los usuarios legítimos intentarán iniciar sesión. Entonces, si está viendo actividad de un país en el que ninguno de sus empleados vivir, por ejemplo, probablemente sea una señal de advertencia.
Es importante no descartar estas anomalías, ya que podrían indicar que un extraño malintencionado se está aprovechando del modelo de trabajo remoto, dice Partlow. "Actualice sus libros de jugadas de automatización para reflejar esta 'nueva normalidad', que disminuirá las falsas alarmas y permitirá una respuesta más rápida a anomalías precisas".
Puntos finales
La mayoría, si no todos, de sus puntos finales están al menos temporalmente fuera del perímetro corporativo. Además, el uso de dispositivos personales probablemente esté aumentando. Tanto Partlow como Brian Wilson de SAS enfatizan la necesidad de visibilidad del punto final.
"Una herramienta imprescindible para la seguridad del trabajo desde el hogar es la visibilidad del punto final dentro o fuera de la red", dice Wilson de SAS. “Muchas tecnologías de seguridad están diseñadas para funcionar en las instalaciones o requieren que los sistemas del cliente se conecten a la VPN para realizar su trabajo. Esto puede volverse problemático cuando los clientes en VPN intentan acceder a tecnologías en la nube como G Suite u Office 365. Su tráfico ahora debe pasar a través de la empresa y volver a Internet, causando problemas de latencia y ancho de banda ".
Una política de seguridad sólida de la FMH debería abordar cómo las organizaciones podrán ver y administrar de manera efectiva todos los dispositivos que los empleados usan para acceder a los sistemas y datos corporativos. "Las herramientas de gestión de puntos finales son una forma de aumentar la visibilidad del comportamiento del usuario", dice Partlow.
Formación y comunicaciones.
Este no es el momento de ignorar sus programas de concientización de seguridad. De hecho, debería duplicarlos y abordar los riesgos aumentados como resultado del trabajo remoto y / o la pandemia.
“Muchos empleados pueden no darse cuenta de los riesgos de seguridad que se introducen cuando trabajan desde casa. Los empleados pueden actuar como una capa adicional de seguridad si comprenden los riesgos y el impacto ”, dice Partlow. "Ahora es el momento de ajustar su capacitación de concientización del usuario específicamente para adaptarse a este nuevo modelo".
Wilson de SAS está de acuerdo: "Asegúrese de que sus empleados comprendan cómo cambian los riesgos cuando están fuera de la oficina con capacitación", aconseja. “La interrupción, como lo estamos experimentando ahora, es una bendición tanto para los ciber adversarios como para los estafadores, así que asegúrate de ajustar tu entrenamiento para reflejar estos nuevos riesgos. Es más importante que nunca permanecer comprometido con su personal y asegurarse de que entiendan cómo responder a un incidente ".
Partlow realmente ve una oportunidad aquí: dada la situación, los empleados están prestando más atención a las comunicaciones corporativas.
"Nuestros clientes de CISO informan que los empleados responden más a las comunicaciones internas que nunca", dice Partlow. “Aquí hay una oportunidad para capacitar y educar a la fuerza laboral sobre la protección del entorno corporativo. Aproveche este momento para repasar las mejores prácticas para ataques de phishing e ingeniería social utilizando los últimos ejemplos relacionados con virus de actores de amenazas ".
Matt Wilson de BTB Security comparte algunos consejos adicionales sobre el frente de concientización, capacitación y aplicación: es tan importante recompensar el comportamiento correcto relacionado con la seguridad.
Explicar e incentivar los buenos comportamientos alienta una adopción más amplia de su política de seguridad que una larga lista de "no hacer", dice. “Asegúrese de que sus usuarios tengan interés en proteger los datos de la organización y que sigan una buena higiene de seguridad. Recuérdeles que los datos de la organización a menudo incluyen sus propios datos personales y que las buenas prácticas en el trabajo se traducen en mejores protecciones para el usuario en su vida personal ".
Prueba
Incluso en el mejor de los casos, las políticas y controles de seguridad no deberían permanecer estáticos. A menos que su prueba de pluma más reciente fuera muy reciente, por ejemplo, probablemente no representaba a todos los que trabajaban de forma remota.
“Para muchas organizaciones, es probable que su última prueba de penetración se centre solo en usuarios de redes corporativas, no en usuarios remotos. Cuando estos usuarios ya no están en la red corporativa, la superficie de ataque cambia e introduce un nuevo riesgo ”, dice Partlow. "Dirija sus pruebas en su nueva fuerza de trabajo remota, tanto para los nuevos controles como para los procedimientos de respuesta a incidentes, a través de una prueba de lápiz o para identificar mejor sus brechas en medio del cambiante panorama de amenazas, simulaciones de ataques continuos".
Revise periódicamente las políticas de seguridad y otras políticas técnicas, aconseja Gamblin de Kenna Security: cada seis meses más o menos es una buena regla general. La situación actual subraya esa necesidad continua y la acelera en muchas organizaciones.
"Las políticas deben evolucionar constantemente a medida que su empresa crece y madura", dice Gamblin. "Siempre debe buscar formas de aplicar partes de sus políticas que solo estén controladas por procedimientos con nuevos controles técnicos cuando tenga sentido".
