Soy responsable de seguridad informática en mi empresa y tengo que lidiar con que los trabajadores trabajen desde cualquier parte

0
247

… y, de repente, todo el mundo tuvo que trabajar desde sus casas. El decreto del Estado de Alarma del 14 de marzo conllevaba también la recomendación de que todos aquellos empleados que pudiesen teletrabajasen hasta, como mínimo, 15 días después de que terminase ese estado de alarma.

Para algunas empresas, y para sus empleados, empezaba una carrera contra reloj para saber trabajar de forma remota. Otras ya tenían experiencia en teletrabajo, pero no de forma recurrente y coincidente de todos sus empleados.

“El gran reto al que nos enfrentamos fue el de asegurar la conectividad e infraestructura necesaria para que todo el Servicio de Atención al Cliente trabajase desde sus domicilios y aseguráramos la calidad de servicio”, confiesa David Vaquero, head of IT Nationale-Nederlanden, que añade el “asegurar el ancho de banda y la escalabilidad de la VPN global para que pudiera soportar la conexión remota de todos los empleados de la compañía”.

Va para largo: Google decide que sus empleados trabajen desde casa hasta julio de 2021

Tengo un plan…

Juan Cobo, CISO (Chief Information Security Officer) de Ferrovial, parte de la premisa de que la situación vivida depende mucho de la empresa, tanto por su tamaño como por si tenía planes de teletrabajo, de continuidad de negocio y de uso de aplicaciones en la nube. En su caso, lo más urgente fue “hacer que todas esas políticas estuvieran ampliamente disponibles para que todos los empleados pudieran seguir operativos”. Algo para lo que se tuvo apenas un par de días en los que “hay que correr con muchas cosas para ver si estás correctamente dimensionado”.

Foto Juan Carlos

En el caso de Orange, por ejemplo, la operadora llevaba desde enero definiendo las “hipótesis de gestión de crisis” según se iban conociendo noticias de la epidemia de Wuhan y ya el 2 de marzo tenían identificados “los empleados y colaboradores críticos” y definido el plan de contingencia con la hipótesis “Confinamiento total”, explica Juan Carlos Sánchez Leal, Manager de Seguridad y Continuidad de Negocio de la operadora. “Para garantizar la continuidad del negocio, ampliamos nuestro ancho de banda en las conexiones así como concurrencia a nuestra VPN corporativa”, añade.

Hechos inesperados

Sin embargo, y pese a que todos ellos defienden que es fundamental tener planes de contingencia para situaciones como la vivida, algunos confiesan que no todo está siempre bien atado y que siempre se viven momentos de tensión.

Así, por ejemplo, en algunas empresas como Adevinta se tuvieron que ampliar los servidores VPN para que todo el equipo pudiera teletrabajar a la vez. Luis Llagostera, Team Lead del equipo de servicedesk de la compañía, explica que aunque la empresa ya tenía experiencia en teletrabajo, fue en noviembre cuando se decidió ampliar la capacidad de estos servidores para que pudieran dar servicio al cien por cien de la plantilla. “El servicio siempre había funcionado bastante bien, pero no sabíamos si el caudal que teníamos podía aguantar a todo el equipo teletrabajando desde sus casas”, confiesa.

Mientras, Cobo, reconoce que no todos los empleados tienen portátil por lo que no sería de extrañar que alguno se haya tenido que llevar su equipo de sobremesa de la oficina a casa. “Hay pocos, pero a lo mejor ya no necesitamos que haya ningún equipo sobremesa en la compañía porque así es mucho más fácil movilizar a los empleados”, reflexiona.

Foto Juancobo

Aunque en Adevinta todos los empleados trabajan con portátil, se decidió que aquellos que lo quisieran podrían hacer uso del monitor de sobremesa que hay en las oficinas y trasladarlo a su hogar.

Pero, sobre todo y en cuestiones de seguridad, el CISO de Ferrovial cree que es básico reforzar la comunicación con los empleados. Por su cargo, no está al tanto de las anécdotas del día a día a las que se hayan tenido que enfrentar sus empleados (como bloqueos de contraseñas o accesos desde WiFi públicas), pero asegura que lo que se debe hacer es reforzar la comunicación con los usuarios, tanto desde el punto de vista de tecnología y el uso de recursos (por ejemplo, que solo se empleen aplicaciones aprobadas por la corporación) como de seguridad. “Aunque estén conectados desde la WiFi de su casa y no desde una pública, es un entorno menos confiable. Por eso, hay que advertir a los empleados para que tengan cuidado con determinadas cosas y que se pongan en contacto con el departamento de tecnología si tienen dudas o algo no les inspira confianza”.

No, tu hogar no es un entorno seguro

En este sentido, David Vaquero reconoce que cuando las personas trabajan en la sede, hay temas de seguridad sobre los que los usuarios no se tienen que preocupar y las medidas suelen ser más estrictas.

Por poner un ejemplo, este responsable señala que los routers WiFi deben tener medidas de seguridad “que probablemente los empleados no sepan cómo implementar”. Además, es consciente de que se ha intensificado el uso del dispositivo corporativo para navegar por sitios personales. “Esto nos obliga a aumentar la conciencia sobre las medidas que debemos tomar en casa, cuáles pueden suponer un peligro o puertas abiertas a posibles ataques y cómo responder o avisar al equipo de sistemas”.

Foto Davidvaquero

No obstante, cree que en general no es necesario tomar ni aplicar ninguna medida de seguridad adicional (salvo ampliar las capacidades de la VPN) dado que se utilizó aplicaciones en cloud “que tienen medidas de seguridad como MFA o certificados de hardware”.

Llagostera sí que nos cuenta que, sobre todo para preservar la privacidad e intimidad de los trabajadores, se crearon unos entornos virtuales para que en las reuniones a través de videoconferencias no apareciera el hogar de los empleados,

Pero estos responsables de seguridad reconocen que no pueden controlarlo todo, sobre todo cuando el trabajador está en su casa: desde conversaciones por Whatsapp o con la familia que pueden afectar a, más o menos, secretos corporativos. “Hay cosas de tu entorno personal que uno no puede controlar”, declara Juan Cobo. Y, por ello, justifica que la “obsesión” de estos profesionales es que todos los empleados trabajen en el entorno corporativo “para asegurar el control”.

El miedo a que me ataquen

Cuando en marzo se impuso el teletrabajo, se advirtió de la posibilidad de que este hecho fuera aprovechado por los ciberdelincuentes para realizar más ataques. Sin embargo, por lo que hemos podido chequear, no se ha producido realmente un aumento de ataques de seguridad.

Fuentes de Arsys explican a Xataka que en sus líneas y servidores no se constató un aumento del número de ataques de seguridad con motivo de la Covid-19. Y Juan Cobo, de Ferrovial, también lo corrobora. Según él, lo que ha cambiado es el tipo de ataque, experimentándose un aumento de los intentos de suplantación de identidad.

Foto Luis Llagostera

“Siempre aprovechan los temas de actualidad y el reto es robarte la identidad”, explica. “Ahí hemos hecho mucho foco, tanto desde el punto de vista de medidas preventivas o de monitorización como de concienciación”, añade. “Se han recibido muchos correos que eran supuestas invitaciones a Zoom, ahora que se ha puesto de moda, que en realidad te redirigen a sitios de descarga”, explica. Es más, cree que la suplantación de identidad es uno de los temas a los que se más se tienen y se van a tener que enfrentar en el futuro los profesionales de la seguridad.

Y, dado que el teletrabajo se está extendiendo en la mayoría de las grandes empresa, en caso de que el atacante acabe consiguiendo su objetivo, “los principales retos serán la monitorización de los ataques y vulnerabilidades y la preparación del equipo para cuando estos se materialicen”, sin olvidarse de “la concienciación de los usuarios”, según el head of IT Nationale-Nederlanden.

El estrés de los primeros días

Para todos estos responsables, lo más difícil o estresante fueron los primeros días. “No tener horarios, sobre todo al comienzo de la crisis”, señala Juan Carlos Sánchez Leal, Manager de Seguridad y Continuidad de Negocio.

Utilizar las aplicaciones corporativas es básico para mantener las medidas de seguridad, según los profesionales de este área en las empresas

Juan Cobo, CISO de Ferrovial, reconoce que hay una parte de satisfacción de ver que los planes han funcionado bien. “Hay que entrenar mucho: cómo te enfrentas a un ataque, a su recuperación, la respuesta a un incidente…”, explica. “Garantizar que todo el mundo está accediendo a tus sistemas, que no están comprometidos, que todo está monitorizado o que no hay caídas es comprobar que las muchas piezas que has ido engranando han funcionado conforme a lo que tú tenías planificado para que todo está funcionando como tú quieres”, añade.

Y, como decíamos antes, para estos responsables, una de las cosas más importantes es la formación, concienciación e implicación de todos los empleados. “Hay que cuidar el sistema de los nuevos tipos de ataques y vulnerabilidades, concienciar a los empleados en temas de seguridad y ver cómo pueden apoyarles en mejorar la seguridad en sus casas”, concluye el responsable de Nationale-Nederlanden.

Además, el responsable de servicedesk de Adevinta asegura que el volumen de trabajo que han tenido estos departamentos también se ha incrementado. “No es lo mismo que cuando alguien tiene una incidencia pueden venir al departamento a tener que gestionarlo todo por teléfono”, reconoce. Por eso, en su empresa decidieron, “en previsión” incorporar otra persona más al equipo “precisamente para que no cayera el nivel del servicio”. Y, en medio de toda esa vorágine, Llagostera también señala que, al ser todo en remoto, estos departamentos también han tenido “que buscar nuevas formas de trabajar”.