Estamos viviendo una “prueba piloto a la fuerza” de trabajo remoto. Muchas empresas comprobarán el comportamiento de sus colaboradores, y evaluarán darle continuidad a esta modalidad en función de los resultados y del ahorro de costos de oficina que pueda representar.
La explosión en el acceso remoto (teletrabajo, telemedicina, educación a distancia, homebanking, canales de pago, etc.) hace que la exposición a ataques de ciberdelincuentes, quienes también acceden a inteligencia artificial y big data, se multiplique y sean más sofisticados. Ellos saben qué servicio crítico tiene mayor demanda y dependencia de los usuarios en este momento, y lo aprovechan para mejorar sus estrategias de phishing, ransomware, y malware. Esto no sólo genera preocupaciones tecnológicas, sino que también éticas y legales, ya que la protección de la privacidad y de los datos personales pueden estar siendo afectados. Sin duda el aspecto ético está por encima del legal y toda organización debe tener un marco perfectamente establecido de tratamiento y protección de dicha información.
Un aspecto derivado del teletrabajo, es que algunas empresas fueron forzadas a dar acceso remoto a aplicaciones que no estaban preparadas para ello, y sin el debido análisis del método de conexión. Adicionalmente el empleado puede estar utilizando su equipo personal, que puede no estar debidamente configurado/homologado, para acceder de manera remota y segura a aplicaciones corporativas. También se debe considerar el riesgo a la fuga de información, tanto sea intencional (ej. copia en memoria USB) o involuntaria (ej. extravío de memoria USB o computadora).
Muchas veces los riesgos de seguridad (para la empresa y para el empleado), se originan por la falta de concientización en seguridad informática. Es necesario que todo aquel que acceda a internet y/o cualquier recurso de tecnología de la información y comunicaciones, tenga conciencia sobre su responsabilidad en proteger la confidencialidad, integridad y disponibilidad de la información que manejan. Hoy más que nunca, la seguridad es responsabilidad de todos y no sólo del área de informática.
Estas son sólo algunas cuestiones que ponen en relieve la importancia de analizar la exposición a los riesgos en seguridad informática, su clasificación y sus controles. A partir de lo cual cada organización debería, en función de sus objetivos de negocio, detectar sus necesidades específicas haciendo una valoración de los controles necesarios. Tomando esto como base y fundamento, para el desarrollo de Políticas que de manera articulada constituyan un Marco Normativo de Seguridad Informática.
Más que nunca es relevante proteger la confidencialidad, integridad, y disponibilidad de la información; como así también el acceso a la misma con la debida autenticación.
Si bien está trillado, vale la pena que reflexionemos sobre “lo que no está permitido debe estar prohibido” y “lo que no se puede controlar no se puede gestionar”.
Por Gustavo Gazzaneo – Responsable de Ciberseguridad en IT de Auren