En la actualidad, muchas compañías tienen más trabajadores remotos, lo cual implica más entornos no vigilados y computadores no verificados, incluida la posibilidad de equipos de terceros utilizados por personas que no son empleados y que comparten redes domésticas con el personal de la empresa, lo cual supone otras amenazas de seguridad.
Ante ello, las pruebas de penetración (o ‘pen testing’) consisten en diseñar y realizar ataques contra los sistemas de seguridad de una compañía para detectar sus vulnerabilidades. Así se puede evaluar la seguridad de esta y saber si un ciberatacante tendrá éxito a la hora de cometer el delito.
En este sentido, realizar este tipo de pruebas en los trabajadores remotos podría considerarse una exigencia en el camino a blindarse totalmente de una amenaza cibernética. Para que esta estrategia sea eficaz, debe sondear todos los lugares por los que pasa el tráfico corporativo, que puede incluir hasta los computadores personales y los equipos de terceros.
Bajo este panorama, los directores de seguridad de la información y sus equipos deben preguntarse si deben, ya sea por razones legales o por respeto a los deseos de sus empleados, tener el permiso explícito del usuario final antes de recopilar datos en sus dispositivos personales o en su red doméstica. Así pues, los departamentos de TI hoy no solo deben preocuparse por los dispositivos informáticos de la compañía sino también los personales, las redes domésticas y los routers de terceros. Así como los sistemas de alarma de seguridad domésticos y los asistentes digitales. También, en esta misma línea, deben considerar cómo se verán afectadas las pruebas de penetración si se incluyen los teléfonos fijos y celulares personales.
“Las pruebas para detectar vulnerabilidades de vishing y smishing (phishing de voz y SMS) pueden afectar a las leyes locales, por lo que los profesionales de la seguridad deben tenerlo en cuenta. De hecho, las restricciones legales relativas a los derechos y la privacidad de los empleados, así como las regulaciones en torno a la propiedad, deben explorarse a fondo al reconfigurar los enfoques de las pruebas de penetración”, comenta Fernando Fontão, gerente regional de Canales para BeyondTrust.
Sin embargo, sigue siendo vital que los profesionales de la seguridad que ahora supervisan estos entornos híbridos busquen alternativas que les garanticen un entorno seguro para sus datos. Las pruebas de penetración de, por ejemplo, las vulnerabilidades de phishing, siguen siendo viables y no deberían entrar en conflicto con los marcos legales. En este caso, la organización se limita a enviar correos electrónicos a los empleados para observar su comportamiento y categorizar en términos de riesgo. Las medidas adoptadas para rectificar este riesgo son competencia de los responsables de la toma de decisiones.
Además, si los pen testers pueden idear un método para garantizar que solo el empleado responda a la llamada, entonces no hay nada que impida las pruebas de vishing, en los que el personal de seguridad se hace pasar por clientes, proveedores u otras partes asociadas con el papel del empleado y trata de atraerlos para que se desprendan de información sensible a través de llamadas de voz. Lo mismo ocurre con el smishing, sobre todo porque es más fácil garantizar el destinatario de un SMS y, por tanto, saber que está dentro del ámbito de la prueba de penetración. Saber cuántos empleados responderían a un texto o harían clic en un enlace de un SMS es vital para evaluar el riesgo.
Los directores de seguridad de la información y sus equipos deben ser conscientes de los retos que presenta el mundo de la TI híbrida. Se enfrentarán a restricciones jurisdiccionales y de política interna que limitan el alcance de las pruebas de penetración, por lo que deben adaptar sus métodos para obtener una imagen clara del riesgo corporativo. Esto hace que sea necesaria una buena gestión de las políticas, una formación exhaustiva en materia de seguridad y una sólida planificación de contingencias, para absorber el impacto de lo desconocido.