SG31

CIBERSEGURIDAD EN EL TELETRABAJO 23 Las amenazas Tomando como referencia las tenden- cias reseñadas por el Centro Criptológico Nacional (CCN) en 2020, los objetivos que más han sufrido ciberataques durante la actual pandemia han sido: • Ataques a redes domésticas y dis- positivos IoT (Internet de las Cosas) • Ataques a farmacéuticas y labora- torios de investigación • Ataques a herramientas y soluciones durante el teletrabajo • Ataques a servicios en la nube Y en el último informe de este orga- nismo, ‘Cyberamenazas y Tendencias 2020’ se analizan cuáles han sido las amenazas: • Ramsonware y robo de datos / extor- sión económica para recuperarlos. • Operaciones de ciberespionaje • Operaciones disruptivas y de control • Operaciones de desinformación (redes sociales) • Operaciones delincuenciales • Brechas de datos Materializadas mediante el uso de dis- tintos tipos de ataque, como puede ser el ransomware, las botnets, malware, intentos de acceso no autorizado a sistemas remotos, ataques web, de ingeniería social, a los sistemas indus- triales y a la cadena de suministro. Estos últimos muy preocupantes, pues son puerta de entrada a los sistemas de los clientes. ¿QUÉ HA CAMBIADO LA SEGURIDAD TI CON LA ADOPCIÓN DEL TELETRABAJO? Fundamentalmente, han cambiado las ‘fronteras’ hasta ahora seguras y que constituían tanto la ubicación física de la empresa como la estructura lógica de sus sistemas. Ahora se han ‘ensanchado’ y con ello la ‘superficie de exposición’ a los riesgos de seguri- dad TI, o ciberseguridad. El perímetro de seguridad ahora llega hasta los hogares de los empleados donde se ubican los puestos de usuario que se conectan a la red corporativa o a los recursos en la nube. ¿QUÉ RETOS PLANTEA ESTA NUEVA SITUACIÓN PARA LA SEGURIDAD? En este nuevo escenario es necesario poner el foco en una serie de medidas necesarias, dada la nueva ampliación del perímetro 'defensivo': • Poner énfasis en la cualificación de los roles de IT con respecto a las tecnologías de acceso y securi- zación que impone el teletrabajo. Un perímetro más extenso implica reforzar las tecnologías de acceso y la seguridad que debe acompañarlas, y ello conlleva formación adicional a quienes tienen que configurarlas. La seguridad de las WiFi locales en conjunción con el uso de VPNs para el acceso remoto deberá estar en la planificación de la formación de estos roles. • Relacionado con lo anterior, El uso de sistemas de teleconferencia debe restringirse a aquellas aplicaciones, debidamente aprobadas, que ofrezcan la seguridad necesaria. Máxime si en dichas reuniones se van a transmitir datos o mensajes considerados confidenciales. • Antes, la formación y conciencia- ción de los usuarios era importante, ahora resulta crítica. Si los emplea- dos, en esta nueva situación, no son conscientes de los riesgos que les aplican, nos quedaremos sin su colaboración y no conseguiremos que haya efectividad en las medidas que tomemos. • Impedir que los empleados utili- cen sus equipos personales para el trabajo en remoto. Los equipos de trabajo de los empleados han de tener configuraciones proba- das y aprobadas para el acceso a los sistemas de explotación. Se han de bastionar los sistemas adecuadamente, estructurando y documentando bien todos los requerimientos para ello. • Revisar adecuadamente toda la nor- mativa y procedimientos relativos a la seguridad de los sistemas. Y principalmente los que tienen que ver con los procesos operativos para la conectividad con el entorno de trabajo. • Aplicar una política de contraseñas seguras y que los usuarios se vean obligados a tenerlas en cuenta para poder acceder a los sistemas. Todo esto acompañado de políticas que refuercen los sistemas de respaldo de la compañía, asociados a planes de contingencia actualizados, que se nutran de los correspondientes análisis de riesgos y de impacto en el negocio. Así como una sólida y distribuida polí- tica de gestión de incidencias. Sin olvidar que la protección del dato debe ser el objetivo fundamental, puesto que la RGPD es muy clara al respecto. De hecho, la Agencia Española de Protección de Datos (AEPD) recibió hasta diciembre del pasado año un total de 1.206 noti- ficaciones de brecha de seguridad de datos personales, con sus corres- pondientes consecuencias. Tanto el cumplimiento en las medi- das indicadas en la norma, como la documentación de actividades y observación de las responsabilidades, no sólo de protección sino de comu- nicación en caso de que aquellas no funcionen, han de regir las actividades, máxime cuando los datos personales puedan circular fuera de las fronteras de la propia compañía. Enviar a nuestros usuarios más allá de los límites de la empresa debe poner- nos en guardia. Y como decía un viejo sargento de policía a sus compañe- ros, en una antigua serie de televisión: “Tengan cuidado ahí fuera … “. n