Puede ser un cambio en la gestión o incluso una emergencia, como una pandemia mundial. Podría ser un par de empleados llevándose sus PCs a casa, o cientos de ellos. El hecho que el trabajo remoto se esté volviendo obligatorio para un gran porcentaje de personas puede ser peligroso para cualquier organización, ya sea grande o pequeña, preparada o no.
Y no es realmente peligroso debido a su naturaleza –después de todo, aquí en Prey algo sabemos de trabajo remoto– sino porque las operaciones, independientemente de su escala, tienen que seguir funcionando sin fallas. Ahí es donde sobresalen nuestros gerentes de TI y los administradores de sistemas, especialmente en esta pandemia de COVID-19. Un mundo en el que se hace difícil trabajar puede ser una pesadilla para quienes aseguran y administran los dispositivos que utilizamos todos los días.
En el mundo corporativo, hay un par de conceptos que generalmente van de la mano: Business Continuity (“Continuidad de Negocio”) y Disaster Recovery (“Recuperación ante Desastres”). Por un lado, Business Continuity se trata de mantener todas las áreas de nuestra empresa funcionando, respecto a cualquier factor que pueda interrumpir nuestro trabajo diario. Por otro lado, Disaster Recovery se preocupa por la infraestructura vital de las operaciones del negocio. Ambos van de la mano cuando ocurre un desastre. Y aunque la recuperación ante desastres puede ser importante en una crisis viral como la que tenemos hoy, el plan en el que cada CIO o Gerente de TI se está centrando ahora es la continuidad del negocio. De hecho, puede ser aún peor: podría no haber un plan.
En ese escenario, donde una gran cantidad de personas tiene que trabajar desde casa inesperadamente, es donde surgen las preguntas. ¿Cómo gestionamos nuestros equipos y equipos remotos? ¿Qué ocurre con nuestros servidores? ¿Nuestra seguridad? ¿Nuestro acceso a una red privada? ¿Qué pasa con Juan en Contabilidad, que tiene un gran PC de escritorio y no puede llevárselo a casa? Cualquiera de esas preguntas puede ser una pesadilla para cualquier TI, y tiene varias ramificaciones sobre la seguridad y la administración. Lo sabemos. Hemos estado ahí.
Es por eso que hemos compilado una guía muy general sobre esos temas que nosotros –y otros administradores de sistemas enojados y estresados en Reddit y otras plataformas– creemos que es importante tener en cuenta, porque las cosas se pondrán muy mal, muy pronto.
En el mejor de los casos, te conviertes en el héroe de tu oficina; en el peor, todo se va al traste inevitablemente, pero al menos alguien –digamos, tú– los advirtió a todos con antelación. En ese caso, no estamos seguros si te seguirán considerando como empleado del mes.
¿Puede nuestro personal trabajar remotamente?
Esta pregunta está en primer lugar. Las oficinas modernas tienen una gran cantidad de profesionales muy distintos: administración, desarrollo, finanzas, contabilidad, diseño, marketing… por lo que sus necesidades respecto a los dispositivos son muy amplias. Sin embargo, si dejamos fuera de la ecuación a los que tienen necesidades tecnológicas específicas (no Javier, no podemos mover el plotter de la oficina a tu departamento, no insistas), nos damos cuenta de que la mano de obra remota es bastante homogénea: necesitamos un computador y acceso a internet. Nos encargaremos del equipo más tarde; primero, hay que pensar en el acceso remoto, la seguridad de los dispositivos y las barreras físicas para los equipos críticos.
¿Nuestro sistema está diseñado para admitir acceso remoto? La mayoría de los administradores de TI están acostumbrados a las configuraciones físicas: una red segura, políticas, RDP/VNC (para acceder y manejar un dispositivo de forma remota) y comunicación, todo entre computadoras generalmente conectadas a la misma red. ¿Qué pasa cuando todos se llevan su dispositivo a casa? Los privilegios de controlar la red desde el interior se pierden, por lo que todos –especialmente tú– se dan cabezazos contra la pared cuando se necesita hacer un cambio menor.
El mejor consejo para esto, dada la celeridad de la situación, es limitar tanto como sea posible quién puede conectarse a su red segura y usar siempre protocolos de cifrado (como SSH) si se trata de información sensible en dispositivos de trabajo remoto.
El mismo principio se puede aplicar a soluciones de terceros para acceso remoto. Por ejemplo, si es necesario configurar una alternativa VNC –como el vapuleado Teamviewer– asegúrate que esté totalmente encriptada y con una conexión a internet segura en ambos extremos.
¿Hay suficiente capacidad para las necesidades de acceso remoto de nuestros empleados? Lo más probable es que si se trata de dispositivos en una organización de mediana o gran escala, probablemente exista una VPN segura para que cualquier usuario remoto se conecte. Asimismo, esa VPN puede provenir de proveedores conocidos, como Cisco o Citrix, que a veces varían sus tarifas según la cantidad de dispositivos conectados o el ancho de banda total. Hay que tener eso en mente.
Hablando de ancho de banda, y especialmente si se tiene servidores o dispositivos críticos, hay que preguntarse: ¿Es capaz nuestra conexión a Internet de la oficina de mantener múltiples conexiones desde el exterior? Una llamada con nuestro proveedor de internet o telco puede resolver muchos problemas en el futuro.
¿Tienen nuestros empleados una conexión a internet? Lo sabemos: el acceso a Internet es algo que se da por sentado en estos tiempos. Sin embargo, ciertas telcos en todo el mundo ofrecen conexiones de calidad deficiente. Esto puede poner en aprietos a cualquier servicio de trabajo remoto, como videoconferencia, transferencia de archivos o incluso conexiones VPN. Asegúrate que los usuarios finales tengan una conexión estable por cable, o considera espacio en el presupuesto para internet a través de 4G para usuarios específicos.
¿Necesitamos acceso físico a los servidores? La mayoría de los gerentes de TI tienen soluciones para esto, especialmente en términos de virtualización: la mayoría de los racks se pueden administrar de forma remota y se pueden escalar si es necesario. De todas maneras, otros pueden tener un problema diferente: los backups. Algunos datacenters y empresas en procesos de compliance tienen una o varias LTO: máquinas que respaldan información crítica en cintas de alta capacidad (¡Sí, cintas!).
Bueno, no exactamente ESTAS cintas.
La mayoría de las copias de seguridad en cinta son manuales, por lo que se debe quitar una o varias cintas del rack y almacenarlas en un lugar seguro, generalmente una caja fuerte. Si tu organización utiliza este método de respaldo –y tú eres el responsable– probablemente exista un protocolo determinado. A ese respecto, y debido a nuestras recientes circunstancias virales, tú podrías ser el elegido para realizar esa tarea de manera presencial.
En cualquier otro caso, y si ya has estado administrando servidores de manera remota durante años, vete a casa. Si tu jefe dice lo contrario, siempre puedes pedirle un poco de ayuda como este administrador de sistemas en Reddit.
¿Nuestro personal tiene todo lo que necesita para trabajar de forma remota?
Esta es una piedra angular del trabajo remoto: ¿Cómo podemos trabajar desde casa si no tenemos el equipo para hacerlo? En una alta cantidad de casos este equipo proviene de la oficina, por lo que varios empleados –o la mayoría– fueron a trabajar el lunes, agarraron computadoras portátiles, monitores y accesorios, y se fueron a casa. En otros casos, especialmente en las pequeñas empresas, puede existir un enfoque BYOD: trabaja con lo que tienes en casa. Abordaremos el primero, ya que no existe una política segura sobre BYOD, particularmente en empresas con políticas o modelos zero trust.
Si hablamos de equipos de oficina, las dos preguntas más preocupantes caen de cajón: ¿Tenemos suficientes dispositivos para satisfacer la demanda de trabajo remoto? Y por otro lado, ¿Están seguros los que ya tenemos?
Con respecto a la demanda de dispositivos, es importante ser lo más transparente posible con la adquisición de equipos, software, piezas y reparaciones. ¿Todos tienen un dispositivo para trabajar? Si no es así, alguien debería comprar los equipos que se necesitan. ¿Tú manejas ese presupuesto o alguien más? Hay que trabajar muy de cerca con esa persona y/o equipo, para asegurarse que todos tengan las herramientas que necesitan. Existe otra situación posible: gerencias adquiriendo dispositivos sin consultar al Gerente de Sistemas, algo bastante plausible. Sin embargo, si hay algún tipo de problema con esos dispositivos buscarán tu ayuda de todos modos para repararlos, así que hay que estar muy atento a cualquier compra.
Hablando de estar atentos, existe una gran posibilidad de que muchos dispositivos se dañen con el tiempo. El desgaste es bastante normal en cualquier dispositivo, pero un entorno de trabajo remoto puede tener otras amenazas. Las comidas y bebidas, las mascotas, el uso poco ortodoxo –como usar una laptop mal ventilada en la cama– y los accidentes domésticos son mucho más comunes, especialmente si el usuario final no es muy cuidadoso o no está acostumbrado a la cultura de trabajo remoto.
Una regla general para una organización mediana o grande es tener un dispositivo de repuesto por cada diez trabajadores. Asegúrate que estos reemplazos estén a disposición de los empleados: no sirve de nada si nuestro técnico de sistemas los tiene todos al otro lado de la ciudad. Si tú eres ese técnico de sistemas, considera dejar al menos un par de PCs de respaldo en la oficina –de modo que los empleados puedan acceder a él si lo necesitan de manera urgente– y obtener un salvoconducto para moverse y ayudar al resto de los empleados a domicilio. En la mayoría de los países la ley está imponiendo cuarentenas totales, pero –dependiendo de tu ubicación– puede ser posible solicitar un salvoconducto o permiso de tránsito en función del plan de continuidad comercial de tu organización. Esto es mucho más sencillo si tu empresa maneja infraestructura crítica.
El mismo principio se puede aplicar a las piezas de repuesto. Todavía hay tiempo para acumular y guardar discos duros, tarjetas de memoria RAM, pantallas y cables, con la finalidad de distribuirlos si surge algún problema.
Todos esos acumuladores de memorias RAM viejas tenían razón.
Al igual que los dispositivos, las aplicaciones y los datos también son un rompecabezas. Un dolor actual en la comunidad de administradores de sistemas es la falta de conocimiento informático de la mayoría de los usuarios, hasta el punto en que los TIs se matan tratando de hacer que un empleado actualice su firewall y permisos, en la mayoría de los casos por teléfono. No podemos enfatizar esto lo suficiente: asegúrate que cada PC que mandes a trabajo remoto esté absolutamente lista.
Ten en cuenta que se debe enfrentar los desafíos que plantea un usuario exigente, y muchas veces descerebrado. Piensa en todo: solución antivirus instalada y actualizada, VPN configurada, firewall levantado, las aplicaciones que necesita el empleado instaladas y actualizadas y, si es posible, un backroll persistente.
El último desafío tiene un precio: como administrador de sistemas, gerente de TI o incluso CIO, se tiene la responsabilidad de cuidar el equipo en diferentes niveles. Ahí es donde se necesita un enfoque más granular, especialmente en empresas que aún temen que sus empleados trabajen –o mejor dicho, que no trabajen– desde casa. Por ejemplo, una pequeña empresa de bienes raíces que quiere controlar dónde están sus dispositivos, a qué horas se usan y cómo.
Este problema se puede resolver con una solución de administración de dispositivos móviles, según las necesidades específicas de la fuerza laboral. Si algún nivel gerencial solo quiere registrar dispositivos, redes a las que están conectados y su uso, hay soluciones ligeras disponibles. De lo contrario, es posible que se necesiten opciones más caras y robustas.
¿Podemos mantener un nivel aceptable de ciberseguridad?
¡Ya casi terminamos! Si bien las dos primeras preguntas pueden ser resueltas por una gran mayoría de profesionales de sistemas, ésta es la que requiere la mayor cantidad de paciencia y habilidad técnica. Gran parte de estos problemas son omnipresentes y no tienen que ver necesariamente con el trabajo remoto: tener una solución antivirus, a menos que estemos usando Linux , debería ser un requisito legal. Sin embargo, ha habido un montón de preguntas y problemas que surgen en foros y chats que también pueden ser un problema para ti o tu organización.
De este modo, ensamblamos una lista con los problemas más comunes que hemos visto y sus posibles soluciones.
¿Mi infraestructura crítica está segura contra trabajadores remotos inseguros? Con muchos dispositivos saliendo de la oficina, comienzan a aparecer grietas en el dique de seguridad. Como tal, es necesario verificar todo de antemano: cifrado del dispositivo, gestión de identidad y acceso (IAM), permisos de archivos y políticas. Se recomienda encarecidamente el uso de una VPN segura (ver más abajo).
Desde el punto de vista del usuario final, es fundamental reducir cualquier camino que un hacker pueda tomar para entrar en nuestro espacio. Recomendamos diseñar una guía para tus empleados, que incluya: almacenar contraseñas en un lugar seguro, revisar y mejorar la seguridad del router del usuario y la conexión a Internet, y usar autenticación multifactor para la mayoría, si no todos, los accesos de trabajo remotos. Establecer un modelo zero trust en tu organización de antemano es un paso muy seguro.
¿La conexión a Internet de mis empleados es susceptible a ataques? Extendiendo el primer caso, es posible haberse encargado de todas las imperfecciones en un endpoint, y aún así podría ser inseguro si la conexión a Internet lo es. La misma preocupación puede aplicarse a los dispositivos IoT –Internet of Things–. ¿Qué pasa si nuestra organización es hackeada por culpa de una ampolleta inteligente?
"Ampolletín, me traicionaste. ¡Y yo que te dejé entrar a mi casa!"
La clave para resolver esto es la seguridad del router. Gran parte de los desastres se pueden evitar con una contraseña WPA2 segura y acceso limitado a cualquier dispositivo IoT en el hogar del empleado. Si el mismo maneja información crítica, se necesita más profundidad: si es posible, verificar el router para ver si hay inicios de sesión inseguros, reglas DMZ extrañas y dispositivos conectados con direcciones MAC extrañas.
¿Es seguro controlar las computadoras de mis empleados de forma remota? Como dijimos anteriormente, cualquier acceso RDP o VNC a través de Internet, y no en una red interna segura, es arriesgado y se considera una mala práctica entre los administradores de sistemas. Sin embargo, puede ser necesaria una herramienta remota para reparar, parchar e incluso autorizar o realizar nuevas instalaciones.
Si te ves obligado a hacerlo, ten cuidado: use siempre protocolos con cifrado punto a punto y limita tu acceso remoto a sesiones cortas.
¿Son las VPN totalmente seguras? Ni por asomo. Informes recientes indican que ciertos puertos, asociados con proveedores como OpenVPN o SSL VPN están en riesgo de ser explotados: 1194 (OpenVPN), TCP / UDP 443 e IPsec / IKEv2 UDP 500/4500 (SSL VPN). En los próximos días, verifica los registros para ver si actores malintencionados no han accedido a esos puertos ni los han puesto en peligro.
¿Vale la pena la autenticación multifactor? Si cualquier filtración maliciosa arriesgaría tu negocio, es imprescindible que uses MFA para todo lo que puedas. Multifactor es el uso de varios ‘factores’ para demostrar tu identidad a un servidor, lo que significa que cada vez que un empleado inicia sesión, es él y no otra persona.
Hay varios proveedores de autenticación que admiten multifactor, utilizando herramientas gratuitas como Google Authenticator, servicios móviles patentados y otros factores como mensajes de texto, correos electrónicos y códigos de verificación. Asegúrate que tus empleados sepan cómo usarlo, para que no caigan en ninguna estafa de ingeniería social.
¿Estoy incumpliendo las reglas de compliance si implementamos trabajo remoto? Es posible, pero no debería ser así. Dependiendo a qué certificación nos estamos refiriendo, los requisitos pueden ser diferentes. Por ejemplo, SOC 2 necesita medidas estrictas de filtrado web que son sencillas de controlar en la oficina, pero más difíciles de bloquear cuando todos trabajan desde su hogar. Dicho esto, hay varios firewalls de aplicaciones web (WAF) que se pueden instalar y configurar en dispositivos de antemano para garantizar compliance. De hecho, es probable que todo el trabajo pesado ya se haya hecho tratando de obtener la certificación en primer lugar.
Conclusiones
La mayoría de lo que hemos compilado en esta guía puede ser conocimiento general para la mayoría de los administradores de sistemas. Es posible que hayas leído todo este artículo y hayas dicho: “¡Pero si ya sé todo esto!”. Aún así, incluso los más avezados en sistemas –o en trabajo remoto– deben estar conscientes: asegurar dispositivos es difícil, solitario y a veces malagradecido.
El mundo está en medio de una gran pandemia en estos días, y es en estos momentos en que los héroes detrás del telón se ponen por delante al desafío del trabajo remoto. Ser administrador de sistemas es un trabajo ingrato, por lo que esperamos que estos pasos generales para mantener la paz y el orden en estos tiempos de crisis sean útiles. Y oye, tal vez muéstrale esto a tu jefe para que por fin pueda tener una idea de lo difícil que es esto.
Buena suerte.
Norman Gutiérrez es Investigador en Ciberseguridad en Prey, compañía con 10 años de experiencia solucionando problemas asociados a la movilidad en todo el mundo. Además, Norman tiene una larga trayectoria como periodista de tecnología y tendencias digitales, con publicaciones en medios como FayerWayer y Publimetro Latinoamérica, entre otros. Entre sus pasiones, se cuentan los videojuegos, los juegos de mesa y la música.
