Trabajo desde casa y ciberseguridad

IMAGE: Debbie Waumsley - publicdomainpictures.net (CC0)

El cambio en los hábitos de trabajo desencadenado por la pandemia de coronavirus está llevando a que muchas compañías que, en la práctica, no estaban preparadas para ello, se hayan visto obligadas a aceptarlo por necesidad, con todo lo que ello conlleva.

Por un lado, compañías anticuadas, generalmente obsesionadas con el presentismo, que nunca se preocuparon por hacer seguras unas conexiones desde el exterior porque jamás concibieron que sus empleados trabajasen desde ningún sitio que no fuese la sede de la compañía, y que se encuentran ahora con una total ausencia de protocolos, prácticas y herramientas para ofrecer canales mínimamente seguros para su información, que las convierten en completamente vulnerables.

Por otro, compañías con directores de seguridad rayanos en lo paranoico, con prácticas que nunca estuvieron pensadas para posibilitar el trabajo en remoto, y que, al intentarlo en función del nuevo contexto creado por la pandemia, se encuentran con que sus políticas prácticamente impiden que sus empleados se conecten a sus sistemas.

Sea por exceso o por defecto, la cuestión es que todo indica que la pandemia va a redefinir en muchos sentidos la forma en la que se trabaja en muchas compañías, provocando que muchas de las prácticas que en muchas empresas se comenzaron a imponer debido a las medidas de seguridad necesarias para combatir la expansión de la pandemia alcancen un cierto nivel de consolidación.

Esto nos lleva a una eterna pregunta: ¿cuáles deberían ser las características de un responsable corporativo de seguridad? La primera cuestión es evidente: dado que hablamos de un entorno en constante cambio, debe tener un nivel de actualización elevadísimo, permanente, que le permita conocer la gran mayoría de las amenazas y las herramientas que un eventual atacante podría utilizar, unido a un nivel de competencia técnica que le posibilite entender esas amenazas y hacer frente a ellas. Hasta aquí, los requisitos imprescindibles del puesto, y es importante subrayar lo de «imprescindibles», precisamente porque muchos que están en ese puesto, desgraciadamente, no los tienen.

Pero como todo puesto, además, de unos requisitos imprescindibles, tiene otros «deseables», con una frontera entre unos y otros que tiende a resultar más bien difusa. Y aquí entran una serie de criterios que tienen mucho más que ver con lo psicológico que con lo técnico, pero que como bien saben los buenos expertos en seguridad, pueden llegar a ser imprescindibles: aquí, además de hablar de la tan traída y llevada ingeniería social, tenemos que mencionar una característica fundamental, llamada empatía. La empatía se define como «la capacidad de percibir, compartir y/o inferir los sentimientos, pensamientos y emociones de los demás», y en un ámbito como el de la ciberseguridad, resulta completamente fundamental.

Pensar en un responsable de ciberseguridad como en una persona que se limita a dicta normas e implantar herramientas sin más es completamente absurdo. Conocer a las personas cuya actividad tienes que supervisar es fundamental, y puede evitar sentimientos de frustración, sobre todo en un momento en que conviven en la sociedad personas completamente ignorantes en este ámbito con otras que poseen niveles de información razonablemente elevados. La regla de oro es clara: si crees que tu trabajo se mide únicamente por la ausencia de intrusiones o problemas de seguridad, te equivocas: cada vez que una de las personas a tu cargo se encuentra en una situación de no poder acceder a información imprescindible para su trabajo, es que has hecho algo mal. El pensamiento que apunta a que la única responsabilidad de un director de seguridad es impedir violaciones de la misma es enormemente simplista, porque para eso, bastaría con cerrar a cal y canto toda la información dejando fuera a todo el mundo incluidos los que legítimamente necesitan acceder a ella, algo que resultaría obviamente absurdo.

La seguridad se expresa de muchas maneras. Si pretendes obligar a que tus empleados memoricen contraseñas cada vez más largas y complejas que además les obligas a cambiar cada tres meses en lugar de enseñarles a utilizar un gestor de contraseñas, te encontrarás con que, lógicamente, se las apuntan en un post-it y las pegan en el lugar donde las necesitan habitualmente. Si implantas un sistema de doble factor y no formas adecuadamente a las personas en su uso, seguramente provocarás situaciones rayanas en lo ridículo. Si no tienes en cuenta el impacto de cambiar las prácticas habituales de las personas que trabajan contigo, es posible que dejes sin acceso a quienes no deberías dejar fuera, con lo que ello conlleva de frustración o de pérdida de productividad.

La ciberseguridad va mucho más allá de simplemente evitar que alguien acceda a donde no debería acceder: también es importantísimo que el que debería poder acceder, pueda de hecho hacerlo sin tener que dar saltos sobre un solo pie mientras recita un mantra indescifrable. Si en un contexto excepcional como el actual te encuentras con una oleada de protestas de tus empleados que afirman que los protocolos de seguridad de tu compañía les impiden hacer su trabajo con normalidad, no lo dudes: por mucho que no hayas tenido intrusiones ni incidentes importantes últimamente, probablemente tienes al responsable de seguridad equivocado.


This article was also published in English on Forbes, «As more people need to work from home, companies need to ask themselves if their IT managers are up to the task«


A modified version of this article was also published on IE Business School’s page, under the title «A cybersecurity stress test« (pdf)


10 comentarios

  • #001
    Javier - 15 marzo 2020 - 16:29

    Desde muchos puntos de vista, algunos sufrirán más que otros, lo cual lamento mucho (por la pérdida de vidas), pero, desde el punto de vista laboral, ambiental, económico, ecológico, social… veremos con una renovada y refrescante perspectiva qué es lo que verdaderamente importa.

    Off topic:
    mucha atención por el coronavirus al mercantilista sistema de salud de USA, y a ver como le pega a las ambiciones reelecionarias de DT y a todo lo malo de su sistema político, economico y social

    Responder
    • Enrique Dans - 15 marzo 2020 - 16:58

      Lo escribí hace un par de semanas,

      «El caso de los Estados Unidos se vuelve más grave aún si combinamos esa primera respuesta diagnóstica mal implementada con la casuística de un país con un sistema de salud disfuncional, en el que simplemente acercarse a un hospital a pedir cualquier cosa puede conllevar una factura de miles de dólares. Además, dado que tan solo el 55% de los trabajadores estadounidenses tienen derecho a tiempo libre remunerado, es habitual que muchos trabajadores con sintomatologías leves tiendan a seguir acudiendo a su trabajo por miedo a dañar su carrera profesional o incluso a perder su puesto de trabajo, por lo que es muy posible que la expansión de la epidemia en los Estados Unidos pueda convertirse en una verdadera pesadilla.»

      Les vienen tiempos complicados…

      Responder
      • Javier - 15 marzo 2020 - 17:06

        Es cierto. Gracias por recordármelo. Este blog es una de mis fuentes confiables de información.

        Responder
  • #004
    Gorki - 15 marzo 2020 - 16:54

    Considero que la seguridad ha de estar siempre en proporción con la probabilidad que existe que alguien pretenda apropiarse del bien que expones.

    Por algún extraño motivo, la gente siente mas temor en un proceo digitalizado, que en su homólogo «analógico», Creemos que la gente acecha muestros emails, pero no cuidamos nada nuesto buzon de correos y que nuestro hijo, tenga una amistad por WhatsApp, nos preocupa mas, que las que haga en una discoteca.

    El por qué de esta angustia, viene de la prevención sistemática que sentimos ante lo nuevo y desconocido, pero debemos de ser todos conscientes, que los riesgos son similares en ambos «mundos» y tratar ni de minizarlos, ni de ampliarlos, sino verlos en su real tamaño de riesgo..

    En principio, para una mayoria de los trabajadores, su trabajo no tiene mayor nivel de riesgo por el hecho de realizarlo telemáticamente desde su casa. Si el trabajo de una persona, consiste en efectuar pagos a proveedores, en principio, los riesgos no aumentan por hacer los pagos telemáticamente, desde la oficina, o desde su domicilio. Lo mismo pienso yo que ocurre, para quien hace los suministros, está en Atencion al Cliente, o en trabajos similares.

    Evidentemente, puede haber hacker, que intenten interverir las comunicaciones,, bien para sabotearlas, bien para recabar información, pero no creo que sean en mayor número y pericia que los que quieren sabotear o hackear el ordenador central de la compañía y siendo esto algo que pasa, no impide el trabajar en las oficinas.

    Por ello creo, que salvo determinados trabajos de alta confidencialidad o riesgo, como norma general, puede ser suficiente utilizar cualquier sistema adicional de encriptado de comunicaciones y no tener mas miedos y prudencias que los que se tienen en la oficina, como los sistemas de control y limitacion de acseso a determiados menús o ficheros.

    Es habitual que las empresas tengan sucursales, o empleados, como los vendedores, que ya se conectan a la oficina central, y, (casi), nunca ha pasado nada, pues es de suponer que el riesgo no aumente en exceso por multiplicar por 10 esas comunicaciones con el exterior que ya hoy tenemos. .

    De todas formas, el mayor peligro para una empresa, es el empleado infiel, y trabaje en casa o en la oficina, el riesgo que tiene es el mismo.

    Responder
  • #005
    Xaquín - 15 marzo 2020 - 19:52

    En el mundo analógico hay un problema enorme con la llamada seguridad paralela (o que se le podía llamar así). nada diferente de las famosas fuerzas paramilitares de todo tipo, las USA las peores (no las colombianas precisamente).

    El segurata profesional, responsable y preparado, es una rara avis. Por lo que, pensar en seguridad digital, me hace reir casi tanto como las grandes reflexiones marxistas (del Groucho).

    Y como siempre rematamos nombrando la palabra mágica, educación. Esa especie de virus que transforma a seres humanos sin preparación en auténticos profesionales «de algo». Solamente haciendo que se fabriquen los circuitos neuronales precisos, a partir de unas escuetas líneas de código ADN. Y que no son simples fotocopiadoras de órdenes, son auténticas máquinas de pensar, para resolver situaciones muy comprometidas, desde el punto de vista humano. Aunque sea en una triste puerta de discoteca.

    Esa educación que tanto falta en ambientes de tipo «policial». Así que lo dejamos aquí.

    Responder
  • #006
    Marek - 16 marzo 2020 - 04:56

    Buenas, Enrique sigues publicando estos artículos en inglés? (Para compartirlos con mis compañeros anglosajones)

    Un saludo

    Responder
  • #010
    Manuales Digitales - 17 marzo 2020 - 04:01

    Sin duda, que muchas empresas y sociedades en el mundo se replantearan la forma de concebir el trabajo, seguro pasaremos a medir el rendimiento laboral por objetivos, dejando atras el presentismo.

    https://manualesdigitales.com

    Responder

Dejar un Comentario

Los comentarios en esta página están moderados, no aparecerán inmediatamente en la página al ser enviados. Evita, por favor, las descalificaciones personales, los comentarios maleducados, los ataques directos o ridiculizaciones personales, o los calificativos insultantes de cualquier tipo, sean dirigidos al autor de la página o a cualquier otro comentarista. Estás en tu perfecto derecho de comentar anónimamente, pero por favor, no utilices el anonimato para decirles a las personas cosas que no les dirías en caso de tenerlas delante. Intenta mantener un ambiente agradable en el que las personas puedan comentar sin temor a sentirse insultados o descalificados. No comentes de manera repetitiva sobre un mismo tema, y mucho menos con varias identidades (astroturfing) o suplantando a otros comentaristas. Los comentarios que incumplan esas normas básicas serán eliminados.

 

XHTML: Puedes utilizar estas etiquetas: A ABBR ACRONYM B BLOCKQUOTE CITE CODE DEL EM I Q STRIKE STRONG IMG