La nueva «Ciber Normalidad». Y ahora, ¿qué?

La «nueva normalidad» en materia de ciberseguridad tras el confinamiento del COVID

Adaptarse o morir. Con la llamada «Nueva Normalidad» ya pasado el confinamiento y las fases de desescalada por la pandemia del Coronavirus, nos encontramos verdaderamente en una realidad diferente en muchos aspectos… nuestra vida familiar, nuestras relaciones sociales, el trabajo, la economía, e incluso, rodeando o atravesando transversalmente a todo ello, el modelo de la ciberseguridad y cómo abordarla en este nuevo contexto.

La situación ha cambiado indudablemente. Hay cosas que hacíamos que ya no hacemos. Hay cosas que hacemos que antes no hacíamos. Las cosas que hacemos las hacemos de diferente forma obligados por la situación o debido a las lecciones aprendidas. 

Es probable que esta situación se mantenga mucho tiempo e incluso sea el modelo de futuro o el principio de él. Es probable que incluso evolucione a «versiones 2.0» y posteriores. Ha venido para quedarse y asentarse, o al menos parte de ella y sus nuevos hábitos derivados.

  Está claro que en materia de ciberseguridad también hay retos y tenemos que adaptarnos lo antes posible a este nuevo paradigma. Tal vez incluso sea muy positivo y nos llegue a aportar esa ansiada innovación, eficiencia, diferentes formas de entender y de hacer, sentido común, y, probablemente, con todo ello, una verdadera transformación digital en muchos sentidos.

Pero veamos un poco la nueva situación, tanto en la empresa como en el hogar/familias, analizando las «nuevas necesidades», los «nuevos hábitos», las cosas que hacemos ahora y cómo las hacemos, el cambio de la importancia y la prioridad de de cada cosa y qué se debería tener en cuenta para estar ciberseguros/as en este nuevo escenario.

Respecto al teletrabajo, hace apenas 6 meses la gente se extrañaba cuando le decías aquello de «trabajo desde casa» (porque si les decías que «teletrabajabas» no todo el mundo te entendía del todo ;-)). Ahora no, ahora es casi al revés, ahora te preguntan si teletrabajas o no ;-).

Esto, que en sí mismo no es que sea un cambio excesivamente sustancial, trae consigo importantes asuntos a tener en cuenta en materia de seguridad, de ciberseguridad… ya no estamos trabajando desde un «entorno corporativo procedimentado y securizado«, utilizamos nuestra propia WiFi, router y proveedor de Internet personales o familiares, probablemente también utilicemos total o parcialmente nuestros dispositivos personales (móviles, portátiles, tablets) para teletrabajar (BYOD – Bring Your Own Device), hacemos videoconferencias, nos conectamos en remoto a servicios y servidores, usamos mucho más el correo electrónico y servicios de chat y de mensajería instantánea, nos apoyamos y utilizamos servicios en la nube (cloudcomputing vs on premise)… y, todo esto, desde nuestra casa (o cualquier otro sitio) complicando la seguridad y también la conciliación y la diferenciación entre trabajo y familia. 

Sí, las cosas han cambiado mucho en muy poco tiempo. Quizá incluso éste haya sido el detonante para dar el primer paso hacia una verdadera transformación digital, para que muchas cosas llegasen a ponerse en práctica ya tras muchos años hablando de ellas, como el teletrabajo y lo que, desde mi punto de vista personal, aporta en cuanto a eficiencia, productividad, rentabilidad… (al menos en la mayoría de los casos al margen de necesidades puntuales y preferencias personales/sociales).

Pero, como casi todo en la vida, lo ideal puede ser el término medio, balancear, sopesar los pros y los cons de cada postura, de cada escenario y llegar a consensuar el más conveniente posible. En este sentido, además de tratar de ser capaces de separar los dos mundos, el laborar y el familiar/social por nuestro bien psicológico, debemos tener claro que todos los beneficios que nos aporta este nuevo modelo, esta nueva normalidad en lo que a teletrabajo y «comodidades» derivadas  se refiere, deben estar balanceadas con medidas de seguridad ad hoc para ello.

Si antes trabajábamos físicamente en las oficinas de nuestra empresa y nos ateníamos a los protocolos, procedimientos, políticas, controles y medidas de seguridad y ciberseguridad, ahora tendremos que hacer lo propio si trabajamos fuera de las oficinas, en nuestra casa, trasladando ese modelo en la medida de lo posible a las nuevas circunstancias… 

…ordenador, móviles y tablets securizadas (antivirus, VPN, FW…), robustos controles de acceso a servicios de la compañía y servicios de terceros, correcta gestión de la identidad y protección de la misma, canales de comunicación y transferencia de información y datos cifrados y seguros mediante VPNs (Redes Privadas Virtuales / Virtual Privacy Network), actualización y parcheado de vulnerabilidades del sistema operativo, software, Apps, aplicaciones, servicios Web, etc. que utilizamos, evitar en la medida de lo posible hacer uso de hardware, software y servicios personales para uso corporativo y viceversa… y un sinfín más. 

ahora tendremos que hacer lo propio si trabajamos fuera de las oficinas, en nuestra casa, trasladando ese modelo en la medida de lo posible a las nuevas circunstancias… 

…ordenador, móviles y tablets securizadas (antivirus, VPN, FW…), robustos controles de acceso a servicios de la compañía y servicios de terceros, correcta gestión de la identidad y protección de la misma, canales de comunicación y transferencia de información y datos cifrados y seguros mediante VPNs (Redes Privadas Virtuales / Virtual Privacy Network), actualización y parcheado de vulnerabilidades del sistema operativo, software, Apps, aplicaciones, servicios Web, etc. que utilizamos, evitar en la medida de lo posible hacer uso de hardware, software y servicios personales para uso corporativo y viceversa… y un sinfín más. 

Teniendo en cuenta que ahora utilizamos nuestras conexiones personales/familiares (primordialmente nuestra WiFi) para teletrabajar, deberíamos tomar (de forma personal y/o consensuada con la empresa) medidas como la correcta configuración y securización del router, de la WiFi, revisión y establecimiento de contraseñas robustas y seguras, configurando adecuadamente los niveles de cifrado y seguridad de la conexión…

Si además también usamos nuestra conexión móvil (3G/4G) tendremos que tener en cuenta que esas comunicaciones sean seguras y privadas, tratando de garantizar por todos los medios la confidencialidad e integridad de la información/datos (y, en ocasiones, hasta su disponibilidad). En este caso, lo recomendable es instalar un sistema de cifrado, una VPN, etc., que protejan esos datos transaccionados.

Desde el otro lado, desde los sistemas TI de la empresa, también hay tarea. En primer lugar el contar con los dispositivos de trabajo convenientemente securizados. Por otro lado, securizar y robustecer los sistemas de identidad, acceso y uso remoto de servicios corporativos (internos y externos, on premise y cloud). Para garantizar las comunicaciones seguras, ser capaces de proveer a todos los empleados servicios VPN para trabajar de forma segura a distancia, así como las aplicaciones más apropiadas para realizar trabajo en equipo (videoreuniones, compartición de ficheros y contenidos, colaboración en proyectos y tareas…).

Sin duda, y quizá ahora más que nunca con la necesidad de validaciones, logins y conexiones remotas, es crítica la revisión y/o establecimiento de adaptaciones y mejoras en las políticas y estado de la gestión de usuarios, de cada uno de los perfiles de cada uno de los grupos de usuarios, de cada empleado, de los permisos que tiene, de los que no tiene ni debe tener… 

En el caso de proveedores, partners, colaboradores, servicios en la nube de terceros, etc., habrá que garantizar su capacidad, su disponibilidad, SLA, su seguridad, su privacidad,… en el nuevo escenario que se presenta y tomar las medidas oportunas de ampliación, escalado, contrataciones, auditorías, certificaciones, etc.

Otra de las tareas de la ToDo list desde el lado de la empresa será contar con las correspondientes estrategias, políticas, procedimientos de ciberseguridad, planes de contingencia, de trabajo, hábitos y actuación que todo empleado debe cumplir. No vale solo con que existan, además hay que comunicarlas, hay que hacerlas llegar a los empleados y hay que hacer seguimiento de su puesta en práctica, así como de los controles que se establezcan en todos los procesos, sistemas, etc.

Enlazado con lo anterior, y quizá como uno de los aspectos más importantes que no debemos pasar por alto además de todas las medidas de seguridad en sí mismas, está la concienciación, la formación, la capacitación en materia de privacidad y de ciberseguridad. Esto, que parece una bobada y algo satélite, adicional y no demasiado relevante, es crítico. Tengamos en cuenta que el factor humano es, sino el mayor, uno de los mayores riesgos y ciberriesgos

El desconocimiento y la falta de formación y hábitos seguros por tanto, nos puede hacer cometer errores como picar en trampas de ingeniería social, phishing o suplantación de identidad, ser descuidados, no estar convenientemente protegidos (de forma consciente o inconsciente), no tener buenos hábitos de seguridad. Estos errores desencadenarán y supondrán problemas gravísimos de ciberseguridad y, por ende, ciberincidentes de gran envergadura, con sus terribles consecuencias.

Y, como no, sabiendo que aunque se tomen todo tipo de medidas, la ciberseguridad al 100% no existe, que aún así ocurrirán cosas indeseadas, que tendrán lugar ciberincidentes… del mismo modo que en la vida «off line» tenemos nuestros seguros de empresa, hogar, vida, de responsabilidad civil, etc., quizá sea el momento de que las empresas, pymes y autónomos se comiencen a plantear muy seriamente la contratación de algún ciberseguro (póliza de ciberseguridad)… el que más convenga y mejor se adapte a su situación… preventivo, reactivo, o ambos.

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.

TE PUEDE GUSTAR

RECIBE LA NEWSLETTER

*Email: *Nombre apellidos: *Empresa: Cargo: Sector:

 
Please don't insert text in the box below!

ARTÍCULOS MÁS RECIENTES

ESCUCHA NUESTRO PODCAST

SÍGUENOS EN RRSS

MÁS COMENTADOS

Scroll al inicio