No queda claro si la pandemia del coronavirus se puede elevar a la categoría de «cisne negro». Pero de lo que no cabe duda es de que ha cogido a la mayoría de las empresas con la guardia baja. La COVID-19 ha obligado a prácticamente todas las organizaciones a que sus empleados comiencen a trabajar en remoto de la noche a la mañana. Ante esta situación, todo el mundo ha vuelto su mirada hacia los responsables de continuidad de negocio, tecnología y, cómo no, ciberseguridad.
¿Pero habíamos contemplado este escenario en el plan de continuidad? ¿Qué tecnologías tenemos o debemos adquirir para poder trabajar en todos los departamentos vía online? ¿Qué sucede si recibimos un ciberataque en estas condiciones? Estas fueron algunas de las cuestiones que surgieron en un primer momento. En ellas, se planteaba la dificultad de controlar una empresa en la que el perímetro había desaparecido por completo y todos los empleados están conectados desde sus hogares o en espacios públicos, en la que los servicios están en la nube y en la que los proveedores que intervienen en la cadena de suministro desempeñan un papel clave.
Análisis retrospectivo
En la fase de desescalada, muchas de estas preguntas ya se han resuelto previamente. Pero ahora es el momento de realizar un análisis retrospectivo sobre qué lecciones hemos aprendido de esta crisis para extraer conclusiones y salir más fortalecidos y preparados ante futuras eventualidades.
En términos de continuidad de negocio, se ha demostrado que el escenario del teletrabajo, en la mayoría de los casos, funciona. Y que, además, en cuestiones de coste es más rentable que mantener un sitio alternativo espejo con decenas de puestos vacíos. Este hecho obligará a la mayoría de las compañías a replantearse sus estrategias de continuidad para determinados escenarios. En este sentido, muchos empleados denominados «críticos» debían haber estado trabajando físicamente en las salas de respaldo y se ha demostrado que, en realidad, no existía tal necesidad.
Los atacantes han aprovechado la relajación del empleado para realizar estafas vía ‘email’
De hecho, un aspecto relevante es que no todos los empleados de las compañías trabajan con ordenadores portátiles. Incluso, en algunos casos, se ha tenido que hacer uso de escritorios remotos a través de sus equipos personales, con todas las consecuencias de ciberseguridad que ello implica. Muchos de ellos no disponían ni de un ordenador personal. Esta situación de caos evidencia cómo la transformación digital es mucho más que un bonito eslogan que poner debajo del logo de la compañía.
Digitalización
En la otra cara de la moneda, también ha habido diversos casos de éxito de empresas cuyas áreas de ciberseguridad y continuidad de negocio han desempeñado un papel relevante en la digitalización de la compañía. Algo que ha contribuido a que esta haya tenido flexibilidad para adaptarse a los cambios que han sido necesarios. Esto ha ayudado a que dichas organizaciones se refuercen y se vean beneficiadas en esta crisis, al prestar un buen servicio donde otras luchan por subsistir.
A todo lo anterior hay que sumar la dificultad, o más bien imposibilidad, de bastionar el domicilio del empleado. Empezando por la famosa contraseña del router, que no se suele modificar, en contra de las acciones de seguridad recomendadas, y por el cual circula tanto el tráfico de la partida del videojuego de moda como la navegación personal de la familia al mismo tiempo que el tráfico de la compañía, en el mejor de los casos vía VPN.
En este contexto surgen nuevos requerimientos para que el negocio funcione, como la necesidad de aumentar y duplicar los servicios de VPN o de contar con diferentes sistemas de videoconferencia y plataformas de trabajo colaborativo. Todo ello ha modificado el listado de activos a proteger.
¿Y cómo se homologa a todos estos nuevos proveedores y se asegura que los riesgos están gestionados cuando hay que realizar el cambio en tiempo récord? Una vez más, depende del nivel de madurez de la compañía.
En este punto podemos diferenciar entre dos tipos de compañías: las que de forma reactiva han tenido que meter un sprint para reaccionar ante esta situación y aquellas cuyo proceso de digitalización estaba bien concebido, puesto que tenían integradas, entre otras, a la función de ciberseguridad y de continuidad de negocio desde las fases tempranas del diseño.
Principales problemas de seguridad
El correo electrónico se ha vuelto el punto más crítico de las compañías, y la concienciación del empleado es la clave de la que, en gran medida, depende estar más o menos protegido ante el phishing.
Los casos de fraude se han incrementado de forma completamente exponencial y los atacantes han aprovechado la relajación del empleado para realizar estafas vía email, en las cuales es más fácil «caer en la trampa» cuando se difumina la barrera entre lo profesional y lo personal.
El correo electrónico se ha vuelto el punto más crítico de las compañías, y la concienciación del empleado es clave para estar más o menos protegido
Llama la atención el elevado número de empresas que utilizan sistemas de comunicación tipo chat en los portátiles corporativos, donde se mezclan indistintamente conversaciones personales y profesionales. En este contexto, es más que probable que el empleado se descargue el ‘meme’ del momento en el portátil corporativo sin atender a la posible infección del equipo por descarga de malware asociado. De hecho, el uso de WhatsApp se ha incrementado un 700 por ciento en España durante esta crisis sanitaria.
Preparación
Otro punto destacable es la diferencia entre las empresas que han estado preparadas para gestionar esta crisis y aquellas que están improvisando las soluciones y olvidando las buenas prácticas.
Sorprendentemente, muchas organizaciones siguen sin realizar periódicamente ciberejercicios para entrenar a su alta dirección y sus equipos operativos de respuesta. Cuando no se está entrenado ni familiarizado con las herramientas necesarias para gestionar ciberincidentes o situaciones de excepción es fácil que las decisiones tomadas agraven la crisis, en vez de mitigarla.
Pero no parece que todos estos problemas de ciberseguridad y continuidad de negocio sean puntuales, puesto que los líderes de las organizaciones apuestan por el teletrabajo más allá de esta crisis. Esta nueva normalidad ha venido para quedarse, y la digitalización no se puede implantar de cualquier forma.
Por tanto, ahora más que nunca, la ciberseguridad y la continuidad de negocio deben ser una inversión. Y, a pesar del descenso de la facturación de las compañías, estas áreas deben ser claves para garantizar su subsistencia.
