Categorías
Columnas

Riesgos para las empresas en Teletrabajo

Santiago, Chile. 22 abril, 2020. En estos días se ha hablado mucho de los retos que implica hacer teletrabajo, a nivel de infraestructura y de capacidad mental, personal y cultural para adaptarse, pero poco se habla de los retos de seguridad de la información para las empresas, pese a que ha habido algunas alertas en la seguridad de herramientas como Zoom.

En primer lugar, las empresas, desde que ocurrió el estallido social del 18 de octubre pasado, aplicó tímidamente teletrabajo. Ahora, con la pandemia con mayor razón. Todo, con el objetivo de dar continuidad operativa a los negocios, implementando de manera informal el teletrabajo. Bajo el escenario “usuarios en cuarentena” se puso en riesgo la seguridad de la información de sus compañías. Las razones para justificar esta afirmación son muchas. Entre ellas, y probablemente la más importante, es el acceso a sistemas desde PC propio y por uso de red pública, sin VPN (Red Privada Virtual), herramientas de acceso remoto no licenciadas, descuido al hacer clic en correos falsos y no tener sistema operativo y antivirus actualizado.

Un riesgo que expone, tanto al usuario como a la información (la voz es parte de la información) de la empresa, son las herramientas de software utilizada para hacer las reuniones virtuales. La más utilizada es Zoom, subiendo de un tráfico de 10 a 200 millones  a nivel mundial. Su CEO reconoció los problemas de seguridad y contrató a ex directivo de Facebook, Alex Stamos, para mitigar el riesgo  de  Zoombombing: personas que atacan e interrumpen las sesiones de video llamadas.

El teletrabajo nació para quedarse, obviamente existe hace años, es una forma de decir. De hecho, las estadísticas muestran un crecimiento exponencial del uso de teletrabajo. Tanto así que las empresas tendrán que no solamente proteger sus instalaciones y Datacenters, sino que también deberán readecuar su seguridad lógica y física, cuando el usuario esté en modalidad de teletrabajo. Para ello es recomendable tener políticas y normas de seguridad de la información, junto a la implementación de herramientas de acceso remoto, encriptación y/o VPN, cuidarse de correos falsos, contraseñas robustas, usar solo plataformas corporativas, mantener actualizado el sistema operativo y antivirus, entre otras medidas.

Será necesario educar a los usuarios en esta nueva modalidad, porque los obliga a un cambio cultural, idealmente darles formalmente una política o procedimiento. La confianza personal puede implicar un riesgo para la confidencialidad de la información, debido a que no se trabaja al lado de compañeros de empresa, sino que al lado de personas de otras compañías, con un parentesco o amistad.

Algunos expertos han advertido que con el apuro de implementar rápido el teletrabajo las compañías han “relajado” sus medidas de seguridad para poder dar acceso remoto a sus trabajadores. ¿Qué otros “errores” han cometido las empresas en este período en términos de seguridad?

Efectivamente, en empresas donde los directivos no han dado importancia a la protección de la información y ciberseguridad, la orden ha sido “conéctense desde la casa”. Entonces habría que preguntarse si el PC de la casa tiene software de acceso remoto seguro (licenciado) sistema operativo actualizado, antivirus, antispam, si solo tiene un usuario o es de uso familiar. Los ciberdelincuentes saben que esto es así y ya adecuaron su “estrategia de negocio”, atacando a las casas en lugar de los servidores de las empresas.
El phishing asociada a la crisis sanitaria es la principal amenaza. Este ataque puede ocurrir si una persona recibe un correo que trata de persuadir a quien lo recibe a visitar un enlace o abrir algún archivo adjunto con información. En el actual contexto, un correo puede, por ejemplo, invitar a una persona a visitar un sitio que supuestamente tiene la cura de la enfermedad, o entrega información con “medidas de seguridad” contra el virus, o informa sobre el avance del COVID-19 en tiempo real.

En general, no hay un análisis del riesgo operacional, sino que más bien atención por dar continuidad a los procesos de negocio, se expone la seguridad de la información. Esto debiera ser un perfecto equilibrio, entre todas las partes. Los riesgos de conectarse desde el computador personal son varios. Durante marzo de 2020 hay empresas ligadas al sector financiero que tuvieron que comprar al menos 50 notebooks para poder implementar el teletrabajo. ¿Fueron preparados estos equipos para resguardar los datos corportativos?, ¿Los usuarios conocen las politicas y procedimientos de seguridad?

¿Cuáles son los sectores más sensibles o que están más expuestos a cibercriminales en esta coyuntura y por qué?

En primer lugar el sector financiero, banca, seguros y empresas de comercio electrónico, por razones obvias, tienen tecnología vigente y medidas de ciberseguridad robustas, pero igual están expuestos. Sin embargo, empresas donde la tecnología es antigua la madurez en gestión de riesgos es baja. Ahí no existen políticas de seguridad corporativas, planes de continuidad de negocio y no han educado a sus usuarios en los riesgos a que se exponen en la casa matriz, menos podrán asimilar el aumento de sus vulnerabilidades desde la casa. Se requiere la implementación de medidas de seguridad básicas, para luego actualizarse al teletrabajo, aunque se época de crisis, se debe invertir en soluciones seguras y en esto los dueños y directivos de empresas tienen una importante responsabilidad.

Categorías
Columnas

Ciber Resiliencia: un enfoque primordial para la ciberseguridad

Santiago, Chile. 24 septiembre, 2018. La mayoría de las empresas observa la seguridad de una forma focalizada, por lo que sus principales preocupaciones se centran en la adquisición de soluciones de software para afrontar ciberataques.

Sin embargo, con el auge y uso masificado de tecnologías disruptivas como la Inteligencia Artificial e Internet de las Cosas, los criminales encuentran vulnerabilidades más fácilmente, afectando la infraestructura crítica directamente, y haciendo que las soluciones tradicionales sean incapaces de enfrentarlos.

Aunque los firewalls, anti-malware y sistemas anti-intrusiones siguen siendo necesarios para proteger la integridad de las infraestructuras de TI, no son suficientes. Así un enfoque de Ciber Resiliencia cobra relevancia no solo para centralizar los esfuerzos de la compañía por mantener fuera a los cibercriminales, sino para que, asumiendo su capacidad para vulnerar un sistema, disminuya el impacto de los ataques y se asegure la supervivencia de la organización.

De esta forma, la Ciber Resiliencia pasa a ser un enfoque clave dentro de una estrategia de ciberseguridad proactiva, planificando y mediando acciones cuyo objetivo es permitir el correcto funcionamiento de los servicios y la infraestructura de una organización durante una crisis de seguridad.

Por definición, la Ciber Resiliencia tiene en cuenta todo lo que pasa antes, durante y después de una emergencia; ayudando a evitar problemas como las caídas reportadas de varios portales de eCommerce, la falta de cumplimiento en la entrega de servicios ante una falla en la base de datos, o la falta de facturación debido a un ransomware que afecte el ERP.

Es por tales razones que, para que sea efectivo al momento de lidiar con una brecha de seguridad, este enfoque necesita partir de un entendimiento profundo de los riesgos potenciales que enfrenta la organización que a su vez están basados en la comprensión misma de la empresa. Para ello es clave el análisis detallado de todos los procesos que hagan uso de la tecnología, así como de las personas que la manejan.

La planificación llevada a cabo requiere hacer un análisis de los procesos fundamentales que permiten el correcto funcionamiento del negocio y las áreas en donde los riesgos pueden impactar de manera perjudicial la disponibilidad de servicios, la protección de datos y la integridad de la infraestructura.

Mediante el conocimiento de estos procesos, necesidades y riesgos, la organización que adopta un enfoque de Ciber Resiliencia tiene la capacidad de conocer qué tecnologías debe implementar en un mediano o largo plazo. Adicionalmente, la compañía puede comprender la importancia de equipos especializados para la prevención de ciberataques como son los CSIRT y SOC, además de obtener información y recursos de equipos CERT.

Si bien una empresa se ve beneficiada directamente mediante la Ciber Resiliencia, ésta puede considerarse como un bien común, pues teniendo en cuenta que una organización aprende con las experiencias de otra, las colaboraciones y alianzas son un elemento clave dentro de este enfoque. Además, cabe destacar que este tipo de colaboraciones de gran impacto pueden ser de carácter estrictamente privado o darse entre empresas, entes reguladores y el Gobierno.

Por último, tanto los directorios como los gerentes generales deben ser los encargados de que la organización cuente con una estrategia de Ciber Resiliencia, ya que aunque estas iniciativas pueden surgir desde las áreas de TI o soporte, es muy difícil que allí se generen planes estratégicos para enfrentar los ciberriesgos con foco en el negocio de una manera oportuna y efectiva.