A fondo: El reto de la protección de datos en la nueva normalidad
El teletrabajo trae nuevos retos de seguridad: hay que educar a los trabajadores, blindar los dispositivos y conocer dónde se encuentran los datos.
La pandemia de coronavirus provocó el confinamiento de millones de personas durante semanas. El confinamiento incrementó el uso de tecnología, incluyendo aquella que favorece el trabajo en remoto. Y el teletrabajo trae consigo retos en términos de seguridad.
Los ciberdelincuentes no han dejado de lanzar ataques durante los periodos más críticos de la crisis sanitaria. Han aprovechado el miedo de la población para crear estafas y campañas de phishing para robar datos y dinero. Han atacado a los hospitales. Y también se han dirigido contra un sistema empresarial en pleno cambio, en el que la fuerza laboral se ha desplazado más allá del tradicional perímetro de seguridad de la red corporativa. La información sensible de parte de las organizaciones ha resultado vulnerada.
La actividad criminal no cesa aquí. Los expertos esperan picos de intrusiones y violaciones de seguridad durante lo que queda del año, mientras la gente se acostumbra a la nueva normalidad y se combaten los rebrotes de la enfermedad.
Cambio de paradigma
“Durante el período de confinamiento hemos cambiado nuestros hábitos”, analiza Luis Miguel Gilpérez, asesor de Consejo de Administración de SealPath. “Hemos dado el salto para ser más digitales, no solo como personas, sino como empleados y como sociedad en general. Podría decirse que la pandemia nos ha abocado a un escenario en el que hemos vivido una prueba piloto de cambio basado en lo digital a todos los niveles que nos va a tocar afrontar en los próximos meses”.
“El hogar en estos momentos es bimodal. Por un lado, se ha convertido en nuestra oficina y, por otra parte, es nuestro lugar de ocio y descanso”, describe Gilpérez, que añade que “los dos modelos hacen que la forma de actuar sea diferente”. Parece que “vamos a estar menos en la calle y vamos a apostar por momentos de entretenimiento basados en dispositivos digitales”.
Si en el pasado “la fuerza laboral que teletrabajaba no superaba el 10 %” y “casi ninguna compañía estaba preparada para que el 100 % de los empleados trabajase en remoto, como finalmente ha sucedido”, tal y como recuerda Javier Modúbar, CEO de Ingecom, que también analiza la situación actual, el presente y el futuro se apuntan a un claro cambio de tendencia.
“La COVID nos ha enseñado que la transformación digital no es una opción”, observa Luis Miguel Gilpérez. Nadie duda de que “o eres digital o no te integrarás en la nueva sociedad laboral”. Para este representante de SealPath la nueva normalidad en la que nos encontramos “es solo la punta del iceberg” de lo que nos espera y hay que estar alerta, porque “nos vamos a enfrentar a una transformación digital mucho más potente” que la que hemos experimentado hasta la fecha.
Falta de aprendizaje
Las empresas tendrán que invertir en tecnología, independientemente de su tamaño o sector, para cumplir con las expectativas de empleados y clientes y no quedarse rezagadas frente a la competencia. Necesitan prepararse para afrontar sin pérdidas de tiempo posibles situaciones imprevistas como la actual. Lo mismo deberá hacer la Administración Pública.
Para estar preparado no bastará con adquirir soluciones de hardware y software, además habrá que formar a los trabajadores. “El confinamiento ha favorecido un campo de trabajo más abierto” y “más permisivo, con lo cual, tenemos que ser mucho más seguros. Debemos incidir en potenciar la formación en ciberseguridad de los usuarios para garantizar la seguridad a todos los niveles”, aconseja Luis Miguel Gilpérez.
“Hay informes que indican que hasta el 98 % de los responsables de seguridad de las empresas han redefinido sus prioridades tras la pandemia, optando ahora por soluciones de seguridad asociadas al teletrabajo”, señala por su parte Javier Modúbar.
Durante el tiempo que hemos pasado encerrados, la prioridad ha sido proporcionar a los empleados en remoto una conexión equivalente a la que tenían en la oficina, con conexiones VPN. Y ya en segundo lugar, se ha buscado proteger esta fuerza laboral y responder a un perímetro de la red totalmente difuminado.
Modúbar dice que “la seguridad empresarial debe apoyarse en tres pilares: la persona, el dispositivo por el que se conecta dicha persona y en el dato que está manejando”, siendo “la persona”, precisamente, “el elemento más vulnerable” de todos, ya que “los ciberatacantes se centran en los empleados” para entrar en los sistemas de las organizaciones.
“Curiosamente, el teletrabajador se siente seguro en casa cuando el escenario real indica todo lo contrario”, lamenta el directivo de Ingecom. “Esa seguridad del usuario se puede traducir como ‘tranquilidad’ pero es contraria al concepto de ciberseguridad o de ‘estar en un entorno ciberseguro’”. De ahí que “el primer paso a dar por parte de las organizaciones es de concienciación, hay que educar e informar al usuario sobre las tecnologías de seguridad que utilizar, sobre los agujeros de seguridad que surgen como un malware o un ransomware” que secuestra equipos informáticos para pedir un rescate económico. El siguiente paso es “apostar por UEBA (User and Entity Behavior Analytics)” para “detectar amenazas antes de que se produzcan, basándonos en parámetros del comportamiento humano”.
“Los atacantes utilizan a las personas sin que estas lo sepan para implantar elementos dañinos en la empresa. Esta es la tendencia a la que nos dirigimos cuando hablamos del elemento humano de la ciberseguridad”, profundiza Javier Modúbar, que explica que “antes las empresas veían cómo los ataques llegaban a la infraestructura IT de sus instalaciones, ahora entran en la casa del teletrabajador a través de un correo electrónico”.
La realidad es que, hoy por hoy, “no todo el mundo dispone de los recursos de seguridad” idóneos para enfrentarse a las campañas de los ciberdelincuentes, ya sea “por desconocimiento o por falta de inversión. El teletrabajo ha demostrado que se puede trabajar en remoto, que usamos más dispositivos que nunca” y que es posible mantener la actividad en tiempos difíciles, pero también evidencia “que ha aumentado el riesgo”, tal y como advierte Luis Miguel Gilpérez.
“También ha revelado otra tendencia: los datos y las aplicaciones están moviéndose a la nube”, lo que redunda en la necesidad de protegerse. Esta “transformación digital” forzada por la pandemia “nos lleva a ello igual que estar viviendo en un entorno cada vez más colaborativo, que está provocando un aumento de la cantidad de información que compartimos”, insiste Gilpérez. “Somos más colaborativos, más digitales, más adaptados al entorno cloud y estamos asistiendo a una evolución que, hasta ahora, era lineal y que, en adelante y durante los próximos cinco años, va a ser exponencial”.
Datos a salvo
Los datos son uno de los recursos más valiosos con los que cuenta cualquier organización, por lo que resulta vital aprender a almacenarlos, a analizarlos y también a protegerlos. Para conseguirlo, siempre “hay que saber es dónde está el dato”, apunta Javier Modúbar.
“Muchas empresas no saben donde tienen distribuidos sus datos ahora que la información ya no está en la oficina”, advierte. “Resulta imprescindible definir dónde está la información crítica de las organizaciones. La transformación digital está acelerando dar una respuesta a esta necesidad, tenemos que contar con una tecnología que nos asegure dónde está la información digital de la empresa”. Además, hay que “controlar qué aplicaciones son más vulnerables, por ejemplo, aquellas aplicaciones legacy sin securizar, y optar por aplicar tecnología de virtual patching en ellas para garantizar la seguridad”.
Desde SealPath señalan que hay que ir un paso más allá de lo que se hacía habitualmente. La implementación acelerada del teletrabajo ha hecho que los datos se encuentren ahora distribuidos tanto dentro como fuera de la empresa. “Las organizaciones implementan soluciones de firewall en la red o de proxy en los dispositivos, pero en el fondo lo que quieren es proteger la información más crítica. El atacante cuando se cuela en la red de una empresa busca acceder a ciertos datos sensibles ya sea de la propia organización o de sus clientes. Por ello, debemos construir un modelo de seguridad basado en la protección del dato esté donde esté”, comenta Luis Ángel del Valle, CEO de SealPath.
El modelo de Zero Trust sería una solución. “Debemos pasar de un modelo de confianza y vigilancia a un enfoque de confianza cero”, opina Del Valle, protegiendo el acceso a todos los recursos corporativos sin importar su ubicación, con una estrategia del menor privilegio posible y monitorizando patrones de comportamiento.
También puede ayudar el cifrado de la información crítica. “Cada usuario de la organización debe tener a su alcance herramientas que le permitan proteger los datos”, sentencia el director ejecutivo de SealPath.
“La seguridad no existe al cien por cien, pero una vez que hemos educado al humano y securizado los dispositivos que utiliza”, solo “nos queda proteger el dato que maneja”, indica su homólogo en Ingecom. “En el último ransomware”, por ejemplo, “se ha visto que los atacantes extraen los datos de las organizaciones y si éstas se niegan a pagar, les amenazan con publicar en internet su información crítica, es decir, atacan por el lado reputacional” y muchas empresas caen en la trampa. Esto significa que “siempre hay que securizar las tres barreras”.