Análisis de ciberseguridad y teletrabajo en tiempos del Covid-19.

La transformación digital está permitiendo suavizar consecuencias de esta crisis.

La pandemia ocasionada por el Covid-19 ha situado a las empresas ante la cruda realidad de la digitalización, la ciberseguridad y el teletrabajo de los que tanto tiempo lleva hablándose.

  • La educación es viable a distancia y gracias a recursos compartidos que permiten mantener la atención de los alumnos, fomentar el trabajo y evaluarles.
  • Las aplicaciones de diagnóstico en remoto se han intensificado en el entorno sanitario.
  • Hay infinidad de cosas que solo podemos comprar online, aunque notamos también las caídas de las plataformas por la sobresaturación de peticiones y el alargamiento de los plazos de entrega, precisamente por el elevado volumen de pedidos marcado por el incremento de las medidas de seguridad sanitaria en el transporte y entrega de mercancías a domicilio.
  • El término call conference, que a muchos ya nos ahorraba muchos viajes, ya no parece tan snob. Las videoconferencias están permitiendo mantener reuniones, celebrar pactos, continuar plazos de auditorías, diagnosticar riesgos e implantar sistemas de gestión o adaptarlos a los nuevos requerimientos, etc.
Ciberseguridad y teletrabajo en tiempos del COVID-19

Pautas de ciberseguridad para el teletrabajo. Elece Legal. Ciberseguridad Zaragoza

También están permitiendo que los hijos vean a sus padres, ¿Quién antes llamaba a sus padres por videoconferencia?. O que los amigos “queden a tomar el vermut virtual”, algo impensable hasta hace apenas meses, pudiendo compartir momentos reales en la barra de un bar.

  • El confinamiento nos requiere mayor atención a las noticias, a lo que se cuece en las redes, al deporte y entretenimiento online y a la comunicación interpersonal, manteniéndonos conectados a Internet prácticamente 24×7.

Cuando en 2010 nos decían que el mundo, tal como lo concebimos, se iba a acabar como consecuencia de una tormenta solar sin precedentes que destrozaría nuestros sistemas de energía y comunicaciones, jamás nos planteamos en serio qué sería vivir una pandemia mundial, si no fuera por que las redes de telecomunicación funcionan a altos niveles de estrés, soportando un tráfico ingente.

Tal cual pareciera que estamos siendo protagonistas de una película apocalíptica en la que debemos seguir viendo el vaso medio lleno.

La actividad económica digital no esencial cibersegura esta sobreviviendo.

El escenario organizativo, ante la toma de decisiones ágiles para poder mantener las cotas de producción en régimen de teletrabajo, ha clasificado a las empresas no declaradas esenciales, entre las capaces y las no capaces de operar durante el confinamiento mediante el teletrabajo.

Aquellas empresas que venían contando ya con una infraestructura de sistemas informáticos (portátiles, servidores virtualizados, backup en remoto y recursos contra la nube con herramientas de monitorización y gestión de proyectos y procesos, etc), han podido organizar con agilidad a sus equipos manteniendo cotas de productividad y nivel de servicio en unas condiciones de seguridad de la información cercanas al 90% de las que podrían asegurarse en la sede de la empresa, y similares a las asumidas para personal con movilidad frecuente.

Casualmente, los trabajadores “enviados” a teletrabajar de estas empresas han sufrido menos la decisión al tener asimilado este proceso como habitual o previsible.

Entre las empresas que ni se planteaban el escenario del trabajo no presencial y se han encontrado con que, aun manteniendo cotas altas de trabajo previsto, no disponían de equipos propios para articularlo, el escenario se subdivide entre:

  • Las que por su actividad y existencia de recursos han podido organizarlo pronto adquiriendo equipos portátiles, organizando VPNs para las conexiones en remoto, articulando medidas de seguridad y monitorización de las conexiones y comunicaciones, evitando así el acceso de terceros en los equipos (y por tanto en la información de la empresa) a la par que pudiendo medir la productividad del teletrabajo.
  • Las que no han contado con recursos para articular dichas adquisiciones y han organizado el teletrabajo utilizando dispositivos propios de sus trabajadores, la wifi de casa de los mismos y herramientas online gratuitas de conexión en remoto a los equipos de sobremesa de la oficina.
  • Las que han tenido que suspender su actividad y están ahora haciéndose todos estos planteamientos.

De entre todas las empresas del escenario, ¿Cuál creéis que está incurriendo en riesgos de ciberseguridad y teletrabajo en tiempos del Covid-19?, ¿Cuál es la protagonista óptima para sufrir un ciberataque que ponga en riesgo su subsistencia más allá de la pandemia?

Sin lugar a dudas, las empresas menos avanzadas en la digitalización, que han improvisado el teletrabajo mediante el uso de recursos propios de sus trabajadores son las que están asumiendo riesgos de gran impacto en la seguridad de la información confidencial de la empresa, en los secretos empresariales y ante posibles fugas de información que afecten a datos personales de sus usuarios, con las consecuencias legales, sancionadoras y reputacionales inherentes a tales riesgos.

Nada va a volver a ser como antes, el mantra que nos despierta por las noches.

El confinamiento, el silencio de las calles, la ingente cantidad de información consumida de la televisión, Internet y redes sociales, la preocupación sobre la situación económica actual y venidera son, entre otras muchas razones según los psicólogos expertos, la causa de largas horas de insomnio en las que nuestro subconsciente nos repite como mantra: “De esta aprenderemos algo seguro”, “nada volverá a ser como antes”, “estamos ante un nuevo cambio de paradigma estructural”…

Ya aprendimos hace unos años a que sobrevive, e incluso triunfa, aquel que no teme a los cambios y, sobre todo, aquel que no teme a la innovación.

Por desgracia, muchas personas están teniendo dolorosos motivos personales para lamentar pérdidas humanas. Quienes tengamos la fortuna de estar preocupados “solo” por las materiales, mientras dure la impotencia ante la ralentización o paralización de la actividad económica, quizás podamos situarnos en escenarios más proactivos y aprovechar para diseñar lo que vamos a hacer a futuro gracias a la experiencia aprehendida (con hache aposta,).

Pautas para un home office ciberseguro.

El teletrabajo expone a la empresa a un mayor riesgo de ciberseguridad.

Los ciberataques se están multiplicando mientras pasamos mucho más tiempo online utilizando dispositivos destinados a trabajar, para hacer nuestros pagos; para compartirlos con los niños para que hagan los deberes del colegio; para ver una película en familia por la noche; para compartir en redes sociales; para jugar al Fornite… No les dejamos un respiro y son una puerta abierta a los ciberatacantes dispuestos a explotar cualquier oportunidad.

Los ataques por correo electrónico tipo phishing se han intensificado. Ingeniería social para suplantar la identidad de una cuenta reconocida y de confianza para los usuarios, enviando correos ficticios que parecen reales, con el objetivo pretenden hacerse nuestro usuario y contraseña, o con archivos adjuntos con información sobre el coronavirus que contiene código malicioso que cifra los archivos (ransomware) a cambio de un rescate.

Son muchos los casos que en apenas un mes hemos podido advertir (desde correos fraudulentos suplantando a entidades financieras de reconocido prestigio, pasando por ofertas falsas curas del coronavirus, promociones de productos y servicios fraudulentos, hasta suplantaciones a la propia OMS).

¿Cómo prevenir los riesgos de ciberseguridad en el teletrabajo en tiempos del Covid-19?.

  1. Evita que tus trabajadores teletrabajen con sus equipos personales. Es vital. Las empresas deben disponer a sus trabajadores de recursos óptimos para el teletrabajo seguro, garantizando así que utilizan los equipos siguiendo las políticas de la empresa y las aplicaciones autorizadas. Esto pasa por disponer de equipos portátiles, en gran parte de los casos, doble pantalla y periféricos adecuados para el desempeño de la jornada laboral.
  2. Es importante inventariar los activos de información, las concretas necesidades de aplicaciones que cada trabajador requiera en sus equipos, y valorar el riesgo de ambos para, de este modo, poderdefinir bien las medidas de control para proteger a la empresa.
  3. Firmar con el trabajador su entrega y los compromisos de confidencialidad que adquiere con la salida de los soportes de la empresa.
  4. Se deben configurar los firewalls, contraseñas; privilegios de acceso; las redes de internet separadas (doméstica para dispositivos personales y de trabajo); las aplicaciones permitidas, incluidas las de videoconferencia y la conexión remota a los servidores mediante redes privadas virtuales (VPN); filtros de spam, de contenidos y de autentificación, limitando el acceso a todo aquello que la empresa decida que no tenga nada que ver con el desempeño laboral. Para uso personal, dispositivos personales, no aquellos que contengan información empresarial. Fin.
  5. Contar con plataformas en cloud con licencia empresarial que nos permita no solo monitorizar el trabajo efectivo y mantener la información actualizada, sino también incluso cortar en remoto un acceso si fuera preciso.
  6. Es recomendable contar con seguridad endpoint y monitorizar las efectivas actualizaciones de los sistemas operativos de servidores, portátiles, móviles, aplicaciones y antivirus.
  7. No permitir el acceso a dispositivos externos (discos duros, USBs) no corporativos, o distintos del que la empresa pueda poner a disposición del trabajador que, en tal caso, es recomendable que esté cifrado.
  8. Configurar, si no se tiene ya, un buen Plan de Contingencias, respuesta ante incidentes y continuidad de negocio. Esta pandemia es un incidente, una enorme contingencia empresarial que ha situado a muchas empresas ante la tesitura de no poder continuar su actividad. ¿Cuántas empresas tienen articulado su plan de contingencia para garantizar la toma de decisiones ágiles que les permita minimizar las pérdidas del tipo que sean?. Pocas. Muy pocas. Porque la mayoría de las empresas creen que todo lo que suene a seguridad es puramente informático y se salva con hardware y software.

El gran riesgo ante los ciberataques son los usuarios desprevenidos. No hay nada mejor que la formación, la prevención y conocer exactamente lo que se debe hacer ante un incidente para minimizar el  impacto del incidente, del tipo que sea.

  1. Si no contamos con el soporte interno de nuestro equipo técnico informático, es vital tener contratado soporte informático externo capacitado para acceder tanto físicamente como en remoto y darnos el soporte que se precise.
  2. Desarrollar la normativa interna de seguridad de la información. Lo que no está escrito, aprobado con liderazgo desde la más alta dirección de la empresa y debidamente comunicado a todos los trabajadores, no se conoce y no se va a aplicar. No tener las normas de seguridad documentadas, o teniéndolas en un cajón, no tenerlas actualizadas ni debidamente comunicadas, es de por si un riesgo de seguridad evidente.
  3. Formar a los trabajadores para que estén familiarizados con los riesgos, reconozcan los tipos de ataques, las vulnerabilidades más frecuentes, la forma de prevención de las amenazas. Podemos aprovechar este tiempo de confinamiento y teletrabajo para activar formación online en ciberseguridad específica para cada empresa, como la que ponemos a disposición a través de CEOE Aragón.
  4. Y, sin duda, contar con el asesoramiento técnico legal en seguridad digital para analizar las concretas vulnerabilidades de la empresa y las amenazas a las que se halla expuesta.

Anticipa la solución y control a posibles impactos no deseados sobre la información empresarial.