Varios expertos trataron este asunto esta semana en un 'webinar'.
Los expertos advierten del elevado riesgo que asumen las empresas al utilizar de forma extensiva el teletrabajo
El mayor riesgo se encuentra en las redes domésticas
|
26/4/2020 06:35
|
Actualizado: 25/4/2020 00:50
|
¿Cómo está respondiendo el tejido laboral y empresarial en España al teletrabajo? ¿Estábamos preparados para ello? La respuesta es no, según los expertos en materia de ciberseguridad que participaron en el ‘webinar’ (seminario ‘online’) organizado por la Alianza Española de Seguridad y Crisis (aesYc) y el Consejo General de Economistas de España.
Los participantes en el seminario, presentado por Pablo Blanco, coordinador académico de aesYc, Joaquim Altafaja, auditor infomático, IT Advisory Partners SL, y tesorero de ISACA Barcelona; Pablo Montoliu, ‘Chief Information & Innovation Officer’ en AON y profesor de AESyC; Francisco Pérez Bes, socio of Digital Law at Ecix Group, socio y profesor de aesYc y Antonio Ramos, CEO de Leet Security y también profesor de aesYc, estuvieron de acuerdo en que los ciberdelincuentes están aprovechando el COVID-19 como señuelo para lanzar ciberataques.
Lo hacen mediante campañas de ‘spam’, mensajes de correo electrónico fraudulentos que suplantan la identidad de terceros, así como e-mails con adjuntos maliciosos que pueden ocasionar grandes riesgos tanto para las compañías como para la vida personal de los trabajadores.
Las Fuerzas y Cuerpos de Seguridad del Estado ya han alertado del “envío masivo de correos electrónicos a personal sanitario” que contiene “un virus muy peligroso y malicioso” que pretende “romper todo el sistema informático de los hospitales”, que se encuentran inmersos en hacer frente al brote de coronavirus.
Asimismo, han señalado que se han detectado más de 200 bulos y noticias falsas difundidos “con la única intención de provocar miedo y pánico en la población”. De hecho, las incidencias con ‘malware’ o ‘software’ malicioso habrían crecido un 50%.
Como expertos, los participantes en este ‘webinar’ explicaron que el riesgo no es solo que puedan robarnos la información personal o corporativa, o incluso nuestro dinero o nuestra identidad digital, sino que también pueden comprometer los equipos informáticos y poner a toda la red de nuestra compañía en peligro.
En esta situación de teletrabajo extensivo existen riesgos de ciberseguridad debido a la tendencia a bajar la guardia al sentirnos seguros en nuestros hogares y el aumento de confianza al pasar más horas conectados. Todo esto desemboca en que poseemos una mayor exposición al cibercrimen bajo un entorno más vulnerable al habitual, bajo el punto de vista de conexiones domésticas.
Según Antonio Ramos, “el estar conectado con equipos de casa, que también usa la familia, aumenta el grado de exposición a ataques derivados de terceros. Las empresas que tenían una plataforma estable ahora se encuentran con que se trabaja desde redes que no controlan se incrementan los riesgos”.
Entornos inseguros y perímetros sin control
Esos entornos inseguros estaban acotados en las empresas, tal y como señaló Joaquín Altafaja, “porque en la oficina teníamos el perímetro delimitado, que se empezó a abrir hace unos años con el móvil y los portátiles”.
Sin embargo, “con el teletrabajo y el Covid-19 no hay perímetro, todo es campo abierto. Los directores de seguridad no tenemos control de con qué redes se están conectando los trabajadores, lo que supone unos riesgos brutales”.
Altafaja aseguró que ya se tenían estadísticas de ataques y ‘malware’, pero que cuando se vea el total, las cifras de cómo se conectan a la red corporativa serán muy amplias.
También advirtió del riesgo económico que supone el teletrabajo, “los trabajadores pedirán cuentas a las compañías, porque ponen ADSL, electricidad y su propio móvil para trabajar. Al final los Comités de Empresa podrían pedir que estos costes reviertan en beneficio del trabajador. Esos costes terminarán sumando y puede suponer mucho dinero”.
En cuanto a si las empresas están preparadas para gestionar esta situación, según el propio Antonio Ramos “fundamentalmente no. No solo por tecnología. Culturalmente el tema presencial es importante en España y a la pequeña y mediana empresa le ha pillado con el pie cambiado”.
En su opinión, “muchas tendrán problemas para asumir este proceso. La mayoría no trabajan en la nube y solo un 20% de las empresas tenían tabulado los parámetros a seguir para realizar teletrabajo”.
Ante esta reflexión, Pablo Montoliu apuntó que la actual crisis sanitaria “puede ser una oportunidad para que se avance en el teletrabajo” y puso el ejemplo de Estados Unidos “donde ya se teletrabaja los viernes. Aquí hay que hacérselo mirar de la misma manera”.
Pablo Montoliu, ‘Chief Information & Innovation Officer’ en AON y profesor de aesYc.
También aseguró que “las empresas españolas no están preparadas para teletrabajar y asumen grandes factores de riesgo por ello con esta crisis Cuando la ciberseguridad no se incluye desde el diseño y se deja para última hora, como las empresas que lo han montado desde cero por el confinamiento, puede tener grandes problemas».
En cuanto a los aspectos legales de esta nueva manera de trabajar, Francisco Pérez Bes, en su intervención, explicó que “hay que comportarse en internet como en el mundo físico y ser consciente de los riesgos. La empresa debería encargarse de que exista concienciación, formación y de actuar con diligencia, llevar acciones de contención como contraseñas más robustas, cifrados, etc».
Para Pérez Bes hay que seguir las directrices de que se recogen en el Reglamento General de Protección de Datos (RGPD) y la directiva NIS de ciberseguridad que son exigentes para las instituciones y empresas españolas.
Francisco Pérez Bes, Partner of Digital Law at Ecix Group, socio y profesor de aesYc.
En ese contexto, Altafaja apostilló que «los tres aspectos a cuidar y tener en cuenta son la identidad, el dato y las aplicaciones que soportan ese dato. Hay que centrarse en el cumplimiento de los principios básicos de la seguridad de la información. Asegurar la copia de seguridad separada del sistema principal es básico”.
¿Qué hacer para protegerse?
Además del análisis de impacto, los expertos recomendaron diseñar políticas que permiten al empleado saber cómo debe actuar, restringir accesos, actualizar ‘software’, limitar las descargas o autorizar las que deban realizase, acreditar que las medidas se han implementado, que están funcionando y poder demostrárselo a la autoridad reguladora que es así.
También consideran que el empresario debe asegurarse que actuar con diligencia para poder acreditar que hace lo que la normativa quiere si se produce un incidente, saber así si debe contactar con el regulador o con fiscalía, establecer políticas que aseguren la continuidad del negocio si hay un incidente de seguridad.
Junto a ello los ponentes coincidieron en la necesidad de tener también una estrategia de comunicación en la gestión de crisis y tener a mano su póliza de seguro para esta materia.
Las grandes empresas que ya tienen una póliza de ciberriesgos hechas a medida. En las empresas más pequeñas, que no son tan previsoras, el mercado de seguros en España no está maduro para ellas.
Para Pablo Montoliu, cuando acabe esta crisis del COVID 19 “va a haber una nueva normalidad, quizá soy muy positivo, porque alguno de estos cambios, como trabajar en equipo y en remoto han venido para quedarse. Muchas empresas sin planes en este sentido los han implantado en un par de semanas y se ha producido mayor concienciación”.
Noticias Relacionadas:
