miguels banner

Por qué las corporaciones necesitan dar a los empleados VPN personales

A fines del año pasado, el Subcomité de Supervisiones e Investigaciones del Comité de Comercio y Energía de la Cámara de Representantes publicó su informe de Estrategia de Seguridad Cibernética, que comienza observando que las estrategias de TI actuales no están funcionando. A continuación, establece los pasos para apretarlos. Una pequeña parte de este enigma de la seguridad cibernética es garantizar que los empleados no proporcionen sin darse cuenta la entrada a la nave corporativa cuando viajan por negocios mientras navegan por la web en su tiempo personal.

Los viajeros de negocios frecuentes en la actualidad deben viajar armados y preparados para proteger los datos corporativos de los ataques cibernéticos. Por lo general, las empresas proporcionan a sus empleados itinerantes una VPN (Red privada virtual) corporativa, que bloquea la conexión del empleado a los servidores de la red de la empresa cuando utilizan wifi público, como en un aeropuerto o en una habitación de hotel. Pero las empresas también deben proporcionar a sus empleados que viajan con una VPN personal. Ambos son críticos para una estrategia de “Defensa en profundidad”.

Este es el por qué:

No desea que los empleados realicen negocios privados en su VPN corporativo porque no puede predecir a qué sitios eligen acceder, el contenido que eligen para transmitir o lo que desean reenviar. Algunas compañías restringen fuertemente el acceso en su red corporativa a un subconjunto de sitios, pero esto no siempre es posible debido a la naturaleza de algunos trabajos. Si los empleados participan en actividades desagradables o ilegales a través de la red corporativa, la empresa podría estar en riesgo.

A la inversa, los empleados quieren autonomía en su tiempo de inactividad, por lo que es menos probable que realicen sus negocios personales en la VPN corporativa (lo que debería estar prohibido). Pero cuando los empleados abandonan las redes privadas y usan wifi público en aeropuertos, habitaciones de hotel y cafés, se convierten en un vector de ataque de “terceros” para su empresa. Esencialmente, son presa fácil no solo para que su información privada sea robada y utilizada por los delincuentes cibernéticos, sino como objetivos para la propia corporación.

A pesar de que su riesgo ha sido bien publicitado, el wifi gratuito es un hábito que es difícil de romper. Me sorprendió aprender de un artículo reciente de PC Magazine, que cita estadísticas de un estudio del Pew Research Center, que a pesar de que la mayoría de la gente dice que usaría una VPN debido al riesgo de wifi, su deseo de acceder al contenido, desde el banco cuentas a sus perfiles de Amazon: eclipsa cualquier preocupación por la seguridad: solo el 29% en el estudio ha usado alguna por razones personales.

Así que supongamos que sus empleados utilizan redes públicas sin cifrar. Los delincuentes cibernéticos podrían encontrar información sucia sobre esa persona y chantajearla para obtener acceso a sus datos corporativos. Si los empleados usan su computadora corporativa para uso personal a través de wifi pública, los piratas informáticos podrían obtener acceso al historial de búsqueda corporativa anterior o a los archivos temporales que se descargaron para empresas. El escenario menos dramático y más probable es que su empleado esté utilizando la misma contraseña para sus cuentas corporativas y personales (una práctica común), y el pirata informático que escucha el tráfico de la red roba la contraseña de la cuenta personal. Los ciberdelincuentes utilizarán esa información con éxito para intentar acceder a la red corporativa.

Como un hacker de Blackhat reformado e investigador de seguridad en Stanford y MIT, estudio y uso la cadena de ciberataques, que es una metodología de cómo los hackers se introducen en los sistemas. Los piratas informáticos pasan la mayor parte de su tiempo en el reconocimiento, analizando qué información necesita para acceder a los servicios corporativos. Las contraseñas de los empleados son fáciles de atrapar.

Si cree que el riesgo de estos escenarios es bajo, sería incorrecto. Es la realidad de nuestro mundo actual, y las repercusiones son terribles. Los viajeros corporativos a China, por ejemplo, son objetivos principales. Los ciudadanos estadounidenses que viajan a China y se conectan a una red allí serán espiados. El gobierno está tratando de obtener información sobre el empleador de esa persona para el espionaje corporativo (algo que China ha sido acusado una y otra vez). Se recomienda a los viajeros de negocios a China que traigan dispositivos de quemador. Pero, ¿y si su empleado está en China por placer? Sin una VPN personal, su empresa todavía está en riesgo.

Esto no es una solución completa; Las VPN son una pequeña parte del rompecabezas de la seguridad cibernética total. Y, aunque no puedo decir con certeza con qué frecuencia las corporaciones han sido derrotadas a través de redes desprotegidas, ¿qué compañía publicaría tal incumplimiento? – Ciertamente ha sucedido. Las corporaciones estarían bien atendidas con una estrategia de “Defensa en profundidad” que proporciona capas de protección. Minimizar el riesgo de terceros que tienen sus empleados mientras están fuera del horario de trabajo pagando una VPN personal para ellos es un nivel adicional de seguridad para su organización. Puede comercializarlo como un beneficio para ellos, pero en realidad, es para la protección de su empresa.

Comparte este artículo:
Avatar

Miguel Llerena

Autor desde:  12/12/2017

No dudes en contactarme si necesitas ayuda tranformando tu empresa al mundo digital.