Hemos visto muchas estadísticas respecto a lo que ocurrió el pasado mes de marzo, cuando nos vimos abocados a realizar cambios en nuestros procesos de trabajo prácticamente en el momento. Datos respecto a la implantación del teletrabajo en España, en Europa, de la implantación en 2019, en 2018, por meses, por días, etc. Todas ellas nos dan, sin duda, una visión del salto al vacío que han tenido que dar muchas empresas en nuestro país para poder seguir realizando su actividad, diríamos de una manera «normal». Pero, este proceso que debería tardar meses o años, ¿se ha realizado con garantías?, ¿las empresas tienen claro qué nivel de protección tienen sus empleados trabajando desde casa?, ¿consideran que corren riesgos con este cambio?
Pasados más de seis meses de aquel fatídico 16 de marzo, muchas empresas son capaces de contestar a estas preguntas. No digo que las respuestas sean satisfactorias, pero sí que pueden tenerlas. Algunas de ellas estarán determinadas porque, desgraciadamente, han visto vulnerada su información por medio de los muchos ataques que vimos proliferar en los primeros meses del confinamiento: casi 18 millones de ataques diarios relacionados con el COVID en el mes de marzo, según el periódico Expansión. Otras pueden dar respuesta porque desde el minuto uno tomaron decisiones, se dejaron aconsejar y mejoraron sustancialmente la protección con la que sus empleados trabajaban desde sus casas. Pero, desgraciadamente, aún quedan compañías que no están ni en un caso ni en otro.
Especialmente para el último grupo, quisiera exponer una serie de situaciones, de problemas añadidos, de posibles soluciones; en definitiva, poner en valor qué se puede hacer ahora si te encuentras en una situación comprometida. Para el resto de empresas, esto también les podrá servir para realizar un listado «Did it» o un «To do» (sinceramente, espero que sea más corto el segundo que el primero).
Dispositivos de teletrabajo
Comenzaremos por el principio: ¡todos a casa a trabajar! Pero… ¿con qué dispositivos? El 37 por ciento de los teletrabajadores utiliza dispositivos personales para realizar su trabajo diario. Sin embargo, cabe preguntarse: ¿tienen herramientas de protección?, ¿cuentan con las mismas medidas que los dispositivos que dispone la compañía? Si estas preguntas no arrojan respuestas de manera conveniente, ya tenemos una primera brecha de seguridad.
Hemos de mantener las mismas políticas de protección de equipos tanto dentro como fuera de la compañía, y si es posible aprovechar esta situación para mejorar esta protección
Es evidente que la ciberseguridad corporativa debe contar con una solución EDP (Endpoint Detection and Protection) de calidad contrastada, robusta y gestionada; pero aparecen nuevas ciberamenazas que se han de tener en consideración y deben ser mitigadas de manera conveniente. En este sentido, cada vez es más habitual contar con herramientas como la sandbox del fabricante de referencia para poder evitar amenazas tipo Zero Day o soluciones EDR (Endpoint Detection and Response) para mitigar riesgos como los derivados de una APT (amenaza avanzada persistente), herramientas que monitorizan los procesos que se abren en los dispositivos gestionados para evitar ataques inesperados.
Pasado este nivel, nos encontramos con las amenazas derivadas de las conexiones domésticas y con su nivel de protección. Es indudable que requeriremos de una VPN estable que permita al usuario, ahora sí, conectarse desde cualquier dispositivo de manera remota a los recursos de la compañía, con la garantía que proporciona el uso de un canal protegido. Ahora bien, ¿podemos confirmar al cien por cien que la persona que se conecta en remoto es realmente quien dice ser?, ¿el usuario y la contraseña de acceso son suficiente garantía? Ante esta incertidumbre existen múltiples soluciones que proporcionan una mayor protección a estas conexiones con garantías. Quizá una de las más sencillas de gestionar y asociada, habitualmente, al teléfono móvil del colaborador es el denominado 2FA (doble factor de autenticación). Esta herramienta, que está asociada a la contraseña de acceso al dispositivo móvil, al usuario y contraseña de autenticación en la VPN y a la contraseña de un único uso que nos proporciona la solución, garantiza que el acceso solo lo pueda realizar la persona que realmente está habilitada para ello.
Protección de la información
Hasta aquí hemos hablado de protección de equipos y de control de accesos, pero quizá incluso más importante que estos sea la protección de la información que se está manejando. En este caso, lejos de la sede de la empresa, teniendo en cuenta diferentes vertientes: en 2018, un 69 por ciento de las compañías españolas habían sufrido algún intento de robo de información por parte de los empleados. ¿Cómo de sencillo puede resultar realizar esta acción estando trabajando desde casa?, ¿tenemos visibilidad de la gestión que realizan nuestros empleados de los archivos a los que acceden? Existen una serie de herramientas denominadas DLP (Data Loss Prevention) que nos permiten no solo evitar este posible robo, sino además tener visibilidad de la gestión que realizan todos los empleados de una compañía y de los archivos a los que acceden, estén donde estén. Otra parte importante es garantizar que, en caso de tratarse de una perdida de información involuntaria, es necesario contar con una herramienta de cifrado que no solo protegerá nuestra información si la hemos perdido, sino que además es un nivel adicional de protección ante amenazas tipo cryptolocker y evita el cifrado no deseado por la misma.
Las empresas necesitan que esta información, ocurra lo que ocurra, esté guardada de manera segura y accesible por medio de una copia de seguridad. Algo que muchas veces ha salvado a las organizaciones ante amenazas informáticas, pero que en la situación actual de teletrabajo se convierte en una necesidad imperiosa, ya que nunca sabemos qué puede pasar en un dispositivo ubicado a muchos kilómetros de la sede de la compañía.
Finalmente, debemos completar esta protección con la que proporcionará la formación de nuestros empleados. Es necesario que los trabajadores sean conscientes de que la información que manejan es vital para la firma y que, con unas normas de conducta muy básicas, podremos garantizar que no es vulnerada, robada o incluso perdida.
Hace falta diseñar, aún más ahora, un programa de formación destinado a todos los empleados, trabajen en la sede de la empresa o en casa
Resumiendo, podemos confirmar que el teletrabajo acumula innumerables ventajas, como la conciliación familiar, la ecología, el cambio de paradigma tecnológico en muchas empresas, etc. Pero todo este cambio necesita disponer de herramientas de control que nos aseguren que los dispositivos y la información, sobre todo, disponen de un nivel de protección que no pueda afectar en ningún momento el trabajo diario de cada empleado, como la continuidad de negocio en caso de sufrir un ataque informático. Todos estos cambios los hemos tenido que realizar sin previsión, muchas veces sin presupuesto, pero es necesario concienciar también al empleado para que tome conciencia de esta necesidad.