Muchas organizaciones protegen sus redes con firewalls que restringen el acceso a ciertos recursos en particular, un paso similar a poner una cerradura en una puerta. Muchas también poseen redes privadas virtuales (VPN) que cifran los datos que viajan desde las redes corporativas a los empleados remotos. Sin embargo, la efectividad de todo esto depende de cómo se conceda el acceso a la VPN; puesto que las contraseñas básicas se pueden adivinar u obtener por "phishing" a través de los empleados, es más seguro agregar un paso adicional.
Para algunas organizaciones, este paso implica el uso de 'tokens de hardware'—pequeños dispositivos que generan contraseñas únicas vez en cuando—o sus equivalentes de software. (Los recientes ataques por parte de hackers al proveedor de tokens RSA, que llevó a un ataque posterior a Lockheed Martin, no parecen haber minado definitivamente la tecnología de criptografía que subyace en los tokens de RSA.) Cuando se usan correctamente, las VPNs con fuertes procedimientos de autenticación son difíciles de hackear, incluso a través de puntos de acceso Wi-Fi públicos donde los fisgones pueden olfatear el tráfico con facilidad.
Sin embargo la seguridad de datos requiere algo más que la creación de firewalls y VPNs. A pesar de que los ataques de "ingeniería social", en los que se engaña a la víctima o es obligada a proporcionar contraseñas u otra información confidencial, no son exclusivos de los teletrabajadores, los fraudes pueden ser más difíciles de lograr bajo el ento o de seguridad organizativa de una oficina, afirma Steven Chan, investigador y arquitecto jefe de software en la división de ingeniería de sistemas del MIT. Para acercarse a un empleado que maneja información delicada "se puede pretender ser un mensajero en bicicleta o el de FedEx, pero aún así hay que pasar por el guardia de seguridad, el recepcionista, y así sucesivamente", asegura Chan. Las personas que trabajan solas son más vulnerables.
Chan añade que muchos empleados que trabajan desde casa probablemente no poseen una seguridad de red tan buena como la de su oficina. "Si yo sé que su oficina en casa es cierta extensión fuera de la casa o que su sitio de trabajo está en el primer piso, todo lo que tengo que hacer es robar su ordenador portátil o conseguir traspasar la seguridad de su Wi-Fi", afirma Chan. "Tal vez su router Verizon siga estando programado con la contraseña por defecto. En general, sé exactamente dónde están sus archivos más importantes, y si soy muy bueno haciendo lo que hago, el objetivo es fácil".
Los trabajadores remotos también son vulnerables a la pérdida o robo de los dispositivos que llevan los datos de sus organizaciones. En 2006, un empleado del Departamento de Asuntos de Veteranos de los EE.UU. perdió un disco duro portátil con información delicada y sin encriptar sobre más de 26 millones de veteranos y sus familias.
Para evitar estas pérdidas, los expertos recomiendan, como mínimo, la encriptación de los materiales más delicados en el disco duro de un teletrabajador. Por razones de seguridad completa, todo el disco duro debería estar encriptado y debería ser accesible sólo a través de contraseñas fuertes—Microsoft recomienda que las contraseñas sean de al menos 14 caracteres, algunos de los cuales tienen que ser letras, números y símbolos. Es más, se puede usar software de seguimiento para localizar un portátil perdido, teléfono, o una tableta de forma remota y borrar los datos.
Chan también sugiere la acreditación, lo que significa que los empleados deben tener acceso sólo a la información que necesitan para su trabajo. Los permisos deben ser reformulados con regularidad y no establecerse cuando los empleados son contratados por primera vez. Este marco también puede ayudar a que una organización sepa cuándo la mayoría de sus datos importantes han sido accedidos—por lo que es menos probable que pase inadvertido, por ejemplo, que un único trabajador ha salido del edificio con los datos personales de 26 millones de veteranos.
Otra fuente potencial de problemas es que los teletrabajadores utilizan una variedad de dispositivos móviles para su trabajo. Hoy día, los empleados utilizan muchos dispositivos propios en las organizaciones, en lugar de ser al revés, señala Rich Campagna, que supervisa los productos de seguridad de Juniper Networks. Una forma de evitar que esto comprometa la seguridad es tener servidores en una red para identificar y autenticar a todos los dispositivos que intentan acceder. En un proceso conocido como huellas digitales de dispositivo, la red puede tratar de distinguir a un empleado a distancia legítimo de un hacker que esté observando la dirección IP, el número de serie del dispositivo, y otros ajustes en el ordenador del usuario. Si un dispositivo desconocido intenta acceder a la red—incluso con las contraseñas e identificaciones correctas—o bien se deniega la entrada o la solicitud se evalúa después de una autenticación adicional (mediante una llamada telefónica al usuario, por ejemplo).
Tales procedimientos automáticos son mejores que esperar a que los empleados tomen decisiones inteligentes de seguridad propias, explica Campagna: "Hay una buena probabilidad de que ocurran fallos si el usuario final tiene que tomar una decisión consciente sobre ello".