Con la licencia de rendirle un homenaje a Murakami en el título del post, estamos en una nueva encrucijada desde que hace algo más de un año, comenzó la pesadilla del CORONAVIRUS (COVID19).
Una pesadilla que a día de hoy, supone 92 millones de infectados en el mundo y 2 millones de fallecidos. En términos nacionales se traduce en más de 52.000 muertos según las cifras oficiales. Seguramente nunca sabremos las reales. Lo que sí sabemos es que la economía se encuentra en una nueva y difícil tesitura, ya que las autoridades se están planteando enviar de nuevo a los ciudadanos a casa para tratar de frenar la pandemia.
Más allá de valorar la idoneidad de las medidas locales, regionales, nacionales…lo cierto es que las empresas se tendrán que plegar a la normativa que desde los distintos niveles de gobierno se promulguen.
En ese escenario cabe preguntarse, ¿qué supuso el confinamiento en 2020? ¿Estábamos preparados para el teletrabajo?
Según la definición de Oxford Languages, el teletrabajo es el trabajo que una persona realiza para una empresa desde un lugar alejado de la sede de esta (habitualmente su propio domicilio), por medio de un sistema de telecomunicación. Por tanto, de inicio, va a requerir de una serie de elementos físicos. Un PC/portátil y una conexión a Internet, al menos eso.
¿Existen riesgos en ciberseguridad a la hora de teletrabajar?
Sin embargo, en el momento que empezamos a hablar de teletrabajo, muchos interrogantes se abren. ¿Qué PC o qué portátil? ¿El que tiene el propio trabajador en su casa del que desconocemos cualquier característica de rendimiento, estado o nivel de seguridad? ¿El mismo que usan también sus hijos, si los tiene, y su pareja si la tiene? O le ponemos un portátil de empresa. ¿Sin cifrado? ¿Y si lo pierde? ¿Dejamos acceso remoto completo a datos sensibles de la organización? ¿Dejamos que imprima en su casa? ¿Que use puertos USB? ¿O no lo hacemos? ¿Y qué hacemos con las llamadas de teléfono? Y, es más, ¿cómo se conecta a la empresa? ¿Tenemos un servicio VPN disponible? ¿Y este servicio cuántos clientes VPN simultáneos soporta?
No quedan ahí las preguntas, hay más más, ¿qué riesgos en ciberseguridad asumimos al enviar a teletrabajar al personal? Es tal la variedad de amenazas existente (ransomware, suplantación de identidad, fraude electrónico, robos de información…) que es necesario plantearse cómo afectan en el contexto del teletrabajo. Más en una situación donde es evidente que existe un interés claro por parte de atacantes de aprovechar al máximo la situación de debilidad que se puede encontrar en algunas organizaciones. Más preguntas que nos debemos hacer. ¿Se extiende de forma eficaz la protección endpoint a esos equipos remotos? ¿La información que se genera en esos equipos es correctamente respaldada por nuestros sistemas de backup? ¿Se está filtrando y protegiendo el tráfico que esos equipos generan?
Y yendo más lejos aún, si nuestro equipo de IT está fuera de la empresa otras preguntas aparecen. ¿Quién está manteniendo y gestionando nuestro CPD local (en caso de tenerlo)? ¿Alguien lo monitoriza? ¿24×7? ¿8×5? ¿Cuándo encontramos un hueco? ¿Y en esta situación se realizan las tareas necesarias de mantenimiento periódico de la infraestructura?
En definitiva, bastantes preguntas, a modo de análisis de riesgos informal, con las que podemos reflexionar y poner de manifiesto que teletrabajar, NO ES, ni mucho menos, dar un ordenador a los trabajadores y mandarlos a su casa.
Teletrabajar es diseñar un plan sólido, seguro y adaptado a las necesidades reales de cada organización, que permita a la empresa salvaguardar un concepto clave: LA CONTINUIDAD DE NEGOCIO.
Estamos en un momento donde hay que interiorizar y comprender, con la mayor profundidad, que sin los sistemas de información operativos, buena parte de nuestros procesos de negocio se ven resentidos, cuando no paralizados. Sin información digital perdemos total o parcialmente clientes, proveedores, facturas e incluso nuestra producción… y, cada vez más, da igual cual sea el sector al que nos dediquemos o el NÚCLEO del negocio. Debemos proporcionar robustez, capacidad y protección a nuestras tecnologías de la información y alinearlas adecuadamente con nuestros objetivos de negocio.
Nosotros te ayudamos.
Daniel Matás Quintanilla
D. Comercial ITRES
