En México es la segunda ocasión en la que nos encontramos en una situación de crisis que impulsa el uso de la modalidad de teletrabajo para mantener la continuidad de los negocios o, por lo menos, de sus operaciones críticas. Este segundo evento provocó que el movimiento fuera menos impactante debido a que muchas empresas ya operan procesos mediante tecnologías de información y comunicaciones, lo que apoyó a que existieran mecanismos para separar a las personas de los centros de trabajo de forma más rápida y, en algunos casos, casi imperceptible.

Conceptos como VPN, salas de conferencia, conexiones remotas, sincronización de archivos, respaldos remotos, firmas electrónicas, autorizaciones electrónicas, entre otros, ya son de uso común entre los usuarios para llevar a cabo sus operaciones dentro y fuera de los centros de trabajo, y se agrega ahora que no solo estas actividades se realizan desde las computadoras personales, sino que también se pueden ejecutar desde dispositivos móviles que pueden o no ser parte de los activos de las empresas, dependiendo de las políticas de BYOD (bring your own device) de cada empresa. Además, es importante tomar en consideración que gran cantidad de los sistemas de información se encuentran disponibles en Internet y que su accesibilidad es factible desde cualquier ubicación, como por ejemplo el correo electrónico o algunos sistemas CRM.

Con todo lo anterior, es relevante preguntarse si realmente en este momento debe pensarse en una estrategia de seguridad en el entorno de teletrabajo o lo que tiene que evaluarse es si la estrategia de seguridad integral se ha visto expuesta debido a un evento externo.

Desde mi punto de vista, no creo que haya gran diferencia entre operar en modalidad de teletrabajo por crisis pandémica, trabajar de forma emergente un par de horas durante la madrugada desde el hogar o responder un correo organizacional desde un teléfono móvil. Por principio de seguridad, la protección debe brindarse en todo momento; por sí misma la declaratoria de teletrabajo no cambia el contexto de las organizaciones en su operación; esto deja en claro que en los últimos años se ha extendido el centro de trabajo a la ubicación del empleado, tomando en cuenta que la definición de centro de trabajo es  “el lugar o lugares, tales como edificios, locales, instalaciones y áreas, donde se realicen actividades de explotación, aprovechamiento, producción, comercialización, transporte y almacenamiento o prestación de servicios, en los que laboren personas que estén sujetas a una relación de trabajo”.

Ahora bien, la estrategia integral de seguridad de la información debe contar con los mecanismos para mantener la seguridad a pesar de los eventos externos e integrarse al entorno de las actividades de la organización, por lo que si bien es primordial seguir las recomendaciones que se han publicado en Internet con respecto a la seguridad del teletrabajo, estas deben ser llevadas a cabo día a día sin importar que haya una declaratoria o no de esta modalidad,  y a su vez habría que robustecer la arquitectura de seguridad de los sistemas de información que son parte de la misión crítica de la organización, para lo cual es vital contar con un inventario de los activos de información y sus condiciones de seguridad con respecto al ciclo de vida de los datos con la finalidad de promover una estrategia de seguridad.

Una vez que se cuente con el inventario de los activos y su relación con el ciclo de vida, debe realizarse la valoración de los riesgos, para luego establecer los controles preventivos, de detección, correctivos y disuasivos, que permitan un tratamiento adecuado de los riesgos. Posteriormente es necesario difundir la información sobre los controles y evaluarlos de manera constante, para que después haya acciones de mejora para los controles. Si bien lo anterior está establecido en un sistema de gestión de seguridad de la información (ISO 27001), lo que quiero dejar en claro es que se trata de trabajo constante que las empresas deben llevar a cabo para la protección de sus activos y que no deberían estar en búsqueda de estrategias de ciberseguridad para una crisis.

Por otro lado, lo que sí cambia es el entorno del trabajador, quien debería estar más preocupado por la seguridad de su información y la protección de sus datos personales, porque si bien la empresa ha decidido exponer su información o sus activos con la finalidad de mantener sus operaciones en el domicilio o la ubicación del empleado, ¿qué tanto el empleado es consciente de que está exponiendo la información de los dispositivos e información de su hogar o de sus activos de información?

Un ejemplo: un empleado se conecta a la red WiFi de su domicilio, en la que están los dispositivos de su familia, sus dispositivos personales y los dispositivos IoT de su casa. Dependiendo de la configuración de la VPN y de los agentes de monitoreo, la empresa para la que trabaja y los dispositivos de su casa podrían, directa o indirectamente, pasar a ser parte de la infraestructura de red de la empresa, lo que cambiará el nivel de riesgo para ellos, ya que ahora el empleado no solo debe preocuparse de los vecinos, las personas que transitan cerca del domicilio o los spam en la cuenta de correo, sino que ahora debe cargar con los riesgos de la empresa debido a la interacción de sus dispositivos.

En este sentido, también es necesario que el empleado prevea los mecanismos de seguridad de la información de sus dispositivos e información a través de controles que apoyen al manejo de malware, separación de tráfico y separación de los activos de información de la empresa y de la casa.

No debe soslayarse que esta extensión de la infraestructura tecnológica no solo pone en riesgo al empleado, sino que también incrementa el riesgo potencial de los dispositivos conectados del lado de la VPN del empleador, por lo cual es indispensable que este último realice las configuraciones adecuadas para restringir el paso del tráfico, limitar los dispositivos que se conectan y evaluar el tráfico que se transmite mediante la infraestructura de red.

En el punto de la evaluación de tráfico, se vuelve imprescindible controlar el flujo de datos personales, propiedad intelectual y derechos de autor que se pueden transmitir, para lo cual es importante en primera instancia que la información se encuentre correctamente clasificada y etiquetada; un segundo paso sería implementar controles tales como Data Loss Prevention o IRM/DRM (information rights management/digital rights management) para evitar pérdidas o fuga de información.

En conclusión, la administración del riesgo de las empresas y de los empleados en los modelos de teletrabajo debe ser un trabajo conjunto, que requiere mantener un equilibrio de los elementos de riesgo y exposición de los activos de información de ambas partes.

 

[email protected]