Teletrabajo y seguridad. Un difícil equilibrio.
Ahora que muchas de nuestras organizaciones se encuentran en el proceso, total o parcial, de reincorporación a los puestos habituales de trabajo, es el momento de sacar conclusiones de lo que ha supuesto la pandemia del COVID-19. Estas conclusiones nos tienen que servir para que en la próxima ocasión, ya que parece que existen bastantes posibilidades de que volvamos al confinamiento antes o después, estemos mejor preparados.
La primera conclusión es que no estábamos preparados. De la experiencia con clientes y por otros casos que me han llegado, se deduce que nadie había pensado que sufriríamos una pandemia de este nivel. Llevo alrededor de catorce años auditando, y ningún plan de continuidad de los que he podido revisar tenía en cuenta una situación como la que hemos sufrido. Muchos de estos planes sí habían recogido la posibilidad de que una parte del personal no pudiera acudir a su puesto de trabajo por diferentes causas; pero a nadie se le ocurrió la posibilidad de que sus clientes, sus proveedores, y todo el país se confinara y cerrara sus fronteras.
Como consecuencia de lo anterior, se han producido una serie de problemas a la hora de teletrabajar. Uno bastante habitual ha sido que no toda la información necesaria estaba digitalizada, resultando curioso que algún abogado, de los típicos que acumulan montañas de expedientes en papel por todos lados, pretendiese teletrabajar. Otro problema, también relacionado con la disponibilidad, ha sido la carencia de equipos portátiles en las empresas para que el personal se pudiera llevar a casa equipos previamente preparados con las aplicaciones necesarias y con una configuración mínima de seguridad. Por supuesto, durante los primeros días de confinamiento, abastecerse de nuevos portátiles era tan complicado como abastecerse de mascarillas. Ante esta carencia, algunos se han llevado el equipo de escritorio de la oficina a casa; pero, en la mayoría de los casos, la solución ha sido utilizar equipos domésticos para el teletrabajo, con las implicaciones de todo tipo que esto tiene para la seguridad de la información de la organización.
Por otra parte, en las primeras semanas de confinamiento se ha experimentado un aumento considerable de las conexiones RDP (Remote Control Desktop), más conocidas como escritorio remoto. Estas conexiones son una de las principales entradas de ransomware en las organizaciones, por lo que comprometen seriamente la seguridad; y no es muy complicado hacerse con una base de datos conteniendo miles de IPs de empresas con el puerto utilizado por el servicio RDP.
Muchas organizaciones que disponían de una VPN (Red Privada Virtual), que es la forma más segura de proporcionar acceso a los usuarios desde el exterior, la tenía dimensionada para unos pocos trabajadores que, con equipos ya preparados, trabajaban habitualmente en clientes, en hoteles o desde su casa. Pero en ningún caso, la infraestructura de VPN estaba preparada para poner al 100% del personal a teletrabajar. Además, hay que tener en cuenta la saturación de las comunicaciones, no solo a nivel general (con picos de utilización cercanos al 200% en algunos momentos del confinamiento), sino también por la inversión del flujo de datos en las organizaciones. Con todo el personal solicitando información desde fuera, el canal de subida de las conexiones de la organización es el que más saturación sufre, cuando es el que menos ancho de banda suele disponer (a veces en proporciones de 1 a 5 respecto al canal de bajada, que es el más utilizado en situaciones de normalidad).
En definitiva, en general ha primado la operatividad sobre la seguridad en la toma de decisiones, lo que unido al aumento de las amenazas (precisamente intentando aprovecharse de esta situación), ha llevado a un aumento de los incidentes graves de seguridad en todo tipo de empresas durante el confinamiento.
Por ello, y previendo la repetición de circunstancias similares en el futuro, lo que habrá que buscar es el siempre difícil equilibrio entre la operatividad de la empresa y su seguridad.
Para ello, como recomendaciones generales, hay una serie de aspectos que se deben considerar. La empresa debe tener establecida, aprobada y comunicada una política de seguridad, que deberá incluir un apartado para el teletrabajo y para el uso adecuado de los recursos. Habrá que digitalizar todo lo digitalizable y, donde sea posible, migrar a una infraestructura cloud (por regla general, cuanto más pequeña sea una organización más adecuado es el entorno cloud). Las conexiones con la infraestructura de la organización deberán ser VPNs y todos los equipos de trabajo deberán estar protegidos adecuadamente (endpoint, etc.) evitando la utilización de equipos domésticos. Además, los equipos portátiles y resto de dispositivos móviles deberán estar cifrados.
Y recordad que es necesario gestionar la continuidad de negocio, para éste y otros escenarios; y realizar pruebas y simulacros antes de que nos veamos obligados a hacerlos en una situación real, como nos ha pasado esta vez.
Miembro del Comité de Asturias de itSMF España