Con la llegada del Coronavirus a nuestro país, y las consiguientes medidas sanitarias, el teletrabajo pasó a ser la modalidad con la que gran parte de las compañías lograron seguir manteniéndose operativas, pese a las restricciones propias de la contingencia actual. En una encuesta aplicada por la especialista en RRHH, Randstad, se registró que la implementación de home-office en las empresas del país llegó a 72% ya a mediados de marzo.
Si el estallido social había dado las primeras muestras de la necesidad notoria de adoptar esta forma de trabajo para seguir operando, la pandemia terminó por imponer esta modalidad. Lo cierto es que también tomó por sorpresa a las empresas y muchas no estaban del todo preparadas. Es así como numerosas personas comenzaron a trabajar desde sus casas, muchas desde sus propios equipos y con sus recursos tecnológicos, sin el uso de redes privadas virtuales, o con sistemas operativos y antivirus no actualizados. Es decir, se llevaron la oficina a la casa, pero no la ciberseguridad que tenían en la oficina.
De acuerdo al estudio “Digital Workplace Report”, realizado por NTT Ltd, el 60% de las compañías a nivel mundial no tiene una estrategia formal para el trabajo digital, como organizar a los equipos y definir los cuidados que se deben tener a nivel de ciberseguridad. Ante este nuevo contexto, han comenzando a prosperar los delitos informáticos, buscando aprovechar las brechas de seguridad. Ya se ha identificado en Chile un alza de 40% en delitos como phishing, malware, ransomware, etc., a partir de la pandemia.
Gabriel Bergel, ELEVENPATHS / 8.8. Rodrigo Cariola, TECNOVAN. Héctor Gómez, PWC. Marcelo Zanotti, EY.
Debilidades ante una migración acelerada
Sin duda, el virus llegó a Chile y el escenario cambió. De un momento a otro se hizo necesario proteger la salud y eso implica una migración al teletrabajo rá- pida y forzosa, que trajo consigo también debilidades. Según explica Gabriel Bergel, CSA (Chief Security Ambassador) en ElevenPaths, además de CEO y Cofundador de 8.8, “probablemente, la mayoría de las empresas tenía plataformas para establecer conexiones remotas seguras, VPN (Virtual Private Network), pero también posiblemente estas no se habían dimensionado para que fueran ocupadas por todos los colaboradores de la empresa y de manera concurrente”. Por otra parte, agrega que los colaboradores, al contar con computadores de escritorio y no laptops, se ven obligados a usar desde sus casas PCs personales que no tienen los mismos mecanismos de seguridad y control que un computador corporativo; y un tercer punto, que ha salido a la palestra a poco andar, es el uso de plataformas de videoconferencia gratuitas, donde la mayoría no permite controlar/autorizar a los asistentes a una reunión, establecer contraseñas, salas de espera, etc. “Y se produce el denominado ‘bombing’ de la reunión, donde ingresan muchas personas que no estaban invitadas y sobre las cuales no se tiene ningún control”, explica.
¿Qué hemos hecho mal? Los especialistas coinciden en que, en este sentido, más que hablar de errores cometidos en la migración al teletrabajo, se trata de una situación única y nunca antes vista, donde hay que derribar mitos y resistencias e, indudablemente, hay muchos retos y aprendizajes. A juicio de Rodrigo Cariola, Director General de Tecnovan, más del 80% de las empresas o instituciones no estaban preparadas. “Y el no tener cultura proactiva nos lleva a que hoy la gran mayoría del teletrabajo se realice bajo condiciones de muy poca seguridad, ya que la necesidad lleva a que este debe funcionar antes de que sea seguro”, agrega.
“Aspectos como seguridad física, ciberseguridad de equipos e incluso la actitud frente a las medidas de protección de los colaboradores, pueden verse muy degradados en el trabajo a distancia. En este sentido, el mayor peligro radica en relajar la implementación de medidas o mecanismos de seguridad”, complementa Héctor Gómez, Senior Manager de Ciberseguridad e Inteligencia de PwC Chile.
Las mayores amenazas
Hoy podemos ver que las empresas están mucho más expuestas a riesgos que lo acostumbrado; “han tenido que externalizar el trabajo de sus empleados no en las mismas condiciones que si estos estuvieran dentro de las organizaciones, por ende, el nivel de exposición es mayor en el ámbito de los ataques, robo de información u otros que habitualmente ocurren incluso en condiciones de seguridad aceptables”, detalla el ejecutivo de Tecnovan.
Y es que la pandemia actual está desafiando a las organizaciones de todo el mundo a adaptarse y priorizar las funciones y procesos críticos. Así lo enfatiza Marcelo Zanotti, Socio de Consultoría en Riesgo de EY, para quien la capacidad de una organización para proteger a su fuerza de trabajo remota, y valiosos activos de información, así como de responder rápidamente a un incidente de ciberseguridad, será vital para superar este período de incertidumbre. “Los cibercriminales no descansan y están utilizando el miedo, la incertidumbre y la curiosidad del público, en general, sobre la pandemia, para adaptar sus vectores de amenazas, tácticas y estrategias de ataque”, agrega. Es así como, explica, se ha observado un aumento en el número de intentos de phishing, sitios maliciosos y e-mail vinculados a la pandemia, que aparecen como actualizaciones de noticias fraudulentas, orientación preventiva, mapas de virus, resultados de laboratorio o supuestas comunicaciones oficiales de las organizaciones.
Por lo mismo hoy, según explica Gabriel Bergel, la amenaza principal es la ingeniería social, un conjunto de técnicas que permiten a los cibercriminales obtener información o acceso a un recurso a través de terceros sin necesidad de que estos se den cuenta de que fueron engañados, principalmente mediante phishing.
“Vemos pérdida, fuga y robo de información, suplantación de identidad, principalmente si no se están ocupando computadores corporativos desde las casas, ya que el ambiente en el hogar es totalmente distinto desde el punto de vista de seguridad al de una empresa”, detalla el ejecutivo. Y es que la realidad de los hogares hoy implica que el computador se comparte con los hijos, se bajan aplicaciones sin control, se visitan sitios web de descarga, torrents, etc. Además, un malware introducido a través de cuentas personales puede llegar al dispositivo de trabajo y desde allí a la red de la empresa. Todo eso aumenta la posibilidad de infección. Adicionalmente, a juicio del profesional de ElevenPaths, es probable que muy pocos tengan un firewall en sus casas, que permite bloquear los puertos -una suerte de “ventanas” de acceso a nuestra red-; revisar el tráfico y así poder filtrar y proteger esta, lo que puede ser peor considerando las vulnerabilidades de una red Wi-Fi abierta sin contraseña o con un protocolo de seguridad débil.
“Ahora, el Covid-19 está brindando a los cibercriminales una nueva forma de engañar a cualquiera que esté ansioso por la pandemia. Casi todos los correos electró- nicos fraudulentos se reducen a pedirle al destinatario que haga clic en un enlace o abra un archivo adjunto”, asevera el ejecutivo de EY.
Adicionalmente, se ha observado una mayor dificultad de los mecanismos de defensa para responder a eventos e incidentes, proceso hoy más complejo debido al aumento de falsos positivos a raíz de los nuevos ambientes de teletrabajo (todo el tráfico parecerá irregular a las ciberdefensas existentes hasta que se establezca una nueva línea de base de seguridad). “Los equipos de ciberseguridad pueden verse sobrepasados para revisar logs y no poder cubrir la demanda de análisis de vulnerabilidades, dejando de identificar amenazas críticas”, detalla el profesional.
Como siempre, el factor humano es clave
Debido a que muchas organizaciones no están preparadas para trabajar remotamente a escala en este nuevo entorno, cosas aparentemente pequeñas, como educar a los empleados sobre políticas y procedimientos de seguridad actualizados para la nueva normalidad, pueden pasarse por alto. Así lo explica Marcelo Zanotti.
Los ejecutivos coinciden en que la capacitación a los colaboradores es imprescindible. Para Rodrigo Cariola, “si no existe una política de la educación, se podrán instalar todas las plataformas y sistemas del más alto nivel, sin embargo la seguridad seguirá siendo insegura”. Agrega que esto no se arregla con tecnología, principalmente “se debe a una mejor cultura en el trabajo y educación a los usuarios, quienes son y serán las principales fuentes de ingreso de los ataques a las organizaciones, la gran mayoría de las veces de manera absolutamente involuntaria”. “Por eso, comunicar el riesgo a los empleados es absolutamente crítico como primera línea de defensa”, enfatiza el profesional de EY.
Según un reciente informe de Kaspersky, un 73% de los empleados que trabajan desde casa indica que aún no ha recibido ninguna orientación específica o capacitación para concientizarlo en temas de ciberseguridad. En este sentido, los proveedores coinciden es que es clave “contar con políticas, procedimientos y estándares documentados que permitan realizar teletrabajo de manera segura”, tal como comenta Gabriel Bergel.
Es esencial tomar las recomendaciones de los expertos para orientarse en este sentido, ya que el teletrabajo llegó definitivamente para quedarse. Si dudas sobre cómo dimensionar el riesgo y las medidas a tomar, un buen ejercicio es el que propone el ejecutivo de PwC: imagina que un colaborador de tu organización está teletrabajando desde una plaza o lugar público y deja desatendido su equipo para ir a almorzar. A partir de allí hay que preguntarse qué hacer para proteger los activos de información de la empresa en una situación como esa.
Hay varios aspectos anclas para las organizaciones, partiendo por “preocuparse de proveer las herramientas y plataformas adecuadas para que el teletrabajo tenga efectividad y seguridad”, explica el Director Comercial de Tecnovan. A esto se suma la importancia de “robustecer las medidas de seguridad de los equipos de los colaboradores, de manera de tratar de homologar en ellos las medidas de seguridad perimetral de la red de la empresa”, indica Héctor Gómez.
“Por otro lado, se debe crear la cultura del teletrabajo, qué significa y qué implicancia puede tener frente a la seguridad de la información y reputación institucional”, sentencia Rodrigo Cariola.
Respecto a plataformas tecnológicas de ciberseguridad, Gabriel Bergel recomienda implementarlas cuanto antes si la empresa no cuenta con una: “Existen muchas soluciones Open Source de bajo costo e incluso gratis que permiten implementar casi la totalidad de controles de seguridad que se necesitan para realizar un teletrabajo más seguro”.
Para Marcelo Zanotti, la clave es proteger la nueva infraestructura, con políticas y procedimientos de teletrabajo y el despliegue de capacitación; contar con comunicación y colaboración segura; confirmar identidad antes de confiar en cualquier correo electrónico relacionado con Covid-19; verificar fuentes legítimas antes de hacer clic en enlaces relacionados con la pandemia; y comprobar la capacidad de las empresas externas de cumplir con sus compromisos para proteger su privacidad.
Lo cierto es que el panorama de la ciberseguridad hoy se ve altamente exigido con el teletrabajo y las organizaciones deben enfocarse en proteger la seguridad y los límites de este nuevo entorno tal como dentro de sus propias paredes.
