Una mujer teclea el ordenador portátil que utiliza para trabajar en casa

Recomendaciones de seguridad de una red VPN para la empresa y el trabajador

La implantación del teletrabajo o un modelo híbrido comporta que las empresas ajusten sus estructuras organizativas para funcionar correctamente en conceptos de productividad. Con personas realizando sus funciones desde diferentes puntos y no en la oficina, es necesario que se tomen medidas de seguridad para que no se produzca ningún agujero y se escape información sensible de la compañía y el empleado.

Una Red Privada Virutal (VPN por sus siglas en inglés, Virtual Private Network) permite que se produzca una conexión segura entre los miembros de la empresa que se encuentran en remoto, a través de técnicas de cifrado que impiden que la información trasmitida se pueda interceptar o manipular. Otra medida de seguridad se encuentra en que únicamente se proporciona acceso a aquellos usuarios que están autorizados.

Para evitar que se produzca algún fallo de seguridad informática, el Instituto Nacional de Ciberseguridad realiza una serie de recomendaciones para que exista un acceso seguro en la transmisión de datos, para que el trabajador pueda ingresar de manera remota con total garantía en la protección de la información como si estuviera en la oficina.

Siempre existen riesgos y amenazas por parte de ciberdelincuentes cuando se utiliza internet. Para tener el grado máximo de privacidad se deben tomar todas las medidas necesarias ante ataques y vulnerabilidades, para proteger los equipos de hardware y software ante virus, malware o cualquier tipo de programa malicioso que se intente introducir y que puede comportar el robo de datos, dinero o estropear los dispositivos que utilizamos.

Servicios de VPN

Las redes VPN se pueden desplegar a través de servicios de terceros o que lo haga la propia empresa, por lo que tendrá diferentes características.

Cuando se utiliza una VPN de terceros el proveedor se encarga del despliegue, la configuración y la seguridad de la red. Esto permite a la empresa poder trabajar con más rapidez, pero depende del servicio de la compañía contratada en el mantenimiento y la gestión de la infraestructura. Como garantía se recomienda que se firme un acuerdo de confidencialidad y de nivel de servicios con el proveedor.

Los costes son más elevados en el caso que se decida desplegar la red VPN en la empresa. Pero tiene el punto a favor de controlar del todo la seguridad y que la velocidad de internet no se vea afectada por cortes en el servicio ajenos a la empresa y por ahorrarse en la nube las conexiones de intermediarios.

Ventajas de una VPN

Existen una serie de beneficios en los dos modelos de acceso a la información de la empresa y la transmisión de datos respecto a si se efectúa sin una red VPN.

Verificación del usuario: un certificado de intercambio con el servidor proporciona la comprobación y la confirmación.

Totalidad de datos: los hashes que se utilizan posibilitan que la información que se transmite no sufra cambios entre el emisor y el receptor.

Privacidad: la utilización de técnicas de cifrado permite que no se pueda acceder a los datos.

Red interna de la empresa: se aplican al usuario las mismas condiciones de seguridad y de permisos de acceso como si estuviera en el ordenador de la oficina.

Seguridad en las redes abiertas: da las mismas garantías de protección en el momento de utilizar una red wifi pública no segura gracias al cifrado y al encapsulamiento de los datos.

Elección de una red segura

A la hora de elegir una VPN se deben tener en cuenta una serie de características, que se amolden a las necesidades que se tienen como empresa y el uso que se le dará. Estas circunstancias hacen que se deba incidir en el protocolo que se utilizará y el tipo de cifrado,  que marcarán la seguridad que se garantizará y la velocidad con la que se podrá operar.

Según las necesidades se hará la elección del protocolo, ya que para la transmisión de datos de poca confidencialidad se pueden utilizar los más rápidos y menos dificultosos para introducir. Los tipos de cifrado más seguros son:

LP2TP/IPSec: esta combinación garantiza la seguridad de la conexión con un cifrado de 256 bits. En el caso de utilizar claves precompartidas, conocidas por emisor y receptor previamente, no se valoran seguras.

SSTP: tiene un cifrado de 256 bits y certificados seguros SSL/TLS de 2048 bits. Garantiza una buena seguridad.

OpenVPN: como el propio nombre indica, es un protocolo de código abierto. Esto permite que la comunidad de desarrolladores puedan corregir de forma rápida y precisa cualquier fallo que se produzca. Está valorado como de los más seguros, con un cifrado AES a 256 bits y una autenticación RSA a 2048 bits.

Recomendaciones de utilización de una VPN

Pautas de la empresa para mantener la red segura:

Monitorizar las direcciones y filtrar el tráfico: permite ganar en seguridad y poder actuar de manera más eficaz y rápida en caso de alguna incidencia.

Utilización de algoritmos de cifrado seguro: dependiendo del nivel de privacidad que se necesite, debe ir del SHA-256 con AES 128/256 al SHA-384.

Examinar los ajustes predefinidos: especialmente en los servidores, preservando una política de contraseñas seguras para dispositivos y usuarios.

Suprimir los algoritmos que no se usen en servidores: así se evita que se pueda producir una negociación del protocolo de cifrado.

Actualizaciones de hardware y software: deben realizarse cuando aparezcan para que no se produzcan vulnerabilidades en los aparatos, programas y aplicaciones.

Pérdidas de DNS: realizar una comprobación periódica para asegurarse que el servidor preserva la seguridad o se ocasiona alguna fuga por DNS que no se especifican en la configuración inicial original.

División de la red: permite que solo esté expuesta una parte de la red y no toda en caso que se produzca un acceso no autorizado.

Desactivar accesos: aquellos ingresos que no vayan tunelizados deben eliminarse para que desde fuera de la red corporativa se pueda producir una entrada a la información.

Usar el doble factor de autenticación: posibilita de manera más segura la identificación de un usuario que utilizará la red VPN.

Pautas de uso para el trabajador

Las herramientas de conexión de la VPN y el sistema operativo deben permanecer siempre actualizados.

También deben permanecer actualizados el software antivirus y antimalware.

Utilizar una cuenta de usuario que solo sea para trabajar con la VPN y que no tenga privilegios de administrador.

Para ganar en seguridad la conexión debe hacerse por cable Ethernet y no por wi-fi.

Ante la sospecha de cualquier fallo de seguridad o incidencia en el funcionamiento y la privacidad se tiene que contactar rápidamente con el departamento informático de la empresa.

Sugerencia para la seguridad

A modo de conclusión, el Instituto Nacional de Ciberseguridad recomienda que para evitar cualquier amenaza en la seguridad y la protección de datos se utilice cualquier protocolo que ponga en práctica un cifrado AES a 256 bits con autenticación SSL/TLS de 2.048 bits, permitiendo que se produzca un equilibrio entre seguridad y velocidad.

También es necesario efectuar todas las actualizaciones que esté a disposición para evitar ataques y vulnerabilidades que se puedan producir.

Deja un comentario