Ante el aislamiento social propuesto por el Gobierno, un gran número de empresas argentinas autorizó el ingreso a sus sistemas desde conexiones remotas para poder funcionar en un régimen masivo de home office.
Esto implica un delicado balance entre la necesidad de evitar los graves perjuicios económicos de la inactividad y los riesgos del secuestro de datos (conocido como ransomware), así como otras fugas de información sensible.
"¿Estamos preparados para utilizar las plataformas digitales?", se preguntó Daniel Monastersky, director de la Diplomatura en Gestión y Estrategia en Ciberseguridad del CEMA y miembro del Consejo Asesor del Global Forum on Cyber Expertise.
"Siempre se aconseja que los cambios deben ser implementados de a poco, por etapas. De pronto y sin previo aviso, muchas personas fueron obligadas a desarrollar su actividad desde sus hogares, utilizando plataformas que, quizá, nunca habían usado en su vida", advierte Monastersky.
El experto remarca que si bien existen requerimientos técnicos que cada organización debe cumplir para estar alineados con los estándares, poco se ha difundido sobre la importancia de reforzar la cultura de la seguridad de estos "nuevos" teletrabajadores.
"Al desarrollar tareas de manera remota, los vectores de ataque se amplían y los riesgos aumentan", señala Monastersky, quien se pregunta: "¿Qué hacen las organizaciones para los trabajadores no sean vulnerados más allá de las medidas técnicas que implementan desde las compañías?".
En este sentido, aconseja formar en ciberseguridad a los empleados para que tapen su webcam a fin de evitar posibles accesos remotos y activar el doble factor de autenticación en todas las plataformas en las que esté disponible, así como pensar antes de publicar fotos, videos, comentarios y demás publicaciones.
"Los delincuentes informáticos están aprovechando la desesperación de la población por la pandemia para poder lograr sus objetivos. Para ello están creando apps maliciosas, webs y campañas falsas vía mail, mensajes de texto y whatsapps", alerta.
En consecuencia, se vuelve fundamental generar espacios para desarrollar campañas de educación y concientización digital, para lo cual "deben involucrarse los gobiernos, empresas y organizaciones a brindar este tipo de contenido para minimizar los riesgos".
Vulnerabilidad de la empresa
iProUP accedió a un informe de Deloitte confeccionado para sus clientes en el que la consultora enumera diversos consejos para aquellas compañías que enfrenten la necesidad de implementar de forma masiva el home office y evitar riesgos informáticos,
En primer lugar, el documento se refiere a las empresas que no habían implementado sistemas de teletrabajo –salvo para contadas excepciones como los empleados de sistemas– antes de la crisis del coronavirus. Este grupo será el que estará más comprometido en materia de seguridad.
De esta forma, Deloitte resume las principales cuestiones a contemplar ante la generalización del homeoffice:
- Evaluar el alcance y el modelo de colaboración empresarial remota en función del tamaño de la compañía y las características de la industria
- Seleccionar herramientas de colaboración para escenarios comerciales específicos. Para ello, tener en cuenta las características de seguridad de la plataforma o el software de oficina remota
El informe dedica un apartado a las condiciones de propiedad de los datos y protección de la privacidad establecidos en el acuerdo de uso y cooperación, junto con las certificaciones de seguridad de la industria y otras características relacionadas con portabilidad, disponibilidad, escalabilidad, a saber:
- Clarificar el alcance del acceso a servicios de oficina por parte de terceros, definir los límites de integración con sistemas de terceros y fortalecer el control de acceso de seguridad a datos confidenciales
- Mejorar el monitoreo de seguridad constante por parte del área de sistemas y la protección de los servicios y sistemas de información de la empresa. De ser necesario, reorganizar los roles de análisis y respuesta a ataques de ciberseguridad
Asimismo, Deloitte también se refiere a las empresas que ya habían implementado acceso remoto flexible y soluciones de colaboración ya implementadas antes de la pandemia del coronavirus.
Sin embargo, este universo de compañías también debe asegurar ciertas acciones para no tener incidentes de seguridad durante este período, para lo cual la consultora recomienda:
- Llevar a cabo actividades de concientización y entrenamiento de seguridad de la información y ciberseguridad en aspectos relacionados con el modelo de colaboración remota de los empleados.
- Realizar un seguimiento oportuno de accesos sospechosos y situaciones anormales
- Ejecutar planes de seguridad para oficinas remotas en escenarios especiales y repasar los procesos de respuesta de emergencia correspondientes
- Centrar la atención en garantizar instalaciones de servicio que proporcionen acceso remoto y colaboración de forma segura, tales como: capacidad, disponibilidad y seguridad de servicios VPN, correo electrónico y acceso a los datos almacenados en la red interna, entre otros
- Revisar –y, de ser posible, mejorar– las medidas de protección de seguridad de los servicios e interfaces de acceso remoto. Estos incluyen, entre otros, autenticación multifactorial, la eliminación oportuna de privilegios de acceso remoto y el monitoreo sobre estos servicios. También los planes de emergencia correspondientes para mejorar la flexibilidad de los servicios de red
- Fortalecer las capacidades de monitoreo y análisis de seguridad de toda la red de la empresa, prestando especial atención a los comportamientos de acceso privilegiado.
- Enfocar el monitoreo en el uso de datos confidenciales y en los servicios centrales que brindan acceso a estos datos, tales como el email y plataformas de operaciones comerciales
- Priorizar las soluciones de acceso y oficina remota aprobadas por la empresa y tratar de evitar el uso temporal de software de terceros para compartir información confidencial
- Realizar oportunamente copias de seguridad de los datos en la nube y proporcionar varias versiones de copias de seguridad históricas
La empresa quedó deshabitada
Un escenario de riesgo de ciberseguridad específico puede darse en oficinas corporativas desatendidas, comentó Deloitte, y aconsejó:
- Reforzar las restricciones de acceso físico a las oficinas
- Organizar el monitoreo de seguridad física en el sitio
- Definir esquemas para responder de manera oportuna a condiciones anormales en el lugar
- Establecer un sistema de servicio remoto para que el personal en servicio realice el monitoreo en tiempo real de la sala de computadoras, la red, los sistemas, las condiciones de operación de las aplicaciones, el uso de recursos
- Apagar equipos innecesarios de red periférica y nodos en la oficina
Asimismo, es responsabilidad de las compañías la protección de datos privados de los empleados, por lo que Deloitte advirtió que en respuesta a los requisitos de control de pandemia, las empresas deben controlar estrictamente el acceso, transmisión y uso de dichos datos en el proceso de estadísticas de información de salud y gestión de empleados para asegurar un alcance limitado de conocimiento.
También deben establecer el nivel de protección de datos clínicos y médicos y evitar el uso de plataformas de terceros para su almacenamiento o transmisión, ya que hay un mayor riesgo de fuga de datos confidenciales o privados debido a su exposición en entornos no seguros.
El acceso a los sistemas por vía remota
En medio de la urgencia de implementar home office sin previo aviso, las empresas se vieron forzadas a permitir que los empleados utilicen equipo propio, ya que no pudieron facilitarle notebooks corporativas.
Esta situación podría exponer datos confidenciales en redes no corporativas, redes sociales y/o plataformas de terceros que no cuentan con las medidas de protección apropiadas, afirma Deloitte.
Asimismo, en los últimos años han entrado a los hogares muchos dispositivos de red inteligentes pero con funciones de seguridad débiles, añadió.
Algunos de estos dispositivos también generan riesgos derivados de una configuración estándar no segura, la ausencia de mantenimiento o soporte por parte del proveedor, la falta de actualizaciones de seguridad y posibilidades de acceso desconocidas por el usuario, puntualizó Deloitte.
Las empresas deben identificar y clasificar los requisitos de conexión remota, identificar los riesgos relacionados y confirmar rápidamente el umbral de seguridad del negocio permitido bajo esta situación, explicó el informe.
En medio de la emergencia, conviene que las organizaciones:
- Implementen una capa consistente de autenticación multifactor (MFA) o una autenticación progresiva según la criticidad de las solicitudes de acceso.
- Garanticen que los procesos de gestión de identidad aseguren todas las identidades de terceros con acceso a la red de la compañía.
- Tengan una visión integral de las identidades privilegiadas dentro de sus entornos de sistemas, incluido un procedimiento para detectar, prevenir o eliminar cuentas huérfanas.
- Enfoquen el monitoreo de seguridad a los elementos nuevos y refuercen el monitoreo en escenarios de operación remota.
Los riesgos cibernéticos aumentan al homeoffice. Los dispositivos que no cuenten con la protección necesaria podrían provocar la pérdida de datos, violaciones de privacidad y sistemas víctimas de ransomware, y las medidas proactivas pueden mejorar la experiencia de los usuarios y su seguridad al momento de trabajar bajo este esquema.
Dolores Olveira *
*[email protected]
