Seguridad en los nuevos entornos de trabajo: sencilla, fácil de gestionar por el usuario y que no se note

Por Marcos Paredes, CTO de Ozona Tech

¿Cómo encajar las necesidades de seguridad de la empresa con la experiencia de los usuarios? ¿Hacia dónde debería evolucionar la tecnología para crear puestos de trabajo seguros y fáciles de gestionar? ¿Con el teletrabajo se han incrementado los riesgos de seguridad?

En Ozona Tech mantenemos una interlocución constante con clientes de distintos sectores, tamaños y estados de madurez tecnológica. Esto nos permite tener una visión suficientemente amplia y actualizada de las necesidades, retos y objetivos de CIO y CISO cuando hablamos sobre la transformación del puesto de trabajo.

En el último año y medio se ha incrementado exponencialmente el teletrabajo, las ciberamenazas y los quebraderos de cabeza para los responsables de tecnología y seguridad. Una vez solucionados los retos de la continuidad de negocio, el siguiente reto fue hacer compatibles los protocolos de seguridad con el teletrabajo, máxime cuando en muchas ocasiones se utilizaban dispositivos personales no controlados.

Hace años hablar de Zero Trust era raro. Hoy se ha impuesto. Las políticas tienden a homogeneizarse e importa poco si el usuario está conectado en la oficina o en su casa. El objetivo es que el usuario trabaje de manera segura y perciba que lo hace en un entorno predecible y único independientemente del dispositivo y desde dónde se conecte.

El punto de acceso único

Poder trabajar de manera homogénea y coherente desde cualquier lugar es la base del puesto de trabajo híbrido. Teniendo en cuenta la situación actual, el buen resultado en términos de productividad que ha tenido el teletrabajo y cómo ha ayudado a las compañías a mantener su negocio, el modelo ha llegado – lo diremos una vez más – para quedarse.

Por eso, las compañías que superaron con éxito la fase de contingencia ya están inmersas en el siguiente paso: la consolidación de un modelo de puesto de trabajo flexible poniendo foco en garantizar la seguridad y la experiencia de usuario.

Que el usuario tenga una experiencia de uso adecuada es imprescindible en este nuevo modelo. Un usuario no debe tener que adaptar sus hábitos en función del dispositivo. Debe haber una capa de abstracción suficiente para que el dispositivo sea irrelevante en el desempeño de sus tareas. Es aquí donde llegamos a la definición de punto único de acceso: un “lugar” donde el usuario encuentra todas las aplicaciones, ficheros, información etc., que necesita para desempeñar su trabajo.

El punto único de acceso es la base para construir un entorno de trabajo híbrido o flexible. Además, incrementa de manera notable la seguridad, permitiendo homogeneizar las políticas de seguridad, aplicarlas en función de un indicador de riesgo y minimizando la superficie de ataque, idealmente, a un único punto. Y como última ventaja, aporta también una mejora en la percepción del usuario poco receptivo a los cambios en su entorno de trabajo y modo de acceso a la información.

Desde el punto de vista de IT, se debe trabajar en que la seguridad aplicada no se note, o impacte lo menos posible en el usuario. Es clave educar para que el usuario entienda que los atacantes siempre buscarán el eslabón más débil.

Todo esto conlleva una gestión del cambio adecuada con los usuarios, de manera que se sumen a las buenas prácticas con hábitos de uso seguros y animándoles a aceptar mejoras en la autenticación (aplicando N factores de autenticación en función del escenario de riesgo) de la misma manera que se asumen en la vida cotidiana, controles en los aeropuertos, etc.

Una vez puesto en marcha la estrategia de puesto flexible con los requisitos de seguridad y usabilidad adecuados, pasamos a la fase de explotación que debe llevar consigo un proceso de mejora continua para garantizar el funcionamiento adecuado a lo largo del tiempo. Para esto es imprescindible monitorizar.

La monitorización de infraestructura sigue siendo necesaria, pero no es suficiente. Es necesario llegar más allá, llegar a medir la experiencia del usuario para poder determinar si se está implantando con éxito el nuevo modelo de puesto de trabajo y también, si sus hábitos y costumbres son seguras o suponen un riesgo para la organización.

Incluso podemos ir un paso más allá. Podemos llegar a la monitorización del usuario para el propio usuario. Si un usuario tiene información e indicadores de cómo usa los sistemas, será más consciente y le resultará más fácil trabajar de manera productiva y sin prácticas de riesgo. Si la monitorización le indica que ha visitado sitios potencialmente peligrosos, el propio usuario puede reconducir su manera de actuar. Esto ayuda a la seguridad y a la percepción de seguridad.

En definitiva, el puesto de trabajo flexible plantea más retos culturales que tecnológicos. La tecnología existe y está madura. Un buen asesoramiento, una implantación basada en las buenas prácticas y una monitorización continua permitirá dotarse a las empresas de un modelo estratégico que incrementa la productividad sin comprometer la seguridad y, además, ayuda a la retención del talento.