Ya comentamos que estas funciones se llevan a cabo normalmente desde las estaciones de trabajo propias de los empleados, es decir con mínimas o nulas medidas de seguridad.
¿Cuáles son entonces las medidas que se deben tomar desde las empresas para minimizar los riesgos de ciberseguridad?
El mayor desafío es la falta de control sobre los dispositivos y las redes hogareñas. Dicho control no es posible ejercerlo desde las empresas, ya que los dispositivos son propiedad de los empleados. Entonces, ¿cómo se puede desarrollar el trabajo de forma remota y, a la vez, sin aumentar tanto los riesgos?
Está claro que antes que nada las empresas deben cambiar sus políticas de desarrollo de las actividades con esta nueva modalidad.
Existen diferentes tipos de medidas a tomar, específicamente para la situación actual de aislamiento social. Estas medidas se pueden agrupar de muchas formas, un agrupamiento puede ser:
- De concientización
- Normativas
- De riesgos
- Técnicas
De concientización
Todas las empresas realizan o deberían realizar tareas de concientización de los empleados respecto a riesgos de ciberseguridad.
Los empleados deben conocer los riesgos a los que se enfrentan y deben saber cómo actuar en cada caso para proteger la información tanto propia como de la empresa.
Si no se realizaron estas actividades previo a la pandemia, es ahora más difícil aunque no imposible. En condiciones normales, estas actividades de concientización implican cursos, charlas, material gráfico presente en las instalaciones de la organización o mensajes en los sistemas y aplicaciones internas. En condiciones de aislamiento, está claro que no se podrán realizar las actividades presenciales. Sin embargo sí es posible desarrollar tareas de concientización online.
Por un lado, la empresa podría desarrollar material para distribuir a los empleados y capacitarlos respecto al uso de los sistemas durante el trabajo remoto. Por el otro, se podrán utilizar algunas de las plataformas de concientización denominadas Security Awareness Training. Estas plataformas permiten, no sólo capacitar a los usuarios mediante cursos, videos, juegos y trivias; sino que muchas de ellas utilizan phishing simulado para probar la propensión al phising (phihing prone) de los participantes.
Dentro de estas actividades a realizar, uno de los temas importantes a reforzar es el de desalentar la utilización de Shadow IT. Si cuando los empleados se encuentran físicamente en la compañía utilizan sistemas no aprobados por la organización (Dropbox, Mega, Fileshare, Zoom, Teamviewer), mucho mayor es la posibilidad de que lo hagan desde sus casas. Es muy importante concientizar a los usuarios para que sólo utilicen las herramientas que provee la empresa o aprobadas por ésta.
Más información de Concientización en https://www.platinumciber.com/cyberawareness
Normativas
Es altamente probable que las organizaciones ya estén adheridas a algunas de las normativas sobre seguridad de la información presentes en el mercado. Sin embargo, seguramente en esta situación de pandemia deberán rever muchas de sus normas o procedimientos.
En todos estos casos, se define la necesidad de contar con controles de acceso adecuados, sin embargo, no se habla específicamente de situaciones de acceso remoto masivo de todos los empleados de la organización. Es por eso que se debería revisar la documentación específica para este caso y efectuar las correcciones y agregados que se necesiten, específicamente sobre la documentación de procedimientos o estándares.
De riesgos
Está claro que estas situaciones elevan considerablemente los riesgos de ciberseguridad. Sin embargo, es necesario cuantificar esos riesgos para poder determinar la inversión necesaria para disminuirlos. La mayor parte de las empresas de tamaño considerable, tiene como práctica habitual la evaluación cuantitativa de riesgos. Eso se efectúa a través de herramientas denominadas GRC o de Cyber VaR.
Una vez evaluado y cuantificado el riesgo, el responsable debe tomar una de tres acciones con cada riesgo identificado:
- Mitigarlo: para esto se suelen tomar medidas técnicas que corrijan el riesgo y lo hagan descender. Obviamente, el costo de estas medidas tiene que ser mucho menor al valor de riesgo para que sea aplicable.
- Asumirlo: en el caso de que, por ejemplo, el costo de la mitigación sea más alto que el valor mismo del riesgo, éste se asume y no se toma ninguna medida.
- Transferirlo: esto se puede hacer de muchas formas, sin embargo la más común hoy en día es la de contratar un ciberseguro. Esta modalidad se ha incrementado mucho en los últimos años y provee la posibilidad de recuperar parte de las pérdidas en el caso de sufrir algún ciber incidente que dañe componentes o elementos del negocio.
Más información de GRC en https://www.platinumciber.com/consultoria-en-grc
Más información de Ciberseguros en https://www.platinumciber.com/servicios-asociados-a-ciber-seguros
Técnicas
Estas medidas son con las que más cómodos se sienten los técnicos, sin embargo son las más difíciles de implementar por la distribución de los dispositivos de los usuarios.
Pero a pesar de las dificultades de su implementación, existen algunas medidas no tan complejas que pueden bajar mucho los riesgos de ciberseguridad:
- EDR/EPP/NGAV: Teniendo en cuenta que los antivirus tradicionales no son eficientes para las ciberamenazas actuales, la utilización de estas nuevas herramientas disminuyen enormemente la posibilidad de ciberataques a las estaciones de trabajo de los empleados. Los ciberataques que se contienen son: infección por malware, exfiltración de información, ransomware, instalación de botnets, etc. Los acrónimos corresponden a: EDR=Endpoint Detect and Response; EPP=Endpoint Protection Platform; NGAV=Next Generation Anti Virus.
- Monitoreo de comportamiento: Teniendo en cuenta que los sistemas de monitoreo empresariales no pueden capturar datos de cada una de las estaciones de trabajo de los usuarios, el monitoreo se debe realizar a otro nivel. Una de las formas más eficientes es el monitoreo de comportamiento de usuarios (en inglés UBA=User Behavior Analytics). Los SIEM más modernos y difundidos en el mercado cuentan con estas facilidades. Lo que realizan estos sistemas es calcular una línea base del comportamiento de los usuarios con técnicas de Inteligencia Artificial. Una vez establecida esa línea, los sistemas UBA analizan en tiempo real los desvíos respecto a la misma o incrementos en el riesgo de las actividades de los usuarios. En el caso de que alguno cruce el umbral de comportamiento aceptado, el sistema alerta para que los administradores tomen medidas. Normalmente, lo que suele ocurrir es que no sean los mismos usuarios que hayan cambiado su comportamiento, sino que alguien haya tomado control del equipo del usuario y esté realizado acciones en las aplicaciones de la compañía en forma ilegítima. De esta forma es posible detener amenazas en el caso que algún usuario remoto de la compañía haya sido comprometido.
- Refuerzo en los accesos remotos: Si bien es probable que los sistemas de acceso remoto con los que las empresas contaban antes de la pandemia estuviesen aseguradas (VPNs, Citrix, RDP, VMware, Aplicaciones), se deben reforzar las medidas de seguridad en la implementación de estos sistemas. Algunas de las medidas pueden ser mejorar los algoritmos de encripción, utilizar doble factor de autenticación o llevar a cabo análisis de seguridad permanentes sobre los sistemas con herramientas automáticas de administración de vulnerabilidades.
Más información de monitoreo en https://www.platinumciber.com/soc-siem-csirt
Más información de administración de vulnerabilidades en https://www.platinumciber.com/vulnerability-management
Conclusión
Existen otras medidas para adoptar con el objetivo de la disminución de los riesgos de ciberseguridad. Éstas dependerán de las características de cada negocio, de cada organización, de sus posibilidades y nivel de madurez. Sin embargo las presentadas aquí constituyen una batería de contramedidas que seguramente disminuirán los niveles de riesgo y harán que la compañía pueda operar en forma casi normal durante el período de duración de la cuarentena por la pandemia del Coronavirus.