Retos de la ciberseguridad en el teletrabajo
La llegada obligada, en la mayoría de casos, del teletrabajo a causa de la COVID-19, ha puesto de manifiesto la agilidad y la adaptación de las empresas al cambio, con la complicación añadida de que encima llegó sin avisar.
Unos meses después, las empresas quieren que sus empleados regresen a su lugar de trabajo, pero muchos planean seguir ofreciendo teletrabajo en el futuro. Según el INE, en 2019 teletrabajaban habitualmente en España 952.000 empleados. En 2020 la cifra aumenta hasta los 3 millones. Así, avanzamos hacia una mezcla variable entre trabajo presencial y remoto. Ya sea con gusto, o por obligación, el teletrabajo presenta nuevos retos para las empresas, sobre todo, en lo relativo a la ciberseguridad.
Desafíos de ciberseguridad en las empresas
1. La protección de la información contra atacantes externos a la compañía.
La información sale de las instalaciones y debe llegar en remoto a cualquier parte del mundo y de forma segura. Este es uno de los desafíos más grandes para el equipo de ciberseguridad, pues el número de ciberataques crece cada año, así como la envergadura de los incidentes.
Según un informe de la firma de ciberseguridad Sophos, durante el 2019 el 53 por ciento de las compañías encuestadas sufrieron un ataque de tipo ransomware. Cifra que en 2020 se estima incluso aún más elevada. Existen multitud de servicios antivirus, monitoreo de eventos, búsqueda de vulnerabilidades etc. Pero, aun así, la garantía no es 100%. Un antivirus únicamente puede proteger de todo aquello que conoce descartando lo que pueda ser creado mañana. Ahora bien, mitigamos los riesgos. Un punto crucial que está en manos de las organizaciones es conocer los activos críticos, o, en otras palabras, saber lo que queremos proteger en función de su importancia para la compañía. Este desafío compromete no solo al equipo de ciberseguridad, si no que debe estar respaldado por la dirección y en colaboración con otras áreas de negocio. Al hacerlo, se podrá focalizar los recursos de protección en lugares concretos, en vez de aplicar la seguridad de punta a punta de la organización. ¿Tendría sentido proteger una botella de plástico con el mismo sistema que se protege una cámara acorazada del Banco de España? De ahí la importancia de conocer los activos críticos de la compañía. A largo plazo se ahorra, y no solo en dinero.
2. La protección de la información desde dentro de la compañía.
Es decir, los propios empleados que, sin ellos mismos saberlo, pueden poner en grave peligro la información de la compañía. De ahí la importancia de la famosa “formación al empleado”. Existen multitud de formas con las que enseñar al empleado en materia de ciberseguridad. Algunas hasta divertidas.
Nosotros recomendamos que la primera tarea a desarrollar sea enseñar al usuario a diferenciar los posibles ataques que pueden sufrir y cómo pueden detectarlos. La segunda, y no menos importante, es enseñarle cómo comunicar una incidencia a la compañía lo más rápido posible. Elaborar un procedimiento de gestión de incidencias práctico y difundirlo ahorrará tiempo a la hora de resolver la crisis.
No debemos olvidar a aquellos usuarios que no forman parte de la plantilla y que también tienen acceso a la red. Ellos también son blancos fáciles.
3. Desarrollo del marco normativo aplicable en la organización.
A pesar de la reciente entrada en vigor de las tan esperadas condiciones laborales del teletrabajo en el BOE, aún hay mucho camino por recorrer en cuanto políticas, normas y procedimientos internos en materia de seguridad. Y es que tener un marco normativo en materia de seguridad desembocará en una seguridad de la información eficaz, reduciendo riesgos y protegiendo a la organización frente a las amenazas y vulnerabilidades, y en consecuencia reduciendo el impacto en sus activos. Párate un momento y reflexiona:
- ¿Dispone tu organización de un registro de empleados que, por su perfil o funciones dentro de la empresa, desarrollan su actividad en modo teletrabajo?
- ¿Estos empleados tienen acceso únicamente a las aplicaciones y recursos necesarios para realizar su trabajo? Si la respuesta ha sido sí en ambos casos, la cosa no va mal.
- Pero, ¿dispone de una política de teletrabajo?
- ¿Y de un procedimiento de baja o bloqueo de cuentas de usuario?
- ¿Cada cuanto se realiza la revisión de los usuarios con privilegios de administrador? Para todo esto también hay solución. Apoyarse en la ISO27002 sería un buen comienzo hacia el éxito, así como elaborar las políticas internas que regulan el trabajo a distancia conforme a lo establecido por el Real Decreto-Ley publicado el pasado 22 de septiembre de 2020.
4. Implantación de herramientas colaborativas.
No todo van a ser problemas y es que hoy en día existen multitud de posibilidades a la hora de contactar los unos con los otros sin necesidad de estar en la misma sala. Pero claro, habiendo tantas, ¿cuál elegir? Las herramientas colaborativas más generalizadas no tienen por qué ser las mejores. Ahora bien, podrás comunicarte con mayor número de clientes, proveedores, etc. Y, a fin de cuentas, llegar a comunicarse es el objetivo principal.
5. Proporcionar dispositivos corporativos a los empleados.
Con la llegada de la cuarentena, la plantilla que pasó a teletrabajar necesitaba un equipo informático. Muchas empresas ya disponían de portátiles para el uso diario, aun sin existir el teletrabajo dentro de la organización. Otros, usaban equipos de sobremesa y tuvieron que trasportarlo hasta casa. Y los restantes utilizaron los dispositivos personales del empleado para teletrabajar. Desde el Instituto Nacional de Ciberseguridad, recomiendan utilizar dispositivos corporativos para reducir las posibilidades de sufrir un ciberataque, ya que cuentan con las políticas de seguridad que la empresa estime oportunas y tienen instalado el software necesario para realizar el trabajo. Pero, en el caso de usar los dispositivos particulares como herramienta de teletrabajo, el equipo de ciberseguridad debe asegurarse de que cumplan con criterios como usar contraseñas robustas, hacer copias de seguridad periódicas o que la conexión sea a través de VPN, entre muchas otras.
La unión del teletrabajo y la ciberseguridad
Muchas empresas han movido los hilos del teletrabajo desde el área de Recursos Humanos, dejando a un lado al equipo de seguridad de la información o área de ciberseguridad. Esto es un error, pues la labor debe ser mutua.
En conclusión, el teletrabajo ha sido, y aun es, todo un desafío para el equipo de ciberseguridad. En Izertis ayudamos a las empresas a definir, lanzar y gestionar un plan de iniciativas necesario para adaptarse a la nueva realidad digital. Este plan de iniciativas fusiona y mantiene el cumplimiento normativo, la seguridad de la información corporativa y la gestión del cambio a todos los niveles de la compañía. Además, tenemos el conocimiento necesario para que el cambio lo integren todos los elementos transversales necesarios para un resultado eficiente a largo plazo.