Ya empezaba a tener más importancia dentro de los planes de las empresas, pero la crisis del coronavirus ha acrecentando el valor de la ciberseguridad. Ha dejado de ser algo secundario y para muchas organizaciones se ha convertido en la prioridad número uno. All4Sec provee servicios avanzados de seguridad desde hace 17 años. Entrevistamos a Alfonso Franco, CEO & Managing Director de All4Sec que nos cuenta cómo están llevando esta nueva situación.
¿Cómo está viviendo All4Sec esta crisis? ¿Cuáles han sido los principales problemas que se han encontrado?
Para All4Sec y sus empleados esta crisis sanitaria está suponiendo un reto personal y profesional muy importante que, como la inmensa mayoría de los ciudadanos, estamos viviendo “desde casa”. Básicamente, a día de hoy, trabajamos por conseguir el equilibrio necesario para conjugar los servicios que tenemos suscritos con nuestros clientes y el nuevo entorno en que debemos movernos.
Aunque realmente, y siendo sinceros, estamos yendo solo un poco más allá del modelo de trabajo que teníamos implementado desde hace tiempo. Organizativamente, nuestro esquema de servicios ya contemplaba la posibilidad de llevar a cabo tareas de forma remota. Por eso no nos está resultando tan crítico. Sin embargo, sí que hemos detectado que ahora los clientes necesitan procedimientos de trabajo ligeramente distintos a los que veníamos prestando. Procedimientos en los que la disponibilidad presencial de medios humanos en los centros de trabajo es más limitada. Y ello nos obliga a coordinarnos de forma más estrecha.
Al final debemos de admitir que estamos asimilando nuevos modelos de relación profesional de forma acelerada, lo que no está exento de pequeños desajustes que todos vamos corrigiendo. Aunque bien es cierto que nuestros clientes lo están poniendo fácil.
El teletrabajo ha supuesto una ayuda tremenda ¿Creen que se aceptará más una vez pase la pandemia? De ser así, ¿consideran que la infraestructura está preparada para soportarlo?
El teletrabajo ha supuesto un cambio de concepción en la forma en que proveedores y clientes tenemos de relacionarnos. Afortunadamente los elementos tecnológicos y los procedimientos de trabajo que hemos puesto a disposición de nuestros trabajadores están resultando muy efectivos. Sin embargo, nos hemos dado cuenta de que existe una enorme carencia de cultura de teletrabajo en el mercado español. Son muchas las compañías que, lamentablemente, siguen pensando que acceder a través de escritorio remoto a sus equipos corporativos es una solución válida de teletrabajo. Algunos indicadores dicen que apenas un 4% de los trabajadores en España utilizan el trabajo en remoto de forma habitual y la realidad que hemos percibido en estas semanas así lo corrobora.
«Para All4Sec y sus empleados esta crisis sanitaria está suponiendo un reto personal y profesional muy importante»
Desde que arrancó la crisis hemos recibido innumerables peticiones de ayuda de empresas que pretendían desplegar infraestructuras en remoto como si se tratara de establecer una simple conexión con los sistemas que tenían desplegados en sus oficinas.
Algunas solo aspiraban salir al paso de la situación mientras les facilitábamos algunos servicios indispensables. Otras pretendían desplegar un modelo que pudieran consolidar en el tiempo. Lo que hemos detectado es que, en muchos casos, una inmensa mayoría de esas empresas carecían de una Política de Teletrabajo definida y con ella de una infraestructura adecuada para migrar al nuevo modelo. Ya ni siquiera entramos en si se habían planteado qué funciones pretendían llevar a cabo de forma remota, sino aspectos tan simples como los riesgos laborales (si los empleados disponían de conexión de Internet en sus domicilios, si la empresa se haría cargo de ella o si podrían trabajar en un entorno adecuado sin interrupciones) o incluso de negocio (a cuántos usuarios pretendían dar acceso remoto, si querían hacerlo por departamentos, si la regulación les permitía trabajar de forma remota o si sus clientes estarían de acuerdo con ese nuevo modelo).
Hemos visto que una parte significativa de esas empresas tenían infraestructuras para trabajar desde sus oficinas (conectividad, servidores y puestos de trabajo, medidas de ciberseguridad, formación del personal, aplicaciones propias y de terceros en uso, etc.) pero no estaban preparadas para hacerlo desde fuera de ellas. Un ejemplo muy evidente ha sido comprobar cómo el uso de VPN ha generado problemas de conexión en las compañías debido a la saturación del ancho de banda que tenían previsto para sus comunicaciones. Aun así, creemos que está resultando una experiencia muy enriquecedora y clarificadora.
¿Cómo se pueden proteger las organizaciones ante el aumento de amenazas durante esta nueva etapa de teletrabajo?
El teletrabajo ha puesto sobre la mesa cuestiones tan relevantes como el dimensionamiento de las conexiones, el uso extendido de la VPN, la integración de servicios y aplicaciones en la nube, la administración remota de los puestos de trabajo con aplicaciones MDM, la implantación de sistemas EPP, la gestión de la identidad y la autenticación de los usuarios (MFA, SSO…), la aplicación del RGPD a la gestión de los datos, el cifrado de la información, etcétera, etcétera. Hemos de entender que en el modelo de teletrabajo se conjugan los recursos de la compañía (habitualmente centralizados) con el entorno físico del empleado y que ambos deben estar alineados si queremos reducir los ciber-riesgos. Para ello es necesario disponer tanto de herramientas como de procedimientos de trabajo eficiente y claramente definido. Si ya resulta un reto en sí mismo la sensibilización por la ciberseguridad de los empleados cuando estos trabajan desde la oficina, por poner un ejemplo, cuánto no será cuando deban desempeñar sus funciones desde su domicilio.
¿Cuáles serán los principales retos desde el punto de vista de la ciberseguridad?
Los retos desde el punto de vista de la ciberseguridad son múltiples en el modelo de teletrabajo. Podríamos empezar por la sensibilización de los empleados, poco acostumbrados a este modelo de colaboración. Precisamente, ese concepto, el de la colaboración, abre un abanico de retos de ciberseguridad relacionados con la compartición de recursos, los servicios de videoconferencia, call-centers, mensajería, etc. Todos son elementos indispensables para el funcionamiento eficiente de la compañía que ahora pueden encontrarse muy capilarizados.
«La ciberseguridad, al igual que la salud, es una inversión y no un gasto»
Además, otro reto fundamental es la identidad de los usuarios y el control de acceso a las aplicaciones (locales o en la nube). Modelos de ciberseguridad como Zero Trust ya lo vienen anticipando desde hace tiempo. Necesitamos pasar de los tradicionales modelos de ciberseguridad perimetrales a los modelos personalizados en los que el usuario y su entorno (sea este de conectividad, localización geográfica, etc.) entren a formar parte de los criterios de ciberseguridad a aplicar.
La protección de los dispositivos físicos y las comunicaciones son otro de los elementos que se irán depurando con el tiempo. Los sistemas DLP serán fundamentales al tiempo que las VPN se consolidarán como forma de conexión por defecto. Aquellas soluciones que hacen uso de modelos de conexión a través de escritorios remotos (RDP o VDI) deberán depurar sus modelos de funcionamiento para evitar nuevos problemas de ciberseguridad. Asimismo, el cifrado de la información, resida donde resida, se convertirá en un elemento básico, lo que impulsará a muchos fabricantes a incrementar las prestaciones y el rendimiento de sus equipos, así como a protegerlos contra robos físicos. Hay que contar también con la monitorización distribuida y la auditoría de todos los sistemas de información de una compañía será clave para velar por su ciberseguridad. Y precisamente en esa monitorización entrarán en juego elementos hasta ahora no considerados, como puede ser los fallos en la conexión de las redes de comunicaciones de los empleados o la compartición de la conectividad con elementos domésticos (dicho esto bajo la perspectiva de líneas de conexión de uso personal-profesional mixto). También la disponibilidad de servicios de soporte 7×24 serán fundamentales. Finalmente creo que los sistemas de backup, el control de la información o la distribución de centros de trabajo también formarán parte de los retos de ciberseguridad a los que el teletrabajo deberá enfrentarse.
En definitiva, podemos decir que, junto a los servicios en nube, el teletrabajo podría marcar un cambio de paradigma en la forma de concebir las medidas de ciberseguridad de una compañía.
¿Qué cambios cree que se darán en el sector? ¿Esta crisis ayudará a que aumente la inversión en ciberseguridad en las empresas?
El sector de la ciberseguridad debería verse beneficiado con la adopción progresiva del esquema de teletrabajo. Desde nuevas soluciones (hardware y software) concebidas para afrontar ese nuevo escenario (como es el Zero Trust o la seguridad en la nube) hasta modelos de servicios evolucionados o alternativos.
Es posible que veamos un cambio en la actitud de las empresas frente a sus retos de ciberseguridad. Sin embargo, también tenemos que decir que llevamos muchos años ya en este sector, y hemos visto situaciones que invitaban a tomar la protección de los sistemas de información como un elemento clave de la cadena de valor de las compañías. La realidad desafortunadamente ha sido terca, y salvo honrosas excepciones, muchas compañías, tras las crisis, han decidido relativizar su ciberseguridad en beneficio de otras líneas que consideraban más urgentes. Algunas han sufrido las consecuencias de esas decisiones. Otras, estamos seguros de que las sufrirán con esta pandemia.
La pregunta ahora es ¿aprenderán de ello? Quién sabe. Esperemos que no se inclinen una vez más por lo urgente y se olviden de lo importante, porque la ciberseguridad, al igual que la salud, es una inversión y no un gasto. Y si no, preguntémoselo a tantos y tantos países cuya inversión en sanidad se ha dado de bruces con lo que requería la situación actual.
Si las empresas lo perciben, es más que posible que la inversión en ciberseguridad, esta vez sí, alcance dimensiones proporcionales a su importancia.
