Los desafíos que la pandemia ha generado han impactado a prácticamente todos los ámbitos de la vida del ser humano. Uno de ellos, ha sido la forma de trabajar ya sea en un esquema híbrido o bien, totalmente desde casa.
Esta nueva normalidad ha obligado a hacer un mayor uso de herramientas tecnológicas, por lo que trabajar en medidas de seguridad se ha convertido en una prioridad para las empresas. Sobra mencionar que el actuar negligentemente al respecto, podría tener severas consecuencias en áreas legales, comerciales, operativas, económicas y, en la reputación de la organización.
De acuerdo con Deloitte este riesgo se ha hecho patente con las siguientes cifras:
- Un 47% de personas cayeron en estafas de phishing (mensajes que tienen la apariencia de proceder de fuentes de confianza, pero que en realidad, buscan manipular al usuario para robar información confidencial), mientras laboraban desde sus hogares.
- El costo promedio de una filtración de datos (como resultado del trabajo remoto) puede ser de hasta de 137 mil dólares.
- La policía de Londres denunció que, de enero a julio de 2020, se habían perdido más de 11 millones de libras esterlinas debido a estafas.
- En Suiza, 1 de cada 7 encuestados había sufrido un ciberataque a partir de la contingencia sanitaria.
- Entre febrero y mayo de 2020, más de medio millón de personas en todo el mundo se vieron afectadas por violaciones en las que los datos personales de los usuarios de videoconferencias fueron robados y vendidos en la deep web.
- Antes de la pandemia, aproximadamente el 20% de los ciberataques utilizaban malware u otro tipo de métodos desconocidos. Durante la pandemia, esto ha aumentado a un 35%.
Los hackers han encontrado la oportunidad perfecta para delinquir, ya que muchas personas que están trabajando a distancia se encuentran expuestas y vulnerables, debido a que la gran mayoría carece de medidas de ciberseguridad apropiadas.
Mckinsey & Company propone algunas tácticas que las organizaciones pueden adoptar para escudarse de estos malintencionados embates. La consultora las divide en aspectos tecnológicos, del personal y de procesos.
En este artículo se revisarán las concernientes a la tecnología y en subsecuentes publicaciones, aquellas relacionadas con el personal y los procesos.
- Acelerar la aplicación de “parches” (actualizaciones) para sistemas críticos (por ejemplo, redes privadas virtuales o VPN o interfaces en la nube, esenciales para el trabajo remoto). Con esto, las empresas pueden eliminar vulnerabilidades poco después de detectarlas.
- Ampliar la autenticación multifactor o MFA. Los colaboradores deben usar esta herramienta para acceder a redes y aplicaciones que pueden resultar críticas. De esta forma se puede tener un mayor y mejor control.
- Instalar controles complementarios para el acceso remoto. Algunas aplicaciones, como por ejemplo, las interfaces para cajero automático, sólo se encuentran disponibles in situ. Para tener acceso a estas aplicaciones desde casa, es necesario implementar controles, como por ejemplo, la activación de la VPN o la MFA.
- Considerar la Shadow TI. A pesar de que en teoría esto no tendría que existir es un hecho que es parte de las prácticas cotidianas de los empleados. La Shadow It son sistemas que no están avalados por el equipo de sistemas de la compañía. Con el esquema extendido de trabajo remoto, se harán muy evidentes estos sistemas, ya que los propios colaboradores no podrán acceder a esos recursos.
La recomendación es que el equipo de sistemas esté preparado para la transición, soporte y protección de activos clave de los negocios. - Acelerar la virtualización de los dispositivos. Basándose en la nube, las soluciones de escritorio virtualizadas pueden facilitar el trabajo desde casa, ya que muchas de ellas pueden implementarse más rápidamente que aquellas que son de carácter presencial o local. En este punto, no hay que perder de vista la necesidad de la autenticación multifactor, para garantizar la seguridad de estas nuevas soluciones.
Al no tener una supervisión presencial, muchos colaboradores, pueden exponerse a amenazas al abrir cierto tipo de sitios Web maliciosos que en la red de trabajo in situ, generalmente, son bloqueados.
De ahí, la importancia de concienciar y facultar al personal para que evite estar expuesto a amenazas y con ello, preservar la seguridad de la empresa.
Veamos cuáles son las acciones que se pueden establecer con los trabajadores:
- Comunicación creativa. Muchos de los mensajes de crisis en seguridad cibernética, pueden perderse en el trayecto. Por ello, es importante que el equipo de sistemas garantice que esta comunicación se dará bidireccionalmente, encontrando los medios más adecuados para ello. Es muy importante que los colaboradores puedan reportar algún incidente en tiempo real; que tengan la facilidad de exponer sus dudas, de revisar respuestas a sus inquietudes; que cuenten con canales a través de los que compartan sus experiencias, así como buenas prácticas. Facilitarles herramientas, como por ejemplo, ventanas emergentes o pantallas de bloqueo universal, en las que puedan publicar anuncios.
Afortunadamente, hoy en día hay una gran cantidad de herramientas que permiten establecer esta clase de interacción. - Enfocarse en lo que se debe hacer, más que en lo que no. Si el equipo de sistemas permanentemente prohíbe cierto tipo de sitios, el resultado será, justamente, lo contrario. En lugar de eso, pueden hacer recomendaciones de ciertas herramientas de mensajería, transferencia de archivos y de gestión, que no sólo les ayuden a su desempeño, también, a la seguridad y productividad de la organización. Asimismo, para fomentar un comportamiento seguro, pueden promover el uso de dispositivos aprobados, dando la información de los establecimientos donde se puede adquirir tanto software como hardware fiable.
- Incrementar el conocimiento de la ingeniería social. Es de suma relevancia que los responsables del área de sistemas, capaciten al personal en temas como phishing, vishing(phishing de voz) y smishing (phising de texto). Hay que evidenciar que estos engaños dan resultado, porque se explota el miedo, el estrés y la incertidumbre de la gente.
Por ello, es importante actualizar el contenido de las campañas de entrenamiento y abordar estos temas, mismos que se han disparado a partir de la llegada de la pandemia. - Identificar y monitorear grupos de usuarios de alto riesgo. Algunos colaboradores representan un mayor riesgo en cuestiones de ciberseguridad; sobre todo, por el tipo de actividad que desempeñan. Por ejemplo, aquellos que trabajan con información de identificación personal u otros datos confidenciales.
El seguimiento de estos miembros de la organización ayudará a detectar comportamientos atípicos, como patrones inusuales de ancho de banda o descargas masivas de datos organizacionales, los cuales, casi siempre indican algún tipo de infracción.
La generación de conciencia con respecto al impacto de las decisiones que toman los individuos dentro de la empresa, es un factor clave para blindarla de los ciberataques. Aun con las herramientas más avanzadas o con la tecnología más poderosa, es esencial la colaboración y compromiso del personal. Sin su ayuda, nada dará buenos dividendos.
Indudablemente, muy pocos negocios estaban diseñados para apoyar el trabajo desde casa, por lo que carecen de medidas adecuadas para un control integral.
Para ilustrar mejor esto, supongamos que un colaborador nunca ha llevado a cabo trabajos remotos de alto riesgo y no ha instalado una VPN. La configuración de esta herramienta puede resultarle imposible, básicamente, por los requisitos de iniciación que se deben cumplir. En situaciones así, procesos de control de seguridad complementarios pueden mitigar los riesgos.
Revisemos algunos de estos procesos:
- Soporte con herramientas seguras al trabajo remoto. Al igual que se destina a una gran cantidad de empleados del área de TI a la instalación y configuración de herramientas básicas de seguridad, como VPN y MFA, las organizaciones, temporalmente, podrían destinar a parte del equipo de seguridad a call centers, para brindar soporte adicional y de primera mano.
- Prueba y ajuste de las capacidades de IR y BC / DR. Aun con la validación de las herramientas de comunicación remota y que los instrumentos de colaboración permiten a las empresa a apoyar su respuesta a incidentes (IR) y a la continuidad del negocio (BC) / recuperación ante desastres (DR), es necesario que ante la crisis actual, las organizaciones hagan ajustes en sus planes. Para poder encontrar puntos débiles en los ya existentes, se puede realizar un breve ejercicio de IR o BC / DR, sin nadie en la oficina y con base en los resultados obtenidos, hacer las intervenciones necesarias.
- Asegurar documentos físicos. Generalmente, dentro de las oficinas se cuenta con una serie de mecanismos para el intercambio de documentos o, para la eliminación de ciertos archivos impresos (trituradoras y papeleras seguras). Sin embargo, no necesariamente se cuenta con el mismo equipo en casa, por lo que información sensible o confidencial, puede terminar en la basura. Por tanto, es necesario establecer procesos que permitan la retención y destrucción de copias físicas, incluso si esto implica esperar a que se restablezca la operación en oficinas.
- Ampliar el seguimiento. Incrementar las actividades de monitoreo de toda la organización, particularmente para datos y puntos finales, es importante por dos razones. Primero, porque los ciberataques han proliferado durante la pandemia. En segundo lugar, porque el establecer límites de protección básica, como proxies, puertas de enlace Web, sistemas de detección de intrusiones en la red (IDS) o sistemas de prevención de intrusiones (IPS), no protegen a los usuarios que trabajan desde casa, fuera de la red empresarial y que no están conectados a una VPN.
Para extender el monitoreo, los equipos de seguridad deben actualizar la gestión de eventos e información de seguridad (SIEM), desarrollar nuevos sistemas con nuevas reglas y descubrir hashes para malware novedoso.
Asimismo, es recomendable aumentar la cantidad de personas para el Centro de Seguridad de Operaciones (SOC) y con esto, compensar la falta de seguridad basada en la red. - Aclarar los protocolos de respuesta a incidentes. Cuando se producen incidentes de ciberseguridad, los líderes de seguridad cibernética deben generar protocolos de respuesta para que, en un momento dado, éstos no se detengan por no poder contactar a los tomadores de decisiones o por no poder seguir las vías jerárquicas establecidas, debido a que el personal está trabajando desde casa.
- Confirmar la seguridad de terceros. Así como se emplean evaluaciones entre el personal para mejorar los protocolos de seguridad del trabajo remoto, es necesario hacerlo con contratistas y proveedores y en general, terceros con los que la empresa se relaciona. En caso de detectar controles o procedimientos inadecuados, habrá que considerar limitar o incluso suspender su conectividad hasta que puedan mejorar sus áreas de oportunidad.
- Mantener buenas prácticas en las adquisiciones. Las adquisiciones hechas rápidamente buscan cerrar las brechas de seguridad relacionadas con el trabajo desde el hogar. La necesidad de cierta seguridad y de algunas herramientas de TI pueden parecer urgentes, pero, no hay que perder de vista que una pobre selección del proveedor o una implementación apresurada, pueden ocasionar más daño que beneficio.