Please enable JS

Teletrabajar obliga a revisar el Plan Director de Seguridad

Teletrabajar obliga a revisar el Plan Director de Seguridad | IECISA

Teletrabajar obliga a revisar el Plan Director de Seguridad

06/10/2020 / Francisco Leal Usero /Seguridad

Las estadísticas a finales de 2019 dejaban a España en un mal lugar en lo que respecta al uso del teletrabajo. Pero en marzo de 2020 todo esto cambió y el vértigo se adueñó de las decisiones empresariales, donde lo físico sucumbió ante lo virtual produciéndose una situación impensable, la imposición del teletrabajo. La causa que subyace en el extendido y obligado uso del teletrabajo es conocida por todos, una situación de pandemia que paralizó el país. No sería descabellado, ni arriesgado, afirmar que el COVID-19 ha hecho más por el teletrabajo que ningún otro plan de digitalización y transformación.


Si tuviera que dar una definición simplificada de teletrabajo sería; “una forma de llevar a cabo nuestro desempeño laboral en un lugar diferente a la oficina”.

Es evidente que se está produciendo con las nuevas formas de trabajo, un intensivo uso de las telecomunicaciones y ello ha provocado una sobreexposición a los ciberdelincuentes, convirtiendo al usuario final en un vector de ataque más, y es por ello por lo que la Ciberseguridad juega un papel central en el escenario actual. Es decir, teletrabajar sin una política de seguridad revisada y actualizada al entorno real es como ser funambulista sin red de protección, una situación excesivamente arriesgada, por no calificarla de suicida.

En octubre estamos celebrando el Mes Europeo de la Ciberseguridad, siendo por ello una especial ocasión para traer a este blog, una serie de artículos relacionados con la Ciberseguridad.

La Ciberseguridad no se circunscribe exclusivamente a un firewall o a una solución de antivirus, pues en ella quedan subsumidos medios materiales, personales y formales. Entre los aspectos formales, en esta ocasión haremos referencia a aspectos normativos y regulatorios que todo Plan Director de Seguridad debe contemplar, sin obviar que nuestro objetivo es proteger la información y las infraestructuras sobre los que discurren nuestros flujos de información, por la que viajan datos esenciales para cualquier empresa, y especialmente protegidos por las leyes comunitarias y nacionales (cobrando especial relevancia el RGPD).

Recapitulemos, hemos pasado del presentismo a la virtualidad para desarrollar nuestro trabajo, donde las organizaciones y sus trabajadores nos hemos visto expuestos en exceso a las acciones delictivas de los ciberdelincuentes, siendo por ello necesario revisar y reformular todas aquellas formas de acceder a la información, donde el uso de dispositivos para dicho acceso es diverso (portátiles, tablets, teléfonos móviles), incluso en algunas ocasiones generándose situaciones en las que éstos no están controlados (Shadow IT), llegando a ejecutarse el acceso desde dispositivos personales (BYOD).

Si las formas de acceso a la información en nuestra organización han cambiado, ¿cuál debería ser nuestro primer paso? Revisar el Plan Director de Seguridad, pues debemos considerarlo el pilar sobre el que se sustentarán las mejoras de ciberseguridad.

La tarea inicial es fijar el marco de referencia sobre el que se debe apoyar la implementación del teletrabajo como método del desempeño laboral, pues no podemos obviar que el uso del teletrabajo lleva implícito que organizaciones de todo tipo y tamaño se hayan visto obligadas a recoger, procesar, almacenar y transmitir información de forma electrónica, con el consabido riesgo que ello lleva aparejado.

Cobra especial relevancia para revisar y acometer las acciones correctoras necesarias del Plan de Seguridad, diferenciar los activos (sujetos a amenazas intencionadas y/o accidentales) de los procesos, los sistemas, las redes y las personas (que adolecen de inherentes vulnerabilidades), siendo por ello de imperiosa necesidad contar con sistemas de protección de la información así como de las infraestructuras, que redundará  en la minimización de riesgos frente a vulnerabilidades y amenazas desde una doble perspectiva (endógena y exógena), es decir, las amenazas generalmente vienen del exterior pero no es de extrañar que, cada día más, nos enfrentemos a situaciones donde de las  amenazas son internas.

Una vez fijado el marco de referencia de buenas prácticas a seguir (ISO 27001 – ISO 27002), ¿qué debería llevarse a cabo como segunda acción? Creemos primordial conocer la situación actual en la que nos encontramos, siendo preciso un análisis tanto técnico como de riesgos de todos los activos, no solo de los tecnológicos, obteniendo como resultado una foto fidedigna de nuestra situación en el plano de la seguridad de la información. Es fundamental abordar aquellas cuestiones acuciantes y que presentan un alto riesgo para los activos críticos de la compañía sin más demora, pues la protección de la información se torna vital para la continuidad del negocio.

¿Qué hemos logrado hasta aquí? Inicialmente tener una imagen fiel de los riesgos a los que nuestra organización está expuesta y sentar las bases para la mejora integral de la ciberseguridad, detectando anomalías y corrigiendo éstas. Asimismo, en este punto deberíamos ser capaces de dar respuesta a cuestiones como:

  • ¿quién accede?
  • ¿cuándo accede?
  • ¿cómo accede?
  • ¿dónde accede?

Llegados a este punto ¿está mi empresa totalmente cibersegura? Es el momento de recurrir a la frase atribuida al experto en seguridad informática, Eugene Spafford: “El único sistema seguro es aquel que está apagado y desconectado, enterrado en un refugio concreto, rodeado por gas venenoso y custodiado por guardianes bien pagados y muy bien armados. Aun así, yo no apostaría mi vida por él”.

Ello viene a demostrar que la ciberseguridad es, entre otras cosas, un conjunto de herramientas, directrices, métodos de gestión de riesgos, acciones y formación, cuyo objeto no es otro que proteger los activos de la organización, estando dicha disciplina en constante evolución con procesos iterativos de mejora continua.

Comentarios/0


AUTORES