El teletrabajo era una modalidad que algunas compañías ya estaban contemplando adoptar en un futuro cercano. Por ejemplo, Pronaca había previsto el acceso remoto para ciertos perfiles que por sus responsabilidades requerían. Sin embargo, tuvieron que hacer un cambio en el equipo que está en el perímetro de la red interna antes de la pandemia para disponibilizar la conexión a través de una red privada virtual con el nivel de seguridad mínimo necesario.
Para Gabriela Salazar, Jefe de Seguridad de la Información de Pronaca, varias compañías no estaban preparadas para el teletrabajo, sobre todo las pequeñas y algunas medianas, ya que carecían de accesos seguros desde fuera de sus instalaciones.
La ejecutiva explica que algunas herramientas de protección quedaron cortas para cubrir todos los riesgos inherentes a la transformación digital que exige el teletrabajo. “Los ciberdelincuentes han aprovechado estas debilidades técnicas y el desconocimiento de los colaboradores para usar ingeniería social a través de diferentes medios, en especial correo electrónico, para obtener información confidencial”.
Hace un poco más de un año, en Pronaca cuentan con una herramienta que permite controlar este tipo de amenazas, con la cual han podido evidenciar un incremento del 50 % de este tipo de ataques que cada vez son más sofisticados.
En cuanto a la metodología de trabajo en estrategias de seguridad, cada vez que tienen un cambio en la operación interna o cuando existen cambios en el entorno (como en la pandemia) realizan una nueva evaluación de los riesgos de ciberseguridad. «Los riesgos son dinámicos, es necesario analizar si los controles implementados son suficientes o si es necesario realizar ajustes o nuevas implementaciones», asegura.
Para Gabriela Salazar, el plan de continuidad de negocio de una compañía debe estar alineado con la estrategia corporativa y debe proteger en todo momento los intereses de sus stakeholders, su reputación y velar por el cumplimiento regulatorio, por tanto, tiene que cubrir también los cambios estratégicos que se realicen por la crisis.
Las organizaciones deben contar en todo momento con las herramientas y el talento humano necesario para garantizar la protección de los activos de información durante la operación contingente.
Por otro lado, para empresas que adoptan un modelo de comercio electrónico, amplía que es importante tomar en cuenta el cumplimiento de estándares internacionales, sobre todo los referentes a seguridad en transacciones que involucren pagos con tarjetas de crédito o débito (por ejemplo, el estándar PCI).
“Es importante considerar también la seguridad de los sitios web, con la implementación de certificados digitales y la ejecución de análisis periódicos en busca de vulnerabilidades y pruebas de penetración”.
Con respecto a las principales consideraciones a tomar en cuenta en la nueva normalidad, asegura que las organizaciones deben tener un marco normativo para la seguridad de la información, respaldado por estándares internacionales como las ISO 27000 o marcos de ciberseguridad como NIST CSF o CIS Security. Además, plantea una serie de buenas prácticas que permiten mayor protección informática:
- Llevar una adecuada gestión de los riesgos.
- Tener una adecuada gestión y monitoreo de identidades y accesos con múltiples factores de autenticación, siguiendo el principio del mínimo privilegio.
- Adoptar el modelo de confianza cero que permite una verificación estricta del usuario y dispositivo antes de conceder cualquier acceso.
- Adquirir soluciones de seguridad para la protección de los equipos y herramientas corporativas, principalmente, con las que interactúa el usuario.
- Establecer un plan de recuperación de desastres que incluya una estrategia de respaldos.
- Implementar configuraciones de seguridad en la infraestructura tecnológica.
- Contar con una adecuada gestión de los incidentes, que incluya al menos prevención (monitoreo), detección, contención, remediación y recuperación de la infraestructura o información afectadas.
- Llevar una adecuada gestión y clasificación de los activos de información para tener visibilidad y un alcance claro de lo que se debe proteger.