El teletrabajo se ha convertido en la fórmula para que muchas empresas puedan seguir desarrollando su labor lo que ha supuesto todo un reto para la gran mayoría de las empresas que no tenían la costumbre, salvo la fuerza comercial, rde ealizar su trabajo fuera de la oficina.
El trabajo de los departamentos de tecnología durante este periodo de alarma social ha tenido un especial protagonismo ya que han tenido que dotar de nuevas herramientas y soluciones a numerosos empleados. En la mayoría de los casos lo han hecho con gran éxito. Sin embargo, la rapidez con la que se ha tenido que llevar a cabo el proceso ha hecho que muchas empresas se olviden de un elemento muy importante: el de la seguridad. Según numerosos informes que se han publicado durante estos días, cuando los empleados trabajan fuera de sus oficinas pueden ser más vulnerables a los ataques de los ciberdelincuentes.
Para saber cómo han implementado las medidas de seguridad las empresas españolas durante estos tiempos de teletrabajo o qué fórmulas indispensables deben tomar las empresas ante esta novedosa situación, Byte TI organizó un encuentro con CISOs que contó con la presencia de Daniel Puente, CISO de Wolters Kluwer; Carmen López, CISO de B.Braun; Antonio Fernándes, Cybersecurity Manager de Financiera Maderera y Oriol Solà, Group Information Security Officer de Wefox Group. Y es que, tal y como afirmó Ignacio Sáez, Manager Director de MKM Publicaciones al inicio del encuentro, “el papel que juegan los CISOs es esencial para que esta situación de teletrabajo se realice de forma segura. Mandar a todos los trabajadores de una compañía a casa implica habilitar los sistemas remotos de la empresa en tiempo récord lo que supone un riesgo y una puerta de entrada para nuevos ataques, por lo que se trata de conseguir que los equipos, data centers e información sensible de las empresas no estén expuestos”.
Puedes ver el encuentro íntegro aquí
En opinión de Daniel Puente, lo que ha propiciado la Covid-19 es la importancia de los planes de continuidad de una empresa: “Aquellas que lo tenían, se han encontrado con una transición más suave. Los que no tenían ninguno lo han pasado peor. Es algo importante ya que muchas empresas han visto que cuando hacemos determinadas pruebas no es un sinsentido”. Una afirmación con la que Carmen López también se mostró de acuerdo ya que “ha cambiado la importancia que se le dan a los planes de continuidad. Ahora que las empresas han tenido que rescatar esos planes es cuando se ve que le tenían que haber dedicado más tiempo. Cuando esta situación pase, las organizaciones les van a dar mucha más importancia”.
Y es que, uno de los problemas, como también señaló Antonio Fernández es que “hay empresas que no sabían lo que era un plan de continuidad de negocio. Mi esperanza es que aquéllas que sobrevivan tomen cartas en el asunto e inviertan en ciberseguridad. También hemos visto que muy pocas organizaciones tenían una cultura de teletrabajo que el coronavirus va a ayudar a implementar”.
El papel que juegan los CISOs es esencial para que esta situación de teletrabajo se realice de forma segura
Finalmente, Oriol Solà, consideró que “muchas empresas se han dado cuenta de que la seguridad no es algo estático. Es cambiante y la estrategia debe ir de la mano de esos cambios que se vayan produciendo. Ese cambio se debe hacer de forma ágil y eso es lo que nos enseñado esta pandemia”.
Implantar una nueva política
¿Hay que implementar una política de ciberseguridad nueva? ¿Cómo se refuerza la que ya existía? Este fue otro de los apartados de debate. En el caso de Antonio Fernándes, su empresa, Financiera Maderera “ya tenía preparada una política pero hemos tenido algún problema porque teníamos un porcentaje pequeño de teletrabajadores y el principal reto ha sido pasar a todos al teletrabajo, pero creo que lo hemos hecho muy bien y yo estoy muy satisfecho”. Por su parte, Oriol Solà de Wefox Group considera que “uno de los mayores éxitos ha sido cambiar el chip de las empresas que están viendo que hay alternativas al presencialismo. Se han quitado el lastre de la desconfianza al teletrabajador. Las empresas que han convivido con el teletrabajo lo han tenido mucho más fácil. Por ejemplo, en nuestro caso el dimensionamiento ha sido brutal, ahora tenemos al 100% trabajando desde casa. Creo que un tema importante es ver si las empresas están 100% en cloud. Estar en ese entorno, facilita mucho más las cosas en lo que respecta a la seguridad”.
Para Daniel Puente de Wolters Kluwer “uno de los problemas es que todo se ha tenido que hacer en tiempo récord y en lo que respecta a la implementación de una política de seguridad, si se hace muy deprisa, normalmente se hará mal. Implementar una política de ciberseguridad es algo que ya debería estar hecho, porque si la tienes que hacer ahora desde cero estás condenado al fracaso”. Finalmente Carmen López, “ afirmó que en B.Braun ya teníamos las políticas establecidas. Con lo que no contábamos era con el volumen con prácticamente prácticamente la mitad de los empleados de todo el mundo trabajando desde casa. Para la próxima vez que ocurra algo semejante tendremos que trabajar más en ese apartado ya que era algo que no contemplábamos”.
Siguiendo con los errores que han aparecido de repente la CISO de B.Braun “cree que a pesar del volumen de usuarios, el problema lo hemos resuelto de forma rápida. Tenemos muchos servicios onpremise y el hecho de que dependamos mucho de la VPN implica que un volumen muy importante se tenga que conectar a ella. Hemos tenido unos tiempos de reacción menos traumáticos pero cuando pensemos en capacidades a partir de ahora, pensaremos en un mayor número de trabajadores en remoto, para tener alternativas”.
En el caso de Daniel Puente, “ha habido algún problema puntual de acceso. También hemos visto miedo con algún proveedor telco o algún proveedor cloud ya que, al final, dependes de soluciones de terceros, pero salvo esas pequeñas cosas hemos reaccionado muy bien”. Para Oriol Solà uno de los principales problemas es saber “cuando requerirán los trabajadores una VPN. Esto nos lleva a limitaciones en cuanto a,licencias que han tenido que ser estudiadas una por una. Además, también nos hemos encontrado con las limitaciones a la hora de organizar eventos remotos, porque no podías organizar una reunión para 500 personas. En este caso hemos montado salas simultáneas de tal forma que cuando una sala se llenase, la gente pudiera saltar a la otra”. Finalmente en el caso de Antonio Fernàndes “el problema real no ha sido tecnológico sino articular las reuniones o el trabajo del día a día de departamentos que no estaban acostumbrados al teletrabajo”.
Retos
Otro de los puntos tratado fue cuáles son los retos de ciberseguridad a los que se enfrentará cualquier empresa surgidos tras la crisis del cornavirus. En opinión del CISO de Wolters Kluwer, “el principal reto es mantener esta situación. Hace meses estuvimos hablando de que el perímetro no existía y eso es hoy más real que nunca. A partir de ahora tenemos que el acceso al cloud se tiene que hacer a través de servicios pass de gestión de identidades y aquí tenemos un reto importante”. Para el Group Information Security Officer de Wefox Group, “el tema de los onboardings es uno de los retos ya que es algo que tiene que pasar por algo físico y esto lo estamos salvando de momento. Los retos están en que todo lo que sea físico hay que convertirlo en remoto”.
El caso de Carmen López es especial ya que B.Braun es una empresa del sector sanitario y “trabajamos en entornos muy regulados y tener un sistema no validado puede tener implicaciones a la hora de comercializar el producto. Trabajar en remoto para algunos de nosotros se puede savar pero para otro tipo de personas es más difícil porque nunca les hemos dejado monitorización remota y esto es algo que debemos plantearnos”.
Empleados y riesgos
Tradicionalmente se ha afirmado que el mayor peligro sobre la seguridad de las empresas radica en el empleado ya que es el eslabón más débil. La crisis de la Covid-19 ha puesto todavía más foco en él sobre todo si se tiene en cuenta que ya no se encuentran en la oficina de forma presencial. Para solucionar este problema, Daniel Puente considera que “es necesario hacer campañas y bombardearlo de forma constante sobre todos los peligros que se pueden encontrar. Las únicas herramientas son formación y seguir insistiendo en eso”. Para Oriol Solà no cambia el hecho de que los empleados se encuentren teletrabajando: “Al final el modus operandi es el mismo. Lo único que cambia es el envoltorio. Ahora aprovechándose del coronavirus aparecen campañas de phishingcon campañas de Netflix o de Cáritas. Más allá de eso es más de lo mismo, afortunadamente”.
Para Antonio Fernándes, “además de bombardear al usuario, prefiero que el usuario se sienta cómodo diciéndome las cosas a que me lo oculte. Si me lo oculta, puedo tener un problema muy grande. En mi caso porque creo que es prioritario fomento la comunicación bidireccional, para que el problema no se agrave”. En el caso de Carmen López, “desde B.Braun hemos impulsado mucho la comunicación bidireccional. Queremos que los empleados nos conozcan y que el departamento de seguridad sea cercano y que no nos vean como el “poli malo”. He notado mucho aumento del trato con respecto a personas con las que no lo había tenido hasta ahora. He visto también que las acciones que habíamos hecho durante el año han ido calando lo que te da mucha satisfacción y ves que haber bombardeado con mensajes, tiene un retorno”.
Comité de dirección
Finalmente, el papel de los consejos de dirección es fundamental para afrontar la nueva situación y establecer los nuevos parámetros. Según Oriol Solà, “los comités, están lidiando con muchos paradigmas culturales. Hay que intentar comunicar más y hay que estar más encima de ellos e informarles porque son pilares fundamentales para la supervivencia de las empresas”. En el caso de Antonio Fernándes, “creo que cuando la empresa tiene cierto tamaño, la seguridad ya la han dejado en manos de alguien. Las pymes deberían planteárselo aunque tengan otras preocupaciones ahora. La seguridad debería ser tomada en cuenta”.
Para Daniel Puente la importancia que ha ido adquiriendo la seguridad en los últimos años se está viendo ahora. En su opinión, “ya es un éxito que el departamento ejecutivo no se tenga que preocupar. Hay empresas pequeñas que no han tenido en cuenta la seguridad y vemos que hay algunas que han tenido problemas serios de seguridad”. Por último, Carmen López aseguró que “el comité ejecutivo confía en el departamento de seguridad la parte de la ciberseguridad y le preocupa más la seguridad de las personas. El comité de crisis está centrado en que continúe la actividad productiva porque, por ejemplo, en nuestro caso, en algunos productos somos proveedor único y la prioridad se centra en cómo seguir trabajando con seguridad física por parte de los trabajadores”.