La ca¨ªda del muro entre la oficina y el hogar desaf¨ªa a la ciberseguridad

Si bien ha golpeado a todos los estratos de la econom¨ªa con fuerza desigual, uno de los grandes desaf¨ªos que ha supuesto la pandemia del Covid-19 a nivel empresarial ha sido el de c¨®mo mantener la actividad en medio de las limitaciones impuestas por el confinamiento decretado con el objetivo de doblegar la expansi¨®n del virus. Muchos negocios han estado congelados y otros no frenaron su marcha debido a lo esencial de su naturaleza, pero todos, al igual que han hecho las personas, han cambiado su manera de funcionar.

Hasta la llegada del coronavirus, seg¨²n datos de Eurostat, solo un 4,3% de la fuerza laboral de Espa?a teletrabajaba de forma habitual. La excepcional situaci¨®n de necesidad ha empujado a las empresas a acometer toda una revoluci¨®n y a implementar en tiempo r¨¦cord de forma masiva esta modalidad de trabajo. Al calor del nuevo paradigma, tambi¨¦n han llegado nuevos retos, que han sido analizados en profundidad por expertos de diferentes sectores en el desayuno informativo a trav¨¦s de videoconferencia organizado por CincoD¨ªas con la colaboraci¨®n de KPMG: La ciberseguridad que viene tras el Covid-19.

En el camino hacia la nueva forma de entender el trabajo, no todas las empresas lo han tenido igual de f¨¢cil. As¨ª, las de mayor tama?o y aquellas organizaciones que ya estaban acostumbradas a estos m¨¦todos han atravesado una ruta menos accidentada que las pymes.

Marc Mart¨ªnez, socio responsable de ciberseguridad de KPMG en Espa?a, explica que, pese a que su compa?¨ªa estaba bastante mejor preparada frente a este cambio que otras empresas que lo hacen todo de forma presencial, han tenido que adaptarse y tratar de garantizar los procesos cr¨ªticos de negocio para que todos los consultores pudiesen mantener su nivel de productividad. ¡°En general, la gran empresa s¨ª estaba preparada, pero es cierto que el tejido empresarial de pymes est¨¢ teniendo un problema porque el concepto de continuidad de negocio en el caso de que haya indisponibilidad de algo pues no estaba suficientemente dentro de la cultura¡±, expone.

El elemento de mantener el nivel en el servicio que presta fue, por ejemplo, una de las claves del proceso que llev¨® a los empleados de los servicios centrales de Abanca a teletrabajar por completo. Para ello, Roberto Baratta, CSO y DPO del banco, se vio obligado a garantizar no solamente que los sistemas que permiten conectarse funcionaran correctamente, sino que tambi¨¦n tuvo que asegurarse de que aquellas personas que trataban de acceder a la informaci¨®n de su empresa eran realmente quienes ten¨ªan que hacerlo, ¡°la autenticaci¨®n, el control de accesos, ha sido un reto importante¡±, asevera.

La mayor dificultad que tuvo que afrontar Javier Santos, director de seguridad global del grupo Santaluc¨ªa, fue la de hacer que los trabajadores se acostumbraran al teletrabajo, ¡°muchas veces los propios usuarios desconoc¨ªan c¨®mo ten¨ªan que operar, y ha supuesto un esfuerzo tambi¨¦n a la hora de garantizar que se estaba gestionando el acceso a los sistemas en remoto de una manera segura¡±, relata.

En opini¨®n de Juan Cobo, CISO de Ferrovial, el reto de extender el teletrabajo en su compa?¨ªa simplemente se trat¨® de una cuesti¨®n de escala. Ferrovial ya ofrec¨ªa acceso remoto a sus trabajadores antes de esta crisis, y lo que ha hecho la empresa es multiplicar por 10 esa capacidad; ¡°no nos ha pillado con el pie cambiado, es un problema m¨¢s de dimensionamiento pero con cosas que ya ven¨ªamos haciendo¡±.

En Naturgy, Jes¨²s S¨¢nchez, el jefe de ciberseguridad global de la cotizada, desvela que la empresa fue capaz de extender el teletrabajo en solo 72 horas gracias a la flexibilidad de los servicios basados en la nube. Aunque esta transici¨®n forzosa al teletrabajo haya tenido sus ventajas, tambi¨¦n tiene su contraparte negativa. S¨¢nchez sostiene que la exposici¨®n a los riesgos asociados a la ciberseguridad ha crecido debido a que la barrera entre el entorno dom¨¦stico y el profesional de los empleados ha quedado muy desdibujada en la actual situaci¨®n.

Aumento de ataques

Cuatro de los cinco expertos coinciden al se?alar un repunte en el n¨²mero de ciberataques desde el inicio de la crisis sanitaria. La llegada de nuevos pretextos es, seg¨²n Marc Mart¨ªnez, una de las explicaciones para este fen¨®meno, ¡°hay nuevos motivos para que la gente sea m¨¢s receptiva a la hora de recibir mensajes; si se reciben mensajes con motivo del Covid, pueden ser m¨¢s propensos a abrirlos o a ejecutar archivos maliciosos¡±, advierte.

¡°Nos hemos encontrado un cambio de vector en los ataques. Al principio se hizo mucho foco en campa?as de phishing y suplantaci¨®n de organismos p¨²blicos ,como la oficina de trabajo o la Seguridad Social; nos hemos tenido que ir amoldando a los tipos de ataques¡±, describe Javier Santos. Jes¨²s S¨¢nchez pone cifras a la subida de la actividad delictiva en torno a Naturgy. ¡°Desde el punto de vista de los ataques por correo, estamos parando todos los d¨ªas incrementos de hasta el 300%, en los que destaca la tem¨¢tica Covid¡±.

Juan Cobo es la voz discordante en este tema. ¡°Yo no tengo claro que estemos sufriendo un mayor n¨²mero de ataques. Creo que los ataques est¨¢n mutando en las formas, se concentran en determinados temas; pero, por lo menos en Ferrovial, no observamos un incremento de las amenazas y no lo veo muy distinto a otras ¨¦pocas¡±. En la opini¨®n de Cobo, aunque cambien en forma, los ataques siguen teniendo la misma base: la de enga?ar a un usuario, por lo que la monitorizaci¨®n de las actividades es una de las claves para detectar brechas en la seguridad.

Al pertenecer a un sector especialmente cr¨ªtico ante los ciberataques como es la banca, Roberto Baratta est¨¢ especialmente concienciado sobre estas amenazas. ¡°Al final, el instrumento para cometer fraude habitualmente son los bancos. Todos los datos que se capturan al suplantar la identidad de los ciudadanos acabar¨¢n suplantando la identidad de los clientes de una entidad financiera y, por lo tanto, ejecutando el fraude a trav¨¦s de los bancos¡±, afirma. La clave para lograr un entorno seguro, opina el experto, pasa por la concienciaci¨®n tanto de los trabajadores como de los clientes. ¡°El tener criterios internos y externos para recordar las buenas pr¨¢cticas en este momento es m¨¢s oportuno que nunca, hay que recordar que deben tener mucho cuidado y que no todo lo que les llega es trigo limpio¡±, incide.

Ciberseguridad del futuro

Los expertos est¨¢n de acuerdo en el importante papel que ya est¨¢ jugando la tecnolog¨ªa en la nube y en que su importancia crecer¨¢ en el corto plazo. El hecho de no depender de sistemas locales, la elasticidad que proporciona y la mayor capacidad de seguimiento que facilita convierte a la nube en una alternativa m¨¢s deseable a sus ojos que los sistemas tradicionales.

No obstante, el apostar por la nube no ser¨¢ por s¨ª mismo suficiente, seg¨²n Javier Santos. ¡°La ciberseguridad debe adaptarse. No olvidemos que el ciberatacante se adapta tambi¨¦n al medio si ahora nosotros nos vamos a la nube; que no quepa duda de que aparecer¨¢n nuevos vectores de ataques sobre los cuales deberemos adaptarnos para responder lo antes posible para garantizar la seguridad¡±, refiere.

Otro de los modelos que ganar¨¢n fuerza ser¨¢ el conocido como Zero Trust. Se trata de un modelo de ciberseguridad basado en la identificaci¨®n de los diferentes grados de sensibilidad de los datos de una empresa y la otorgaci¨®n de los permisos de acceso justos y necesarios para los empleados, evitando as¨ª entregar permisos de m¨¢s y reduciendo la vulnerabilidad de la empresa tanto a nivel externo como a nivel de ataques internos. ¡°Todav¨ªa seguimos haciendo seguridad distintiva cuando el empleado est¨¢ dentro de la compa?¨ªa y cuando est¨¢ fuera; en el futuro, vamos a tratar a los empleados de la misma forma, tanto cuando est¨¢n dentro de nuestro entorno como cuando no. Un trabajador no es m¨¢s seguro por el hecho de estar sentado en una oficina¡±, valora Juan Cobo.

En la futura ciberseguridad, la regulaci¨®n ir¨¢ ganando cada vez m¨¢s peso, independientemente de la actual situaci¨®n sanitaria, coinciden los expertos. Si bien con la crisis del Covid no han observado un aumento de la legislaci¨®n sobre ciberseguridad, s¨ª lo han detectado en lo que a supervisi¨®n se refiere. ¡°En un entorno hiperregulado como es el sector financiero nos hacen tres preguntas todas las semanas, dos de ¨ªndole econ¨®mico y una tercera relativa a la ciberseguridad¡±, dice Roberto Baratta.

Marc Mart¨ªnez augura todo un cambio en la mentalidad empresarial, en el sentido de abordar con una mayor profundidad los planes de continuidad en el negocio en casos de crisis y de indisponibilidad de los diferentes activos de una empresa. Santos cree que el concepto de asegurar y verificar la identidad ganar¨¢ cada vez m¨¢s peso en el contexto del mundo hiperdigitalizado hacia el que nos dirigimos.

Jes¨²s S¨¢nchez destaca que la clave en la ciberseguridad despu¨¦s del Covid seguir¨¢ siendo el usuario. ¡°La convergencia entre lo personal y lo profesional est¨¢ dando nuevas oportunidades para concienciar mucho a los empleados, que son la primera l¨ªnea de defensa en todos los posibles ataques¡±, concluye.?