Read the rest of the post ' El riesgo de pedir demasiados datos personales en los Hoteles '
Bueno, pues se termina el año, queridos lectores, y quería aprovechar para, como decimos en la práctica de ciberseguridad, hacer una reunión de lecciones aprendidas (esto se suele hacer, siempre, cuando ha sucedido un ciberataque, para evaluar cómo se actuó, si se podía haber detectado antes o mejor, si la respuesta fue adecuada, etc.). Y es que este 2020 nos deja valiosas lecciones que estoy seguro serán tendencias claras en ciberseguridad para el 2021.
La primera de todas es la mala gestión realizada en general con la tendencia del teletrabajo (sí, lo sé, no me he devanado los sesos con ésta), pero es que la realidad imperante es que nos queda teletrabajo para bastante tiempo, y debemos tenerlo muy presente en cuanto a la ciberseguridad.
¿Por qué impacta tanto? Porque donde antes muchas empresas (especialmente PYMES con poco presupuesto) hacían énfasis en proteger la red de la empresa, ya que “nadie accede desde el exterior y la información nunca abandona esta red”; ahora los accesos son múltiples, desde dispositivos corporativos dados a los empleados, en el mejor de los casos, cuando no se trata de sus propios dispositivos personales.
Esto hace que tengamos que virar la perspectiva, que debamos centrarnos en proteger la información, esté donde esté, sin poder asumir que nunca podrá ser accedida sin los mecanismos tradicionales de hacer pases por los Firewalls de la empresa o sólo en los PCs de sobremesa de los empleados.
Y esta situación obliga a muchas empresas a replantear su actual estrategia de ciberseguridad, teniendo que proteger los dispositivos y la información cuando sale del perímetro de la empresa o cambiar el paradigma de lo que entienden por la red de la empresa, para que incluya todas estas nuevas casuísticas que se están dando. Y en este 2020 hemos visto como, desde marzo, no se han dejado de suceder los ataques de filtraciones de datos y ransomware, impactando a grandes empresas, fruto en ocasiones de esta apertura del entorno tecnológico sin las debidas consideraciones de ciberseguridad.
La segunda de ellas es que seguimos sin tener una buena concienciación entre los empleados (tampoco es sorprendente viendo el punto anterior). Las empresas gastan muy poco en concienciar, respecto a lo que gastan en herramientas propiamente dichas, siendo esto un claro error, pues ya se ha visto en diversas ocasiones cómo una buena concienciación entre empleados detiene casos de phishing que las herramientas no conseguían detectar.
Esto lo seguimos viendo, en nuestro propio día a día como trabajadores, con dispositivos de empresa que se prestan a los niños para sus deberes del cole o para entretenimiento, redes de casa que no tienen las medidas más básicas de protección para evitar un posible espionaje o robo de información empresarial o el uso de cualquier medio de videoconferencia o compartición de ficheros (aprobado o no por la empresa), con nuestra cuenta corporativa, por mencionar algunas de las más claras.
La tercera lección que nos ha dejado es la falta de recursos y formación de los equipos de ciberseguridad (que ya se venía exigiendo desde tiempo atrás por sus propios líderes), que disponen de pocos recursos y de poco tiempo para formarlos antes de tener que realizar las tareas propias del puesto. Por lo que igual el problema, en realidad, es la falta de concienciación en los organismos de Dirección. Este problema, en el momento de los ciberataques, se ha mostrado determinante, pues no es lo mismo responder a un ataque de la manera tradicional, con todos los equipos en la misma red, que tener que hacerlo en una compañía donde todos los empleados están teletrabajando y puedes no tener acceso directo físico a los sistemas. La opinión del equipo de ciberseguridad en estas decisiones, en marzo, como con anterioridad en tantas otras cuestiones, no tuvo la relevancia necesaria.
Probablemente se podrían seguir extrayendo lecciones adicionales, pero creo que en general, siempre se podrían asociar con cualquiera de los tres ámbitos ya expuestos. Por lo que, en resumen, las lecciones serían:
- una necesidad de cambio de perspectiva en ciberseguridad,
- la necesaria formación y concienciación de empleados
- y la casi más necesaria formación y concienciación en la propia empresa en materia de ciberseguridad.
Creo, firmemente, que cualquier empresa podrá extraer sus propias versiones, lectura e historia, durante la pandemia, de estos tres problemas, así como trabajar en las líneas de acción necesarias para ir paso a paso atacando cada una de ellas, de modo que podamos decir, en 2021, que al menos aprendimos algo de todo esto del 2020.
¡Permaneced ciberseguros estas Navidades y nos vemos en el próximo artículo!