Vés enrere

Les lliçons del teletreball a corre-cuita. Genís Margarit

Les lliçons del teletreball a corre-cuita. Genís Margarit

Genís Margarit, professor del Departament de Tecnologies de la Informació i les Comunicacions de la UPF

03.02.2021

 

Durant els darrers anys, quan una organització decidia teletreballar, els departaments TIC rebien un encàrrec molt arriscat. Fa temps que els sistemes d’informació disposen de mecanismes d’accés remot, però en la majoria de casos, només s’habilitaven per a usuaris amb experiència informàtica elevada, i que coneixien les mesures de prevenció que havien d’implementar.

Actualment, amb l’increment de persones que han de teletreballar, s’han activat per a tothom aquells procediments minoritaris i això provoca un augment considerable de la probabilitat de pèrdua o robatori de dades. Per tant, no s’hauria de generalitzar el teletreball sense un disseny que adeqüi i millori la ciberseguretat de l’organització, amb l’objectiu de protegir totes aquelles persones que no disposen de tantes destreses informàtiques.

Malauradament les presses que es van produir durant el març de 2020 no van permetre una planificació adequada i, en molts casos, es van haver d’obrir precipitadament els accessos remots a tothom que ho necessitava.

Les presses que es van produir durant el març de 2020 no van permetre una planificació adequada i es van haver d’obrir precipitadament els accessos remots a tothom que ho necessitava

Aquests mecanismes arriscats acostumen a ser dues fórmules ben conegudes en l’àmbit de les TIC. I que sempre s’intenten millorar amb mesures de seguretat addicionals.

La primera, mitjançant l’accés per escriptori remot als ordinadors dels llocs de treball. Un mecanisme que ja és reconegut com a insuficient per garantir la confidencialitat de la informació, i que continua sent un dels sistemes més dèbils i dels quals la ciberdelinqüència se n'aprofita contínuament.

Un dels ciberatacs més coneguts patits per aquest mètode d’escriptoris remots, i que va provocar greus conseqüències, va ser el del servidor de correu personal de Hillary Clinton. El servidor va patir una fuga d’informació quan era Secretària d’Estat dels Estats Units i va deixar al descobert el contingut dels correus electrònics personals i professionals.

La segona, mitjançant la utilització de xarxes privades virtuals (conegudes com a VPN) que només utilitzin un usuari i contrasenya per autoritzar un intent de connexió.

Malgrat que l’ús de les VPN implica un xifrat segur de les comunicacions, el problema resideix en l’ús exclusiu de la contrasenya com a mètode d'autenticació.

Des de fa anys, moltíssimes empreses (algunes d’elles líders d’Internet, com per exemple Linkedin, Twitter o Yahoo) han patit violacions de seguretat que han deixat accessibles les claus de centenars de milions de persones. Aquestes bases de dades són utilitzades recurrentment pel cibercrim perquè els permet provar accessos remots, als llocs de feina de les persones, coneixent els tipus de contrasenyes utilitzades en el passat. Un dels casos recents, i més il·lustratius, és el que ha afectat els laboratoris britànics que treballen en la recerca de la vacuna de la covid-19.

Les incidències patides en el teletreball forçós han de permetre que l'enginyeria aprengui unes quantes lliçons. S'ha de planificar el desplegament de les millores adequades per garantir els nivells de seguretat necessaris

Les incidències patides en el teletreball forçós han de permetre que l'enginyeria aprengui unes quantes lliçons. És comprensible que les urgències del març de 2020 requerissin configurar els mecanismes que hi havia a l’abast de cada entorn. Però, al mateix temps, s’havia de planificar el desplegament de les millores adequades per garantir els nivells de seguretat necessaris.

Malauradament, s’està observant que després dels ciberatacs patits aquelles primeres solucions temporals es van quedar com a definitives. Els entorns vulnerables i hackejats han augmentat de forma imprudent.

El sector TIC també ha de ser autocrític. Perquè la complicitat de l’enginyeria en permetre mecanismes de seguretat insuficients és indispensable. Sigui per falta d’ascendència en la presa de decisions corporatives o bé per manca de coneixements, s’ha d’assumir la transcendència professional de les decisions dels serveis i subministraments TIC. Darrera de cada ciberatac hi ha errades estratègiques. Les TIC han de deixar de ser vistes com un facility service i incorporar-se al core business.

Si les empreses integradores de solucions TIC pel teletreball s’oposessin a oferir solucions insegures es reduiria dràsticament la finestra d’oportunitat de la ciberdelinqüència. A llarg termini, cada fuga d’informació i bretxa de seguretat degut a una solució incompleta dilapida tota la feina i els esforços anteriors per part dels proveïdors TIC i va en contra del grau de confiança que la societat es mereix.

Una nova lliçó que també ens donen aquests mesos de teletreball és la necessitat d’augmentar la competència digital de les persones teletreballadores. Cada cop que s’ha investigat un ciberatac relacionat amb el teletreball s’han detectat errors humans. Un factor que es podria haver reduït si abans les empreses haguessin:

1) seleccionat quines persones eren capaces d’accedir remotament a la informació sense significar un risc de ciberseguretat.

2) ofert entrenament pràctic de l’entorn real a les persones escollides per teletreballar

3) verificat periòdicament, amb simulacres d’atac, que les persones teletreballadores no queien en els paranys d’Internet.

Cal orientar-se cap a un escenari on la persona sigui el lloc de treball. I on la custodia segura de la informació i l’accessibilitat a la xarxa sigui implícita a la persona i no al seu lloc de treball

D’ara en endavant, serà útil que cada entorn identifiqui si l’increment del teletreball és transitori o definitiu. En aquells que es consolidi seria útil replantejar i canviar la mirada en les inversions tecnològiques.

Cal deixar de prioritzar centres de processos de dades propis, servidors i estacions de treball potents o connexions a Internet d’alta qualitat per seus i demarcacions. I començar a orientar-se cap a un escenari on la persona sigui el lloc de treball. I on la custodia segura de la informació i l’accessibilitat a la xarxa sigui implícita a la persona i no al seu lloc de treball.

Multimèdia

Multimedia

Multimedia

Categories: