La caída del muro entre la oficina y el hogar desafía a la ciberseguridad
Obligadas a cambiar por completo la forma en la que trabajan, tanto compañías como empleados han tenido que hacer frente a retos en su proceso de adaptación. Los ciberataques repuntan utilizando como pretexto la crisis sanitaria
Si bien ha golpeado a todos los estratos de la economía con fuerza desigual, uno de los grandes desafíos que ha supuesto la pandemia del Covid-19 a nivel empresarial ha sido el de cómo mantener la actividad en medio de las limitaciones impuestas por el confinamiento decretado con el objetivo de doblegar la expansión del virus. Muchos negocios han estado congelados y otros no frenaron su marcha debido a lo esencial de su naturaleza, pero todos, al igual que han hecho las personas, han cambiado su manera de funcionar.
Hasta la llegada del coronavirus, según datos de Eurostat, solo un 4,3% de la fuerza laboral de España teletrabajaba de forma habitual. La excepcional situación de necesidad ha empujado a las empresas a acometer toda una revolución y a implementar en tiempo récord de forma masiva esta modalidad de trabajo. Al calor del nuevo paradigma, también han llegado nuevos retos, que han sido analizados en profundidad por expertos de diferentes sectores en el desayuno informativo a través de videoconferencia organizado por CincoDías con la colaboración de KPMG: La ciberseguridad que viene tras el Covid-19.
En el camino hacia la nueva forma de entender el trabajo, no todas las empresas lo han tenido igual de fácil. Así, las de mayor tamaño y aquellas organizaciones que ya estaban acostumbradas a estos métodos han atravesado una ruta menos accidentada que las pymes.
Marc Martínez, socio responsable de ciberseguridad de KPMG en España, explica que, pese a que su compañía estaba bastante mejor preparada frente a este cambio que otras empresas que lo hacen todo de forma presencial, han tenido que adaptarse y tratar de garantizar los procesos críticos de negocio para que todos los consultores pudiesen mantener su nivel de productividad. “En general, la gran empresa sí estaba preparada, pero es cierto que el tejido empresarial de pymes está teniendo un problema porque el concepto de continuidad de negocio en el caso de que haya indisponibilidad de algo pues no estaba suficientemente dentro de la cultura”, expone.
El elemento de mantener el nivel en el servicio que presta fue, por ejemplo, una de las claves del proceso que llevó a los empleados de los servicios centrales de Abanca a teletrabajar por completo. Para ello, Roberto Baratta, CSO y DPO del banco, se vio obligado a garantizar no solamente que los sistemas que permiten conectarse funcionaran correctamente, sino que también tuvo que asegurarse de que aquellas personas que trataban de acceder a la información de su empresa eran realmente quienes tenían que hacerlo, “la autenticación, el control de accesos, ha sido un reto importante”, asevera.
La mayor dificultad que tuvo que afrontar Javier Santos, director de seguridad global del grupo Santalucía, fue la de hacer que los trabajadores se acostumbraran al teletrabajo, “muchas veces los propios usuarios desconocían cómo tenían que operar, y ha supuesto un esfuerzo también a la hora de garantizar que se estaba gestionando el acceso a los sistemas en remoto de una manera segura”, relata.
En opinión de Juan Cobo, CISO de Ferrovial, el reto de extender el teletrabajo en su compañía simplemente se trató de una cuestión de escala. Ferrovial ya ofrecía acceso remoto a sus trabajadores antes de esta crisis, y lo que ha hecho la empresa es multiplicar por 10 esa capacidad; “no nos ha pillado con el pie cambiado, es un problema más de dimensionamiento pero con cosas que ya veníamos haciendo”.
En Naturgy, Jesús Sánchez, el jefe de ciberseguridad global de la cotizada, desvela que la empresa fue capaz de extender el teletrabajo en solo 72 horas gracias a la flexibilidad de los servicios basados en la nube. Aunque esta transición forzosa al teletrabajo haya tenido sus ventajas, también tiene su contraparte negativa. Sánchez sostiene que la exposición a los riesgos asociados a la ciberseguridad ha crecido debido a que la barrera entre el entorno doméstico y el profesional de los empleados ha quedado muy desdibujada en la actual situación.
Aumento de ataques
Cuatro de los cinco expertos coinciden al señalar un repunte en el número de ciberataques desde el inicio de la crisis sanitaria. La llegada de nuevos pretextos es, según Marc Martínez, una de las explicaciones para este fenómeno, “hay nuevos motivos para que la gente sea más receptiva a la hora de recibir mensajes; si se reciben mensajes con motivo del Covid, pueden ser más propensos a abrirlos o a ejecutar archivos maliciosos”, advierte.
“Nos hemos encontrado un cambio de vector en los ataques. Al principio se hizo mucho foco en campañas de phishing y suplantación de organismos públicos ,como la oficina de trabajo o la Seguridad Social; nos hemos tenido que ir amoldando a los tipos de ataques”, describe Javier Santos. Jesús Sánchez pone cifras a la subida de la actividad delictiva en torno a Naturgy. “Desde el punto de vista de los ataques por correo, estamos parando todos los días incrementos de hasta el 300%, en los que destaca la temática Covid”.
Juan Cobo es la voz discordante en este tema. “Yo no tengo claro que estemos sufriendo un mayor número de ataques. Creo que los ataques están mutando en las formas, se concentran en determinados temas; pero, por lo menos en Ferrovial, no observamos un incremento de las amenazas y no lo veo muy distinto a otras épocas”. En la opinión de Cobo, aunque cambien en forma, los ataques siguen teniendo la misma base: la de engañar a un usuario, por lo que la monitorización de las actividades es una de las claves para detectar brechas en la seguridad.
Al pertenecer a un sector especialmente crítico ante los ciberataques como es la banca, Roberto Baratta está especialmente concienciado sobre estas amenazas. “Al final, el instrumento para cometer fraude habitualmente son los bancos. Todos los datos que se capturan al suplantar la identidad de los ciudadanos acabarán suplantando la identidad de los clientes de una entidad financiera y, por lo tanto, ejecutando el fraude a través de los bancos”, afirma. La clave para lograr un entorno seguro, opina el experto, pasa por la concienciación tanto de los trabajadores como de los clientes. “El tener criterios internos y externos para recordar las buenas prácticas en este momento es más oportuno que nunca, hay que recordar que deben tener mucho cuidado y que no todo lo que les llega es trigo limpio”, incide.
Ciberseguridad del futuro
Los expertos están de acuerdo en el importante papel que ya está jugando la tecnología en la nube y en que su importancia crecerá en el corto plazo. El hecho de no depender de sistemas locales, la elasticidad que proporciona y la mayor capacidad de seguimiento que facilita convierte a la nube en una alternativa más deseable a sus ojos que los sistemas tradicionales.
No obstante, el apostar por la nube no será por sí mismo suficiente, según Javier Santos. “La ciberseguridad debe adaptarse. No olvidemos que el ciberatacante se adapta también al medio si ahora nosotros nos vamos a la nube; que no quepa duda de que aparecerán nuevos vectores de ataques sobre los cuales deberemos adaptarnos para responder lo antes posible para garantizar la seguridad”, refiere.
Otro de los modelos que ganarán fuerza será el conocido como Zero Trust. Se trata de un modelo de ciberseguridad basado en la identificación de los diferentes grados de sensibilidad de los datos de una empresa y la otorgación de los permisos de acceso justos y necesarios para los empleados, evitando así entregar permisos de más y reduciendo la vulnerabilidad de la empresa tanto a nivel externo como a nivel de ataques internos. “Todavía seguimos haciendo seguridad distintiva cuando el empleado está dentro de la compañía y cuando está fuera; en el futuro, vamos a tratar a los empleados de la misma forma, tanto cuando están dentro de nuestro entorno como cuando no. Un trabajador no es más seguro por el hecho de estar sentado en una oficina”, valora Juan Cobo.
En la futura ciberseguridad, la regulación irá ganando cada vez más peso, independientemente de la actual situación sanitaria, coinciden los expertos. Si bien con la crisis del Covid no han observado un aumento de la legislación sobre ciberseguridad, sí lo han detectado en lo que a supervisión se refiere. “En un entorno hiperregulado como es el sector financiero nos hacen tres preguntas todas las semanas, dos de índole económico y una tercera relativa a la ciberseguridad”, dice Roberto Baratta.
Marc Martínez augura todo un cambio en la mentalidad empresarial, en el sentido de abordar con una mayor profundidad los planes de continuidad en el negocio en casos de crisis y de indisponibilidad de los diferentes activos de una empresa. Santos cree que el concepto de asegurar y verificar la identidad ganará cada vez más peso en el contexto del mundo hiperdigitalizado hacia el que nos dirigimos.
Jesús Sánchez destaca que la clave en la ciberseguridad después del Covid seguirá siendo el usuario. “La convergencia entre lo personal y lo profesional está dando nuevas oportunidades para concienciar mucho a los empleados, que son la primera línea de defensa en todos los posibles ataques”, concluye.
Ciberseguros, ¿una alternativa?
En maduración
Las aseguradoras vienen ofreciendo a sus clientes un tipo de seguro que contempla coberturas en caso de ciberataques. “El problema sobre estos seguros contra los riesgos digitales es que no hay información histórica para cuantificar las primas”, arranca Marc Martínez. El experto de KPMG señala que las aseguradoras están vendiendo estos productos y, como no tienen suficiente información para dimensionar el riesgo, en general están garantizando unos capitales que son muy inferiores a los costes que conlleva un ataque. “El coste medio de un ciberataque para una gran empresa está en alrededor de cuatro millones de euros, muchos de estos seguros no cubren ese capital; será algo que se extenderá en los próximos años, pero todavía falta una madurez importante”, apunta. Coincidiendo con esta idea de cierta falta de madurez, Juan Cobo añade que estos ciberseguros dependen mucho del alcance de la cobertura; el si son nacionales o más internacionales y el qué tipo de coberturas defienden. “Otra cosa es luego la madurez que tienen estos seguros”.
Una necesidad
Javier Santos describe estos seguros como un nuevo producto que está apareciendo y que todos están manejando porque responde a una necesidad. El experto desvela que las pequeñas y medianas empresas están apostando especialmente por ellos: “Así como decíamos que las pymes cuentan con menos capacidad para afrontar la problemática de cómo enfrentar un teletrabajo que está más o menos impuesto, sí que hay más proliferación de aumento de cobertura en garantías en seguros incluyendo un poco más la parte doméstica”. No obstante, Santos reconoce que, efectivamente, es complejo el poder dimensionar bien la cuantificación o el grado de cobertura de estos seguros. “Aunque llevan un cierto recorrido, como todo, es demasiado temprano”, valora.