La pandemia de Covid-19 ha obligado a muchas empresas a utilizar una VPN para permitir el teletrabajo. Problema: no estaban necesariamente preparados. La causa: el infradimensionamiento de los servidores, la falta de formación y las malas prácticas. Charlie Le Hoangan*, experto en telecomunicaciones y formador de ORSYS, analiza la VPN, un dispositivo esencial para la estrategia de ciberseguridad de las empresas.
Si bien el teletrabajo era todavía una práctica aislada en Francia, la Covid-19 hizo que las empresas dieran un giro decisivo. En pocos días, la mayoría de los empleados, en su mayoría ejecutivos, que podían trabajar de forma remota vieron su entorno laboral trasladado a sus hogares.
Sin embargo, para permitir que todos sus empleados permanezcan en casa manteniendo el acceso a la red interna, una empresa sólo tiene una solución: la VPN. Para algunos ya está en funcionamiento, otros han tenido que reajustar su sistema al número de teletrabajadores... o incluso interesarse por él por primera vez. “Cuando llegó la crisis”, explica Charlie Le Hoangan, consultor y formador de ORSYS, “Las empresas no estaban preparadas. Hicieron lo que pudieron para adaptarse al teletrabajo cuando se vieron obligados a hacerlo y, con las prisas, simplemente experimentaron problemas logísticos. "
Proporcionar acceso a los empleados implica configurar un sistema tanto en las instalaciones de la empresa como en los ordenadores portátiles.
¿Qué es una VPN?
VPN, o “Red Privada Virtual”, no es una tecnología nueva. “Tenemos los medios técnicos para implementar el teletrabajo desde hace mucho tiempo. El problema viene más bien de la resistencia a nivel directivo”, precisa Le Hoangan.
Una VPN” se utiliza para proporcionar un uso privado de una red pública o compartida. En la práctica, la VPN permite al teletrabajador acceder a la red de su empresa a través de la red pública creando una tubería virtual segura. » La idea es que los teletrabajadores puedan acceder a las herramientas, aplicaciones o servidores de su empresa como si estuvieran físicamente presentes allí.
¿Confusión entre VPN “in situ” y VPN “en línea”?
A menudo se piensa que las VPN son herramientas en línea que le permiten permanecer anónimo en Internet. La confusión también sorprende a Charlie Le Hoangan: “El objetivo no es en absoluto el mismo. Lo que venden estos servicios de “VPN en línea” es anonimización; permiten al usuario que no quiere ser detectado o rastreado conectarse a través de un servidor que actúa como retransmisión. El término “VPN” en este caso es puramente comercial. »
¿VPN de tamaño insuficiente?
El uso masivo del teletrabajo ha generado en muchas ocasiones problemas de tamaño de las VPN. Ante este tipo de afluencia, la saturación de servidores es inevitable.
No se puede improvisar una VPN eficaz y duradera. “Para aumentar el número de accesos, la empresa se ve obligada a equiparse más, con equipos profesionales y servidores dimensionados para soportar miles de conexiones. Por tanto, debemos pasar de una simple instalación de software para un puñado de personas a equipos mucho más caros que ya no tienen nada que ver con ello. (…) La potencia informática necesaria para cifrar las comunicaciones es mucho mayor y debe realizarse con máquinas adecuadas. "
VPN en la práctica
A nivel de empresa
¿El primer problema? Conceptos erróneos comunes sobre la seguridad... “Una VPN no es necesariamente segura. Algunas técnicas sólo separan el tráfico. Utilizar una VPN segura significa que se han implementado técnicas de criptología para, de forma simplificada, cifrar los datos para que no puedan ser interceptados. »
Para ello, la empresa puede tener la solución de apoyarse en un operador. Así, para conectarse a la red de la empresa, los teletrabajadores pasarán por los sistemas del operador. Ellos son los que separarán el tráfico. Esto es lo que llamamos VPN "confiable". Pero para utilizar esta técnica de forma segura, la empresa también debe equiparse in situ. Es decir, para empezar, tener instalado un software cliente en los ordenadores de sus empleados. Permitirá un diálogo seguro con los servidores VPN instalados en el local (intercambio de claves, criptología, etc.). Una vez que todo esté listo, el teletrabajador sólo tendrá que activar el software instalado en su portátil.
A nivel individual
Individualmente, es igualmente importante tener algunas mejores prácticas básicas de VPN. “Hay que recordar que es una herramienta para conectarse al negocio. A partir de ahí, todo lo que haga puede impactar el negocio. Esto significa que sólo debes abrir la VPN para un uso estrictamente profesional.. Debe cortarse para cualquier uso personal, y pensar también para cortárselo al finalizar su jornada laboral. Dividir. Un ataque o intrusión a través de su computadora mientras la VPN está funcionando afecta los servidores de la empresa. »
Cuando se trata de ciberseguridad, la concienciación y la formación periódica entre los empleados son fundamentales. Y el tema de las VPN no es una excepción a la regla. Proporcionar acceso al cliente VPN a sus empleados significa, después de todo, que está ampliando el espacio de la red de la empresa. No menos necesita ser seguro en estas condiciones. Una herramienta buena, mal configurada o mal utilizada ya no es un activo sino un riesgo.
Sobre todo porque, para Le Hoangan, la VPN seguirá democratizándose con la práctica del teletrabajo: “La crisis sanitaria y el confinamiento resultante nos hicieron comprender que el teletrabajo se estaba volviendo inevitable estos días. Sin embargo, anticipar la introducción del teletrabajo significa habernos dado los medios para desarrollar correctamente, y de la forma más segura posible, las herramientas que lo acompañan: una configuración óptima de las VPN, pero también de los cortafuegos, la instalación de antivirus en los sistemas de comunicación, etc. » Porque, al final, la VPN es sólo una herramienta en un vasto sistema que hay que implementar. Y hay que empezar por algún lado.
*Charlie el Hoagan
Consultor especialista en telecomunicaciones. Después de trabajar durante 10 años para grandes fabricantes, creó en 1989 su propia estructura, a través de la cual ofrece sus servicios de asesoramiento en redes informáticas y, en particular, en materia de seguridad. También fue a partir de 1989 que comenzó a impartir formación sobre estos mismos temas.
Nuestra mejor formación
- Seguridad VPN, conexión inalámbrica y movilidad, resumen
- Cisco, implementación de soluciones MPLS
- Fortinet, seguridad en la red