En primer lugar, las empresas, desde que ocurrió el estallido social del 18 de octubre pasado, aplicaron tímidamente el teletrabajo. Ahora, con la pandemia, con mayor razón lo han hecho. Todo con el objetivo de dar continuidad operativa a los negocios, implementando de manera informal el teletrabajo.
Sin embargo, hoy, bajo el escenario “usuarios en cuarentena”, se ha puesto en riesgo la seguridad de la información de las compañías. Las razones para justificar esta afirmación son muchas. Entre estas, primero, y probablemente la más importante, es el acceso a sistemas corporativos desde PCs propios, además del uso de redes públicas, sin VPN (Red Privada Virtual). Esto, junto a herramientas de acceso remoto no licenciadas, descuido al hacer clic en correos falsos y la carencia de sistemas operativos y antivirus actualizados.
Un riesgo, que expone tanto al usuario como a la información (la voz es parte de la información) de la empresa, lo constituyen las herramientas de software utilizadas para hacer las reuniones virtuales. La más usada es Zoom, que subió su tráfico de 10 a 200 millones a nivel mundial. Su CEO reconoció los problemas de seguridad y contrató a Alex Stamos, ex directivo de Facebook, para mitigar el riesgo de “Zoombombing”, personas que atacan e interrumpen las sesiones de videollamadas.
El teletrabajo nació para quedarse, aunque obviamente existe hace años. De hecho, las estadísticas muestran un crecimiento exponencial del uso de trabajo remoto; tanto así que las empresas tendrán que proteger no solamente sus instalaciones y data centers, sino que también deberán readecuar su seguridad lógica y física, cuando el usuario esté en modalidad de teletrabajo. Para ello es recomendable tener políticas y normas de seguridad de la información, junto a la implementación de herramientas de acceso remoto, encriptación y/o VPN, cuidarse de correos falsos, contar con contraseñas robustas, usar solo plataformas corporativas, y mantener actualizado el sistema operativo y antivirus, entre otras medidas.
Cambio cultural
Será necesario educar a los usuarios en esta nueva modalidad, porque los obliga a un cambio cultural; idealmente darles de manera formal una política o procedimiento. La confianza personal puede implicar un riesgo para la confidencialidad de la información, debido a que no se trabaja al lado de compañeros de empresa, sino que al lado de personas de otras compañías, con un parentesco o amistad. Algunos expertos han advertido que con el apuro de implementar rápido el teletrabajo las compañías han “relajado” sus medidas de seguridad para poder dar acceso remoto a sus trabajadores. ¿Qué otros “errores” han cometido las organizaciones en este período en términos de seguridad?
Efectivamente, en empresas donde los directivos no le han dado importancia a la protección de la información y ciberseguridad, la orden ha sido “conéctense desde la casa”. Entonces habría que preguntarse si el PC de la casa tiene software de acceso remoto seguro (licenciado), sistema operativo actualizado, antivirus o antispam, y si solo tiene un usuario o es de uso familiar. Los ciberdelincuentes saben que esto es así y ya adecuaron su “estrategia de negocio”, atacando a las casas en lugar de los servidores de las empresas.
El phishing asociado a la crisis sanitaria es la principal amenaza. Este ataque puede ocurrir si una persona recibe un correo que trata de persuadirla a visitar un enlace o abrir algu´n archivo adjunto con información. En el actual contexto, un correo puede, por ejemplo, invitar a una persona a visitar un sitio que supuestamente tiene la cura de la enfermedad, entrega “medidas de seguridad” contra el virus, o informa sobre el avance del Covid-19 en tiempo real.
En general, no hay un análisis del riesgo operacional, sino que más bien atención por dar continuidad a los procesos de negocio, y así se expone la seguridad de la información. Esto debiera ser un perfecto equilibrio entre todas las partes.
Los riesgos de conectarse desde el computador personal son varios. Durante marzo de 2020 hay empresas ligadas al sector financiero que tuvieron que comprar al menos 50 notebooks para poder implementar el teletrabajo. ¿Fueron preparados estos equipos para resguardar los datos corporativos? ¿Los usuarios conocen las políticas y procedimientos de seguridad?
¿Cuáles son los sectores más sensibles?
Entre los sectores que hoy están más expuestos a cibercriminales en esta coyuntura figuran, en primer lugar, el segmento financiero, banca, seguros y empresas de comercio electrónico. Esto, por razones obvias; tienen tecnología vigente y medidas de ciberseguridad robustas, pero igual están expuestos.
Sin embargo, en empresas donde la tecnología es antigua, la madurez en gestión de riesgos es baja. Ahí no existen políticas de seguridad corporativas, planes de continuidad de negocio y si no han educado a sus usuarios en los riesgos a los que se exponen en la casa matriz, menos podrán asimilar el aumento de sus vulnerabilidades desde la casa. Se requiere la implementación de medidas de seguridad básicas, para luego actualizarse al teletrabajo. Aunque sea época de crisis, se debe invertir en soluciones seguras y en esto los dueños y directivos de empresas tienen una importante responsabilidad.