.png){kind=logo}
Frente a nuevos escenarios y causas de riesgos que pueden interrumpir uno o más procesos de negocio en una empresa, y generar una contingencia grave, se considera como estrategia de recuperación ( improvisada o no ), el envió de usuarios a conectarse desde su casas, poniendo en riesgo la seguridad de la información ( que incluye la ciberseguridad ).
La expansión del brote de coronavirus COVID-19 sigue creciendo, y en todo el mundo se empiezan a tomar nuevas medidas de seguridad para mitigar los riesgos de Pandemia. De hecho, muchas empresas (entre las que se encuentran los principales gigantes tecnológicos como Amazon, Microsoft o Facebook) están comenzando a implementar el teletrabajo como medida alternativa hasta que la situación mejore y el virus esté controlado, en Chile desde la semana pasada muchas empresas estan en lo mismo. Sin embargo, la pregunta es: se han considerado los riesgos de seguridad de la información, de tipo tecnológico, humano y del derecho laboral ( tema que debe ser analizado por abogado en conjunto con RRHH) y para lo cual es muy importante revisar la legislación que actualmente se encuentra en su segundo trámite constitucional en el Senado el proyecto de ley que modifica el código del trabajo en materia de trabajo a distancia, el que pretende hacerse cargo de nuevas motivaciones y de las necesidades que tienen los trabajadores actualmente, y las que, eventualmente, tendrán en el futuro. Todo esto, a partir del uso de los avances tecnológicos y nuevas formas de comunicación como herramientas de inclusión laboral, que permitan el desarrollo integral de los trabajadores, sin que ello signifique un menoscabo en sus condiciones laborales ni salariales.
Hay que considerar que Internet, la nube y las aplicaciones de software como servicio (SaaS) facilitan la transición al trabajo remoto. Sin embargo, los niveles de protección en entornos domésticos (caseros) son inferiores a los entornos profesionales, por lo que los cibercriminales pueden aprovecharse de este tipo de situaciones para lanzar campañas de ciberataques que ponen en riesgo la información de las empresas, que hay que entenderlo como uno s de sus pricipales activos.
Mejores prácticas para usuarios (empleados remotos):
Trabajar desde casa hace que estemos en un entorno mucho más relajado, por lo que es más fácil bajar el nivel de atención y precaución frente a potenciales amenazas y por ende aumentan los riesgos. En este sentido, los empleados deberían:
· Revisar las contraseñas: es clave establecer contraseñas robustas que usan para acceder a recursos profesionales como el correo electrónico o las aplicaciones de trabajo. Asimismo, también es fundamental revisar la clave de la red Wi-Fi, así como asegurarse de que no esté abierta y accesible para cualquier persona ajena, en Chile las empresas de telecomunicaciones suelen dejar la password del equipo de comunicaciones instalado por default y es conocida por todos los técnicos de soporte.
· Protegerse frente al Phishing: evitar hacer clic en los enlaces que parecen sospechosos y sólo descargar contenido de fuentes conocidas, esto aplica en la empresa y casa.
· Extremar las precauciones en caso de utilizar redes públicas: en caso de utilizar redes de aeropuertos, restaurantes, cafés, etc. es imprescindible reforzar las medidas de seguridad, ya que estas conexiones no son seguras, sino que son un foco de ataques ya que los cibercriminales pueden acceder con suma facilidad e infectar a miles de personas con un solo clic.
· Recalcar a los funcionarios las políticas de seguridad de información interna, como uso de los dispositivos móviles, uso de los equipos personales, borrado de datos y documentación confidencial, así como la política de Teletrabajo obviamente.
· Si se utiliza un equipo compartido en el hogar, crear un perfil nuevo específico para trabajar.
· Tener equipos de conexión remota fuera de la oficina con softwares y sistema operativo y antivirus actualizados.
Mejores prácticas para las empresas:
En el caso de las empresas, deben monitorear y vigilar el acceso a información de sus sistemas, independiente si las base de datos estan en su propio data center, contratado, la nube. Las mejores prácticas son:
· Confianza cero: Toda la estrategia para facilitar el acceso a la información en remoto debe tener como pilar fundamental el principio de “confianza cero”. Esto implica que todo debe ser verificado, que es imprescindible asegurarse de quién tiene acceso a la información (segmentando los usuarios e implementando medidas de autenticación de factor múltiple). Además, este es el momento de enseñar las políticas y procedimientos, de cómo acceder a la información de forma segura y remota.
· Vigilar los accesos a la información a través de cualquier dispositivo: es probable que, en muchos casos, los empleados trabajen desde casa utilizando su propio portátil o su smartphone. Por este motivo, es clave adelantarse y establecer un plan de gestión de amenazas como fugas de datos o ataques que se propaguen desde estos dispositivos a la red corporativa.
· Comprobar la salud de la infraestructura: Para incorporar herramientas de acceso remoto seguras en el flujo de trabajo, es imprescindible tener una VPN o SDP. Esta infraestructura tiene que ser sólida, y debería testarse para asegurar de que pueda manejar una gran cantidad de tráfico, mientras los empleados trabajan desde casa
· Definir los datos: hay que dedicar tiempo a identificar, especificar y clasificar (etiquetar) los datos sensitivos con el objetivo de preparar políticas que aseguren que sólo las personas adecuadas puedan acceder a ellos. En definitiva, reevaluar tanto la política corporativa como los privilegios de acceso, para establecer varios niveles de acceso acorde al nivel de “sensibilidad” de la información.
Finalmente, existen otros consejos más, pero es obvio que los cibercriminales al conocer de estas vulnerabilidades tratarán de atacar por la vía de usuarios trabajando desde casa y así poder hackear a las organizaciones en forma más fácil en forma directa o indirecta.
César Pallavicini Z.
Miembro del comité de Ciberseguridad ACTI y CEO de Pallavicini Consultores