Gestionar la conectividad de una plantilla dispersa por continentes y zonas horarias es uno de los mayores desafíos de las operaciones de TI modernas. Si sus empleados se encuentran en distintas ubicaciones geográficas, conectarlos de forma segura a los sistemas y herramientas que necesitan va más allá de una solución puntual o un enfoque genérico. Esto implica que los equipos de TI deben planificar cuidadosamente la infraestructura, las políticas de seguridad durante la implementación y la operación en diferentes entornos de red, manteniendo siempre la experiencia del usuario.

Lo que realmente implica el acceso remoto global

Para las organizaciones que se toman en serio la seguridad de la conectividad distribuida, acceso remoto en equipos globales Es un tema que merece una planificación cuidadosa en lugar de soluciones improvisadas añadidas sobre la marcha.

De hecho, el acceso remoto para un equipo geográficamente disperso no es lo mismo que permitir que algunos empleados trabajen desde casa de vez en cuando. Dado que los dispositivos de los usuarios finales suelen estar entre el equipo de TI y parte de su infraestructura principal, la distancia geográfica ya dificulta la resolución de problemas, pero cuando los usuarios se encuentran en muchos países, las diferencias en la fiabilidad de Internet entre jurisdicciones, las diferencias regulatorias entre esas mismas jurisdicciones y el uso de dispositivos con sistemas operativos o especificaciones locales diferentes añaden complejidad al mantenimiento de la supervisión corporativa.

El primer paso consiste en una evaluación sincera de las necesidades de la organización. Esto implica determinar la ubicación de las personas, los sistemas a los que deben acceder, la frecuencia de acceso y el nivel de latencia o degradación del rendimiento que se puede tolerar en cada caso. Por ejemplo, los requisitos de un desarrollador en Singapur que accede a un servidor de compilación en Fráncfort serían muy diferentes a los de un analista financiero en Brasil que descarga informes de una aplicación en la nube. Ambos requieren un acceso seguro y fiable, pero la arquitectura subyacente puede variar considerablemente.

El acceso remoto entre equipos globales es un área que requiere una planificación cuidadosa, y no una que deba abordarse con soluciones improvisadas añadidas con el tiempo, para las organizaciones que se toman en serio la seguridad de la conectividad distribuida.

Elegir la arquitectura de acceso adecuada

Elegir la arquitectura de acceso adecuada

En el centro del acceso remoto global se encuentra una decisión arquitectónica: ¿debe enviarse el tráfico por esta ruta a través de una infraestructura centralizada, o adoptar un enfoque más distribuido en el que las conexiones estén cerca de donde se encuentran realmente los usuarios?
Los métodos tradicionales que canalizan todo el tráfico remoto a través de un centro de datos centralizado funcionan bien para organizaciones pequeñas o con patrones de tráfico predecibles. Sin embargo, este modelo genera problemas de latencia que afectan significativamente la productividad debido al aumento de usuarios globales. Por ejemplo, un usuario en Tokio que enruta su tráfico a través de un centro de datos en Chicago puede experimentar retrasos que se acumulan rápidamente a lo largo de una jornada laboral.

La solución alternativa, disponible en las soluciones modernas, consiste en puntos de presencia distribuidos combinados con infraestructura de acceso en la nube o configuraciones de túnel dividido que envían el tráfico no sensible (uso general de internet) y las conexiones entrantes sensibles a través de controles centralizados, dejando el resto del tráfico saliente local. Cada opción presenta ventajas e inconvenientes relacionados con la seguridad, el coste, el rendimiento y la complejidad administrativa.

Evaluación de opciones de túneles y protocolos

La seguridad y el rendimiento de las conexiones de acceso remoto están intrínsecamente ligados a los protocolos subyacentes. En las implementaciones globales, es frecuente la pérdida de paquetes, la alta latencia en los enlaces y las transiciones en redes móviles, por lo que los equipos de TI deben probar estos escenarios para encontrar las mejores opciones.

Sin embargo, otros factores prácticos para el uso diario incluyen los estándares de cifrado, los requisitos de autenticación y el comportamiento de reconexión tras interrupciones de la red. Lo que funciona bien en una conexión de oficina por cable puede tener un rendimiento muy deficiente para un usuario conectado mediante red celular en una zona con cobertura intermitente, dependiendo del diseño del protocolo.

Consideraciones de seguridad para entornos distribuidos

Proporcionar acceso remoto a toda una plantilla ubicada a cierta distancia de un entorno local genera una superficie de ataque mucho mayor que la de un entorno típico en las instalaciones. Los usuarios se conectan desde redes que la empresa no puede controlar, dispositivos que pueden no cumplir con la política de seguridad corporativa (BYOD) y, posiblemente, desde países con distintos niveles de amenazas.

Esto implica un enfoque de seguridad por capas. Esto incluye garantizar requisitos de autenticación robustos, realizar comprobaciones del estado de los dispositivos, segmentar las redes y monitorizar el comportamiento para identificar intentos de acceso anómalos, independientemente de su origen. La autenticación multifactor debe ser una configuración básica, no una mejora opcional.

El Instituto Nacional de Estándares y Tecnología (NIST) ha publicado una guía autorizada sobre las mejores prácticas de seguridad para el teletrabajo que los equipos de TI pueden utilizar como marco para evaluar y reforzar sus configuraciones de acceso remoto. Esta guía abarca detalles sobre métodos de autenticación, seguridad de los dispositivos cliente y requisitos de cifrado, así como sobre el desarrollo de una política, lo que la convierte en una referencia práctica para las organizaciones que están diseñando y auditando su enfoque.

Los controles de acceso deben ajustarse al principio de mínimo privilegio; es decir, solo se debe otorgar a los usuarios el nivel de acceso necesario. Sin embargo, en el caso de equipos globales, esto se complica rápidamente: los empleados en diferentes partes del mundo desempeñan otras funciones, existen diferentes marcos regulatorios que rigen su acceso a los datos y, en última instancia, su perfil de riesgo depende de la sensibilidad de los sistemas a los que necesitan acceder.

Consideraciones de seguridad para entornos distribuidos

Gestión de dispositivos finales a través de las fronteras

Ampliar el acceso remoto global es, quizás, uno de los aspectos más complejos para la seguridad de los dispositivos finales. Las organizaciones deben elegir entre proporcionar dispositivos gestionados por la empresa a todos los empleados que trabajan de forma remota, permitirles usar sus propios dispositivos (BYOD) o una combinación de ambos enfoques.

Los distintos modelos tienen diferentes implicaciones de seguridad. Los dispositivos gestionados proporcionan a los equipos de TI las herramientas necesarias para aplicar estándares de configuración, distribuir parches, implementar protección de endpoints y borrar de forma remota los datos de los dispositivos en caso de pérdida o compromiso. Los sistemas no gestionados implican incertidumbre sobre el software instalado, si el sistema operativo se mantiene actualizado con los parches más recientes y si se aplican protocolos de inteligencia de amenazas.

Se puede implementar una solución intermedia sencilla, adoptada por organizaciones con personal en ubicaciones geográficas donde el envío de hardware gestionado es inviable, prohibitivo en cuanto a costos o poco práctico, sin comprometer la seguridad, para exigir que los dispositivos personales cumplan con un nivel mínimo de seguridad, pasividad y controles de estado antes de otorgar acceso.

Fiabilidad y rendimiento de la red dentro de las regiones

La calidad de internet puede variar considerablemente entre distintas zonas geográficas. Las regiones con una infraestructura de banda ancha robusta tendrán resultados muy diferentes a aquellas donde la conectividad es lenta, más cara o menos fiable. Esta variabilidad debe ser considerada por los equipos de TI que diseñan soluciones de acceso remoto global, en lugar de asumir que todos los usuarios tienen el mismo nivel de conectividad.

La compresión de datos, la optimización de protocolos, la transmisión de tasa de bits adaptativa para aplicaciones de pantalla compartida y las estrategias de almacenamiento en caché (menor transferencia de datos durante operaciones comunes) son algunas técnicas para mejorar el rendimiento en entornos de red complejos. Algunas organizaciones implementan infraestructura regional para reducir la distancia de ida y vuelta para los usuarios ubicados en zonas con alta latencia.

La agencia de ciberseguridad responsable de la infraestructura federal ha recopilado una guía federal sobre el trabajo remoto que aborda tanto la seguridad como las dimensiones operativas del acceso remoto a gran escala, lo que proporciona un punto de referencia útil incluso para las organizaciones no federales que diseñan sus propios programas.

Gestión de identidades y accesos escalable

Identidades para una fuerza laboral global: un sistema de gestión de identidades y accesos debe ser lo suficientemente robusto como para dar soporte a usuarios que trabajan en diferentes regiones, integrarse con los sistemas de recursos humanos que determinan los cambios de funciones y la rescisión de contratos de los empleados, y también admitir mecanismos de autenticación que funcionen de forma fiable en diferentes ubicaciones geográficas.

El inicio de sesión único minimiza la carga de autenticación para los usuarios, a la vez que proporciona a los equipos de TI un único punto de control. Cuando un empleado cambia de puesto o deja la organización, el acceso se puede actualizar o revocar en un solo lugar, en lugar de actualizar manualmente cada sistema al que tenía acceso.

Para las organizaciones con empleados que trabajan en sectores regulados o en países que requieren la localización de ciertos datos, la gestión de identidades también debe considerar dónde residen y se gestionan los datos de autenticación. Esto puede tener un impacto significativo en las decisiones de arquitectura, especialmente cuando una empresa asumió inicialmente que un único proveedor global de identidades podría atender sin problemas a los usuarios en diversas regiones geográficas sin necesidad de consideraciones especiales.

Acceso privilegiado y controles administrativos

En todos los entornos, las cuentas privilegiadas que se utilizan para obtener acceso elevado a sistemas, configuraciones o datos confidenciales deben contar con controles adicionales. Esto es especialmente relevante para equipos globales, ya que el acceso privilegiado desde una ubicación geográfica inesperada puede ser una señal de alerta de posible vulneración de seguridad.

Los controles de acceso basados en el tiempo, la grabación de sesiones de operaciones privilegiadas y las alertas para accesos desde ubicaciones y horarios inusuales son posibles medidas de mitigación que las organizaciones deberían considerar. El acceso administrativo a la infraestructura principal debe seguir sus propios protocolos, con una supervisión aún más rigurosa que la del acceso de los usuarios.

Elaboración y mantenimiento de políticas globales de acceso remoto

La tecnología es solo una parte de la solución. Si bien estos sistemas pueden estar diseñados técnicamente teniendo en cuenta la seguridad, sin políticas que especifiquen cómo se otorga, utiliza, supervisa y revoca el acceso remoto, no ofrecen una seguridad práctica.

La política de acceso remoto vigente a nivel empresarial debe determinar qué dispositivos están permitidos, qué condiciones de red bloquearán un dispositivo que se conecte, cómo se realiza la autenticación, qué acciones pueden y no pueden realizar los usuarios durante las sesiones remotas, cómo se pueden reportar incidentes y cuándo se activa la terminación rápida del acceso.

La capacitación es una extensión de la política interna. Los empleados de diferentes regiones necesitan claridad sobre lo que se espera de ellos, cómo identificar amenazas a la seguridad (no solo físicas) y qué medidas deben tomar si sospechan que algo ha fallado. En una fuerza laboral global, los materiales de capacitación deberán adaptarse al idioma y al contexto normativo, y los métodos de impartición deberán tener en cuenta las realidades del trabajo en diferentes zonas horarias y turnos.

Monitorización y respuesta ante incidentes en diferentes continentes

Cuando la organización cuenta con empleados trabajando en distintas zonas horarias, está prácticamente siempre activa. Por lo tanto, la monitorización de la seguridad no puede limitarse al horario laboral. Para los equipos de TI y seguridad, es fundamental tener visibilidad de la actividad de acceso remoto las 24 horas del día, todos los días, con un sistema automatizado integrado para la detección de anomalías y la respuesta inmediata, independientemente de la hora.

La agregación de registros, el análisis del comportamiento y las alertas automatizadas garantizan la rápida identificación de cualquier actividad sospechosa. En estos casos, coordinar una respuesta rápida en diferentes zonas horarias se convierte en un verdadero desafío que debe considerarse en los procedimientos de respuesta a incidentes.

Disponer de vías de escalamiento claras, responsabilidades de guardia y manuales de respuesta predefinidos significa que, cuando algo salga mal, se solucionará en cuestión de minutos en lugar de horas; y esta es una distinción importante, ya que los usuarios podrían estar fácilmente al otro lado del mundo.

Preguntas frecuentes

¿Cuál es el mayor desafío de seguridad que supone habilitar el acceso remoto para una plantilla global?

O, quizás, el mayor riesgo sea el acceso no autorizado mediante credenciales comprometidas o puntos finales inseguros. Los atacantes tienen la oportunidad de explotar a los usuarios que se conectan desde redes ajenas al control de la organización, con una autenticación multifactor débil o inexistente. El fortalecimiento de la autenticación y la seguridad de los puntos finales deberían ser requisitos básicos para cualquier organización, no un lujo.

¿Cómo debería el departamento de TI Teams gestionar el acceso de los empleados remotos que se encuentran en países con conexiones a Internet deficientes?

Evalúe los desafíos de acceso específicos de cada región y adapte los diseños para abordarlos. Algunas opciones posibles incluyen: infraestructura regional para reducir la latencia, selección de protocolos que se ajusten a los requisitos de redes con alta latencia o pérdidas de paquetes, compatibilidad con el trabajo sin conexión y la sincronización segura, así como la entrega de contenido en caché cuando corresponda. Una solución diseñada para entornos de alto ancho de banda no necesariamente satisfará a todos los usuarios a nivel mundial.

¿Cuándo y con qué frecuencia debe una organización revisar periódicamente su política global de acceso remoto?

Las políticas de acceso remoto deben actualizarse al menos una vez al año y siempre que se produzca un cambio significativo en la organización, como la entrada en nuevos mercados, la modificación de la tecnología de acceso, la aparición de incidentes de seguridad o la introducción de requisitos normativos debido a las operaciones en una jurisdicción determinada. Las políticas que no se actualizan periódicamente se desvían del comportamiento real y del panorama actual de amenazas.

El éxito del acceso remoto global depende de algo más que la conectividad. Al combinar una arquitectura segura, una gestión de identidades sólida, protección de los terminales, monitorización continua y políticas claras, las organizaciones pueden dar soporte a equipos distribuidos, minimizando los riesgos de seguridad, manteniendo el cumplimiento normativo y ofreciendo experiencias de usuario fiables en todo el mundo.

Más temas inmersivos relacionados con la tecnología

Metamandrill.com proporciona información explicativa y práctica sobre tecnologías inmersivas y temas relacionados, como realidad aumentada, realidad virtual, juegos y mundos virtuales, dispositivos y equipo, Entrevistas a fundadores, Información del evento, y explicadores y guías.