.png){kind=logo}
César Pallavicini, miembro del comité de ciberseguridad de ACTI y CEO de Pallavicini Consultores.
Frente a nuevos escenarios y causas de riesgos que pueden interrumpir uno o más procesos de negocio en una empresa y generar una contingencia grave. Frente a ello se considera como estrategia de recuperación, improvisada o no, el envío de usuarios a conectarse desde sus casas. Medida que desde un punto de ciberseguridad, pone en riesgo la seguridad de la información.
La expansión del brote de COVID-19 sigue creciendo y en todo el mundo se empiezan a tomar nuevas medidas de seguridad para mitigar los riesgos de pandemia. De hecho, muchas empresas (entre las que se encuentran los principales gigantes tecnológicos como Amazon, Microsoft y Facebook) están implementando el teletrabajo como medida alternativa hasta que la situación mejore y el virus esté controlado. Mientras que en Chile muchas empresas están en lo mismo. Sin embargo, la pregunta es: ¿se han considerado los riesgos de seguridad de la información, de tipo tecnológico, humano y del derecho laboral?. Recientemente se publicó la ley de Teletrabajo, que nace a partir del uso de los avances tecnológicos y nuevas formas de comunicación como herramientas de inclusión laboral, que permitan el desarrollo integral de los trabajadores, sin que ello signifique un menoscabo en sus condiciones laborales ni salariales. Es clara la ley, al considerar que un trabajador bajo esta modalidad, es igual a los demás trabajadores, con los mismos derechos.
Sin embargo, los niveles de protección en entornos domésticos son inferiores a los entornos profesionales, siendo a criterio de la ley de Teletrabajo responsabilidad del empleador fiscalizar e implementar sistemas de seguridad en sentido amplio. Ante este vacio, los cibercriminales pueden aprovecharse de este tipo de situaciones para lanzar campañas de ciberataques que ponen en riesgo la información de las empresas, en los últimos días la Policia de Investigaciones de Chile ha difundido una serie de modalidades en que se realizan estafas y robos de datos por hackers. Incluso, mientras redactaba este artículo se publicaron los primeros robos de información, entre ellos, el traspaso de datos desde la herramienta Zoom a Facebook. Las empresas no podrán implementar cualquier herramienta para trabajar en esta modalidad, deberán analizar la capacidad técnica y los riesgos a que se exponen.
Mejores prácticas para usuarios remotos
Trabajar desde casa hace que estemos en un entorno mucho más relajado, por lo que es más fácil bajar el nivel de atención y precaución frente a potenciales amenazas y, por ende, aumentan los riesgos. En este sentido, los empleados debieran al menos:
Revisar las contraseñas: es clave establecer contraseñas robustas que usan para acceder a recursos profesionales, como el correo electrónico o las aplicaciones de trabajo. Es fundamental revisar la clave de la red Wi-Fi, al igual que asegurarse de que no esté abierta y accesible para cualquier persona ajena. En Chile las empresas de telecomunicaciones suelen dejar la password del equipo de comunicaciones instalado por default y es conocida por todos los técnicos de soporte.
Protegerse frente al Phishing: evitar hacer clic en los enlaces que parecen sospechosos y sólo descargar contenido de fuentes conocidas. Esto aplica en la empresa y la casa.
Extremar las precauciones en caso de utilizar redes públicas: en caso de utilizar redes de aeropuertos, restaurantes, cafés y otros lugares públicos es imprescindible reforzar las medidas de seguridad, ya que estas conexiones no son seguras, sino que son un foco de ataques. Los cibercriminales pueden acceder con suma facilidad e infectar a miles de personas con un sólo clic.
Recalcar a los usuarios las políticas de seguridad de información interna: en el caso de uso de dispositivos móviles, uso de los equipos personales, criptografía, borrado de datos y documentación confidencial, así como la política de teletrabajo (las empresas no tienen esta política formal y documentada).
Si se utiliza un equipo compartido en el hogar, crear un perfil nuevo específico para trabajar.
Tener equipos de conexión remota fuera de la oficina con softwares y sistema operativo y antivirus actualizados.
Mejores prácticas para las empresas:
En el caso de las empresas, deben monitorear y vigilar el acceso a la información de sus sistemas, independiente si las bases de datos están en su propio data center. Las mejores prácticas son:
Confianza cero: toda la estrategia para facilitar el acceso a la información en remoto debe tener como pilar fundamental “confianza cero”. Esto implica que todo debe ser verificado, que es imprescindible asegurarse de quién tiene acceso a la información (segmentando los usuarios e implementando medidas de autenticación de factor múltiple). Además, este es el momento de enseñar las políticas y procedimientos, de cómo acceder a la información de forma segura y remota.
Vigilar los accesos a la información a través de cualquier dispositivo: es probable que, en muchos casos, los empleados trabajen desde la casa, utilizando su propio portátil o su smartphone. Por este motivo, es clave adelantarse y establecer un plan de gestión de incidentes y/o ataques que se propaguen desde estos dispositivos a la red corporativa.
Comprobar la salud de la infraestructura: Para incorporar herramientas de acceso remoto seguras en el flujo de trabajo, es importante tener una VPN o SDP. Esta infraestructura tiene que ser sólida y debe testarse para asegurar de que pueda manejar una gran cantidad de tráfico mientras los empleados trabajan desde casa.
Definir los datos: hay que dedicar tiempo a identificar, especificar y clasificar (etiquetar) los datos sensitivos. Esto, con el objetivo de preparar políticas que aseguren que sólo las personas adecuadas puedan acceder a ellos. En definitiva, reevaluar tanto la política corporativa como los privilegios de acceso para establecer varios niveles de acceso acorde al nivel de sensibilidad de la información.
Finalmente, recomendamos a la empresas no poner en riesgo la seguridad de la información por dar continuidad operacional de sus procesos, se sugiere analizar bien estos temas en forma integral, documentando y formalizando sus planes de contingencias, para una adecuada gestión de riesgos.