Con el teletrabajo, la información a la que normalmente acceden los trabajadores desde las instalaciones corporativas se ve diseminada debido a los distintos medios que dependen de las herramientas tecnológicas con las que cuentan sus empleadores. Desde el punto de vista de la ciberseguridad, no es indiferente qué tan preparadas están las empresas para llevar a cabo estos desafíos y qué mecanismos se están utilizando para ejecutar el teletrabajo. Las herramientas y medidas lógicas de protección que posee una red y un computador domésticos serán mucho menos robustas que las establecidas a nivel corporativo, como antivirus, firewalls, programas para detectar correos de phishing y bloqueo de sitios, entre otros.
Debido a lo anterior, se hace indispensable desarrollar protocolos informativos y obligatorios relativos a las medidas de seguridad mínimas, tanto lógicas como organizacionales, asociadas a las actividades de los trabajadores que están hoy desempeñando sus funciones desde sus casas.
Hábitos de Internet y factor humano
Por otra parte, la pandemia del Covid-19 ha generado que las empresas hayan alterado profundamente los hábitos de tráfico de Internet en sus servidores corporativos, volviendo más difícil detectar aquellos comportamientos inusuales que podrían corresponder a un hackeo.
Si antes las empresas monitoreaban sus redes internas y las conexiones que entraban y salían desde aquellas redes, el teletrabajo les ha exigido el desafío de monitorear muchas conexiones que vienen desde afuera, ampliando intempestivamente su campo de control y aumentando, por tanto, los riesgos de ataques. Adicionalmente, no podemos ignorar el componente humano de esta contingencia. La preocupación y distracción ante la pandemia del Covid-19 será un factor que facilitará comportamientos desacertados, como la apertura de correos maliciosos, la instalación de aplicaciones riesgosas, errores en el ingreso o divulgaciones indebidas de contraseñas, entre otros, los que en conjunto crean un escenario vulnerable y atractivo para ataques.
Javiera Sepúlveda. Paulina Silva. Alejandro Hevia. Miguel Pérez.
Lo anterior se replica también en aquellas industrias que están operando bajo presión y altos niveles de estrés, como las clínicas y hospitales. De hecho, ya se han reportado preocupantes ataques de ransomware a hospitales en el mundo, como el que afectó recientemente al Brno University Hospital en República Checa, causando la interrupción de sus operaciones y la suspensión de las atenciones a pacientes. La razón de esto es que los atacantes asumen que los hospitales estarán tan presionados para operar en su máxima capacidad, que tendrán altos incentivos para pagar los rescates exigidos, convirtiéndose en las víctimas perfectas en tiempos de crisis sanitarias.
Incluso desde el punto de vista de la diversificación de las comunicaciones que las jefaturas tienen con sus trabajadores con motivo del teletrabajo, los empleados precavidos tendrán igualmente mayor riesgo de caer en las trampas de phishing, por ejemplo, al no tener claridad de los canales de comunicación directos con los departamentos de TI, ya sea porque habrá mayores barreras para requerir asistencia o por no poder consultar con sus jefaturas si determinados correos son o no maliciosos. La probabilidad de que un empleado corrobore la autenticidad de un correo podría verse menoscabada.
En Chile no existe hoy un marco normativo que regule las obligaciones de ciberseguridad de los empleadores en relación con el teletrabajo y, por tanto, es responsabilidad de las empresas autorregularse en estas materias y concentrar los esfuerzos en la inversión de medidas a corto y mediano plazo. En el recientemente aprobado proyecto de ley de trabajo a distancia (Boletín 12008-13), se incorpora una obligación de ciberseguridad para los empleadores que incluye informar a los trabajadores acerca de los riesgos que entrañan sus labores, las medidas preventivas y los medios de trabajo correctos, hecho que los obliga a efectuar capacitaciones, previamente al inicio del teletrabajo, sobre las medidas de seguridad y salud que deben considerarse para el desempeño de sus funciones.
Por todas estas razones, la ACC considera que la oportuna y costo-eficiente implementación de medidas para mitigar riesgos del teletrabajo debe ser urgente y prioritaria en todas aquellas empresas que han puesto o que planean poner en marcha este mecanismo. En este sentido, es necesario consultar el Protocolo de Seguridad para Trabajo a Distancia (https://bit.ly/35Hhdpz), emitido recientemente por el Equipo de Respuesta de Incidentes de Seguridad Informática del Ministerio de Interior (CSIRT).
Medidas para mitigar los riesgos en el teletrabajo:
• Implementar políticas de ciberseguridad que contengan medidas mínimas en el teletrabajo y protocolos de notificación de brechas de seguridad. Estas deben ser puestas en conocimiento y ser fácilmente accesibles por parte de los trabajadores, y deben mantenerse actualizadas y auditadas periódicamente.
• Implementar y mantener actualizados Planes de Continuidad de Operaciones (COOP) y Planes de Continuidad de Negocios (BCP) de la empresa.
• Mantener constantemente actualizados los equipos corporativos.
• Exigir a los empleados que mantengan actualizados sus equipos domiciliarios en relación con:
– Antivirus y antimalware.
– Sistemas operativos y aplicaciones para evitar las vulnerabilidades.
– Limpiar sus ficheros temporales, logs, cookies, etc.
• Bloquear el equipo cuando no se está trabajando para evitar que accidentalmente se pueda borrar información valiosa, o que otros integrantes del hogar pudieran contaminar el computador personal con malware que permita entrar, vía ese equipo, a los sistemas centrales de una empresa.
• Usar redes privadas virtuales (VPNs) ojalá siempre al conectarse remotamente, para asegurar la confidencialidad e integridad de la información accedida por los trabajadores.
• Si la empresa no cuenta con acceso VPN, es importante entrar a través de una nube que me permita tener acceso remoto pero sin ingresar realmente a los sistemas centrales de la empresa.
• Impartir la instrucción de evitar conectarse desde redes públicas de Wi-Fi en el desempeño de funciones laborales a distancia, a menos que se utilice una VPN.
• Exigir el uso de contraseñas robustas y confidenciales. Más aún, es recomendable usar un administrador de claves secretas, de modo que estas sean complejas y fáciles de administrar.
• Implementar herramientas de doble autenticación para el acceso remoto de los trabajadores a los sistemas de la empresa, ya sea a través tokens físicos, de aplicaciones de seguridad instaladas en los móviles de los trabajadores o, incluso, mediante herramientas biométricas, cuando aquello sea proporcional con la sensibilidad de la información accedida.
• Promover la administración de permisos y usuarios diferenciados en los casos de trabajadores que se conecten desde equipos familiares, para mitigar el riesgo de acceso a información de la compañía por miembros del grupo familiar o terceros. Asimismo, mantener control físico adecuado de todo dispositivo de almacenamiento que contenga data de la compañía, siendo recomendable, además, usar técnicas de cifrado de la información guardada.
• Implementar un protocolo de detección de phishing, que obligue a los trabajadores a chequear los dominios de los que vienen los correos electró- nicos recibidos y otorgue canales de comunicación claros y accesibles en caso de dudas.
• Uniformar los canales de comunicación de las jefaturas con sus trabajadores para evitar la entrega y divulgación de datos personales y/o contraseñas por medio de canales no autorizados.
