El trabajo remoto, Home Office, Virtual Office, Work From Home (WFH), entre otros, venía siendo implementado lentamente en las Compañías a nivel mundial. Aunque sus beneficios eran claros para la dirección de las empresas y, en muchas de ellas su implementación estaba en los planes, no se había visto una urgencia suficiente y una necesidad que justificara su aplicación definitiva, que permitiera asumir los riesgos que esta implica; presupuestos ajustados, malas experiencias del pasado, desconfianza, desconocimiento, entre otros.
Aunque al inicio de 2020 aproximadamente el 45% de compañías a nivel mundial ya había migrado servicios a la nube, muchas todavía mantenían la información de sus negocios alojada en dominios locales.
La pandemia de Covid 19 afectó el mundo entero marcando un momento único en la historia de la humanidad; nunca una crisis mundial había afectado tantas personas y países al mismo tiempo, sectores de la economía mundial, mercados, productos y servicios.
El confinamiento forzó de repente a las empresas a mover sus operaciones a los hogares y sitios remotos de sus trabajadores y aliados estratégicos, sin tener un plan definido, ni una evaluación de riesgos, impactos ni controles. Algunas empresas incluso se vieron forzadas a restructurarse físicamente y a hacer recortes de personal para mantenerse en el mercado, cambiando toda su operación.
En términos generales, la mayoría de organizaciones no estaban preparadas para esta coyuntura.
Al trasladar los datos del dominio corporativo al dominio personal de cada trabajador, se pierde control sobre la información y, en muchos casos, la posibilidad de exigir un tratamiento adecuado de esta.
Los delincuentes y ciber-delincuentes siempre están atentos a aprovechar los momentos de crisis, confusión y miedo, para obtener el mayor provecho. Incluso las organizaciones médicas, clínicas, hospitales y entidades que prestan este tipo de servicios, han sido objetivo y víctima de los ataques en contra de la seguridad de su información en esta temporada.
Los incidentes de seguridad de la información y ciber-seguridad casi se han triplicado durante el confinamiento. Algunas compañías han tomado medidas desesperadas exponiendo su seguridad y, en medio de la presión financiera y operativa, han sido afectadas con Ransomware, malware que secuestra la información en los sistemas, y no han podido recuperarse, siendo declaradas en bancarrota.
Este nuevo estilo de vida y de hacer negocios pone a prueba la madurez de los programas de seguridad de la información, continuidad y resiliencia de las empresas, y supone a la vez un reto y una oportunidad de mejora para todos, para evaluarnos y restructurar nuestro actuar.
¿Cómo proteger la información?
Las compañías que realizaron cambios drásticos de forma repentina y sin evaluar sus riesgos, pueden estar exponiendo su información y es imperativo implementar medidas y controles rápidamente, para evitar que sus datos sean objeto de abuso. A continuación, se listan algunas de las prácticas a tener en cuenta.
Procure no usar soluciones gratuitas
Las herramientas sin costo, por su naturaleza, no ofrecen garantía alguna sobre la seguridad de los datos, incluso muchas de ellas abusan de los privilegios que obtienen, para violar la privacidad.
Mantenga un listado de soluciones autorizadas
Evalúe las garantías de seguridad y los controles de protección de datos que le ofrece cada solución. Si son adquiridas, revise con detenimiento las condiciones del servicio y las clausulas que soportan la seguridad de los datos.
Actualice los acuerdos de confidencialidad
Revise y actualice los acuerdos de confidencialidad con los empleados y los terceros con los que tiene alianzas, proveedores, contratistas, clientes, productos, entre otros, para garantizar que cubren las condiciones de seguridad que su información requiere ahora.
Asegure sus sistemas
Evalúe y fortalezca los controles de seguridad que tiene aplicados en sus sistemas de información, equipos portátiles, de escritorio, servidores, SaaS, PaaS, almacenamiento en nube, correo electrónico, y en general sobre todas las plataformas. Garantice que toda la información está cifrada en los medios de almacenamiento, de forma que, en caso de robo o pérdida, no sea vulnerada fácilmente.
Seguridad flexible
Aplique controles de seguridad que sean flexibles y permitan su aplicación en un esquema de trabajo remoto y tambien centralizado. Para esto puede servir aplicar conceptos de arquitectura Zero Trust y Least Privilege.
Genere una Cultura de Seguridad
El eslabón más importante en la cadena de la seguridad suele ser el recurso humano, por esto es muy importante capacitar todo el personal; cuáles son las obligaciones y responsabilidades frente a la información, cómo protegerla, y los riesgos a los cuales está expuesta.
En este punto siempre es recomendable presentar casos reales con los cuales las personas puedan identificarse para interiorizar el mensaje: los incidentes de seguridad de la información ocurren en la vida real y cotidiana.
Promueva un entorno que evite que las personas sean víctimas del miedo. En esta temporada se utilizan engaños relacionados con Covid 19 como “sus resultados de examen de Covid 19”, “usted está contagiado”, “alguien cercano a usted está contagiado”, “venimos del servicio de salud a hacer una inspección”.
Aprovechando en muchos casos la ausencia de controles de navegación, los trabajadores utilizan los equipos corporativos para acceder a sitios de necesidad personal en internet. Instrúyalos en los riesgos a los cuales se exponen, que es mejor evitar el uso de los activos de la empresa actividades personales, solo acceder a sitios conocidos, realizar compras en sitios reconocidos y con buena reputación.
Los trabajadores deben velar porque nunca una persona ajena a la compañía tenga acceso a la información que le ha sido encomendada, sea física o digital. Nunca prestar su equipo a otra persona, así sea familiar, amigo, conocido, u otra persona.
Prevenga el reenvío de mensajes y noticias falsas, enlaces desconocidos,
Apoye el aseguramiento del nuevo dominio
Los hogares y sitios remotos se han convertido en un nuevo dominio en el cual reside información sensible de la organización. Este entorno debe protegerse, pero en la mayoría de casos hace parte de la propiedad personal de los trabajadores. Apóyelos instruyéndolos en cómo deben hacer ese aseguramiento, ahora todos hacemos parte del departamento de TI y debemos participar de forma activa en la adopción de los controles.
Promueva el aseguramiento de los equipos que hacen parte de las comunicaciones en los hogares y sitios remotos. En muchas ocasiones los proveedores (ISP) pueden ofrecer un acompañamiento para mejorar la seguridad de los servicios contratados, como actualización de equipos, cambios en las contraseñas de acceso, uso de protocolos seguros de conexión WiFi.
Migre a la nube
La nube ofrece muchas ventajas en cuanto a seguridad, disponibilidad, flexibilidad y capacidad, entre otras. Evalúe la viabilidad de acelerar la transición de servicios a la nube.
Los Backups!
Sea riguroso con la aplicación de las buenas prácticas de obtención, custodia y prueba de las copias de respaldo, para garantizar que, en caso de presentarse una falla, evento inesperado o incidente, su negocio puede seguir adelante y evitar sanciones, multas e incumplimientos.
Aproveche esta situación!
Ahora que todo está cambiando, se aceleró la transformación digital, la migración de servicios a la nube, la Gestión Documental digital, restructuración de procesos, estrategias de mercado, productos y servicios, contratación, entre otros.
Tome ventaja y flexibilice la operación de la empresa. Este nuevo estilo de vida puede terminar pronto, pero también durar más de lo que se piensa e incluso volver a ocurrir; vale la pena evaluar los beneficios de los cambios que se han hecho para adoptarlos de forma permanente.
Assurance Controltech provee servicios de Seguridad de la Información, Ciber-seguridad, Ciber-defensa, SOC-NOC-CSIRT-CERT, Facturación Electrónica, Gestión Documental, entre otros. Cuéntenos cuáles son sus objetivos y seremos su aliado estratégico!
Etiquetas
Covid-19, Seguridad de la Información, Seguridad Digital, Seguridad Informática, Ciberseguridad, Ciberdefensa, SOC, CSIRT, CERT, Facturación Electrónica, Gestión Documental, Transformación digital, Transformación Digital Empresarial, Datos Personales, ISO 27001, Protección de datos, Habeas Data, Ley 1581, SGSI,
23 de julio de 2020, Hugo Preciado García, Chief Information Security Officer, Assurance Controltech.