Guía de Seguridad del NIST para un marco de teletrabajo, acceso remoto y el BYOD (Bring Your Own Device)

-

¿Qué es NIST?

El Instituto Nacional de Estándares y Tecnología (NIST) fue fundado en 1901 y ahora forma parte del Departamento de Comercio de los Estados Unidos. NIST es uno de los laboratorios de ciencias físicas más antiguos del país.  La misión de este instituto es promover la innovación y la competencia industrial en Estados Unidos mediante avances en metrología, normas y tecnología de forma que mejoren la estabilidad económica y la calidad de vida.

¿Cómo me pueda ayudar NIST con el marco de trabajo remoto en el contexto de seguridad de la información para mi empresa?

NIST tiene pautas sobre el teletrabajo y el acceso remoto para ayudar a las organizaciones a mitigar los riesgos de seguridad asociados con las tecnologías empresariales utilizadas para el teletrabajo, como servidores de acceso remoto, los dispositivos cliente de teletrabajo (los dispositivos de los usuarios o empleados que se conectan al servidor) y comunicaciones de acceso remoto.

La publicación descargable: “Guía para el teletrabajo empresarial, acceso remoto y seguridad para traer su propio dispositivo (BYOD)” se emitió en 2016, y sus recomendaciones siguen siendo relevantes hoy en día más que nunca. Como resumen, el documento explica la siguientes medidas de seguridad:

1.- Desarrollar y hacer cumplir una política de seguridad de teletrabajo, como tener niveles escalonados de acceso remoto

2.- Requerir autenticación de múltiples factores para el acceso a la empresa en sus servidores remotos

3.- Uso de tecnologías de cifrado validadas para proteger las comunicaciones y los datos almacenados en los dispositivos del cliente

4.- Asegurar que los servidores de acceso remoto estén protegidos de manera efectiva y se mantengan completamente actualizados

5.- Asegurar y auditar los controles de seguridad de todo tipo de dispositivos de teletrabajo (los dispositivos que usarán los trabajadores para acceder a los servidores remotos o procesos cloud de la empresa), incluidas computadoras de escritorio y portátiles, teléfonos inteligentes y tabletas, contra amenazas comunes.

Planifique las políticas y controles de seguridad relacionados con el teletrabajo basándose en el supuesto de que los entornos externos contienen amenazas hostiles

Una organización debe asumir que las instalaciones, redes y dispositivos externos contienen amenazas hostiles que intentarán obtener acceso a los datos y recursos de la organización.

Las organizaciones deben asumir que las partes malintencionadas obtendrán el control de los dispositivos del cliente de teletrabajo (colaboradores en teletrabajo) e intentarán recuperar datos confidenciales de ellos o aprovechar los dispositivos para obtener acceso a la red empresarial. Las opciones para mitigar este tipo de amenaza incluyen encriptar el almacenamiento del dispositivo, encriptar todos los datos confidenciales almacenados en los dispositivos del cliente y no almacenar datos confidenciales en los dispositivos del cliente. Para mitigar las amenazas de reutilización de dispositivos, la opción principal es utilizar una autenticación fuerte, preferiblemente multifactor, para el acceso empresarial.

Las organizaciones también deben asumir que las comunicaciones en redes externas, que están fuera del control de la organización, son susceptibles de escuchas, intercepciones y modificaciones. Estos tipos de amenazas pueden mitigarse, aunque no eliminarse, mediante el uso de tecnologías de encriptación para proteger la confidencialidad e integridad de las comunicaciones, así como la autenticación de cada uno de los puntos finales entre sí para verificar sus identidades.

Otra asunción importante es que los dispositivos del colaborador en teletrabajo se infectarán con algún tipo de malware. Los posibles controles para esto incluyen el uso de tecnologías antimalware, soluciones de control de acceso a la red que verifican la seguridad del colaborador antes de otorgar el acceso, y una red separada en las instalaciones de la organización para los dispositivos del colaborador en teletrabajo incorporados para uso interno.

Descarga completa la Guía para el teletrabajo empresarial, acceso remoto y seguridad para traer su propio dispositivo (BYOD)

Conclusión

Hacer que los recursos de una organización sean accesibles de forma remota permite el teletrabajo pero también aumenta el riesgo de seguridad. Las organizaciones deben considerar cuidadosamente el equilibrio entre los beneficios de proporcionar acceso remoto a recursos adicionales y el impacto potencial de un compromiso de esos recursos. Para mitigar el riesgo, las organizaciones deben asegurarse de que los recursos internos que elijan poner a disposición a través del acceso remoto para fines de teletrabajo estén reforzados contra las amenazas externas y que el acceso a los recursos se limite al mínimo necesario.

Si tu organización necesita ayuda para implementar controles de seguridad de la información, con gusto podemos ayudarte, mándanos un correo para contactarnos y conocer tus necesidades y requerimientos.

Share this article

Recent posts

La libertad se fundamenta en la privacidad

La libertad empieza con la planeación y contención de los riesgos más allá de la confianza o discreción de la persona en casa.

Nulas y malas prácticas de privacidad, generan brechas de seguridad en todas las organizaciones.

Un estudio a más de 11 mil sitios web, ha demostrado que las organizaciones con malas o nulas prácticas de privacidad tienen un 80% más de probabilidades de sufrir una filtración de datos.

El ransomware se ha convertido en la mayor amenaza cibernética del mundo!

Los ataques de ransomware siguen siendo un gran negocio para los criminales, los avances en la tecnología como la Inteligencia Artificial y los modelos de negocio como el Ransomware as a Service (RaaS), ha permitido que con $50 USD y un poco de conocimiento en computación, cualquier persona se convierta en un cibercriminal.

Sextorsión + Deepfake – Una mezcla peligrosa que generó una amenza de “destrucción masiva” de vidas de jóvenes y adultos en el cibermundo.

Con los avances en IA y Deep Learning, solo es cuestión de tiempo para que las personas resulten en una posición en la que otros suplantan su identidad. No hay diferencia entre alguien hackeando la cuenta de un “famoso” o alguien hackeando a la persona que está en la fila del supermercado. Solo depende de si alguien tiene o no el deseo de apuntarle. - Scarlett Johansson - Víctima de deepfake

Cibervigilancia laboral. La polémica aplicación Hubstaff que ayuda a las organizaciones a “espiar” los movimientos de los empleados a cada segundo en el teletrabajo.

Hubsatff, un “agente” informático que da seguimiento a profundidad de los movimientos de los empleados a cada segundo.

Popular categories

Leave a reply

Please enter your comment!
Please enter your name here

Recent comments