¿Está la ciberseguridad empresarial preparada para el repentino trabajo a distancia?

Nuevos retos implican nuevas formas de trabajo, nuevas formas de trabajar. En medio de una de las peores crisis socio-sanitarias de nuestra historia, por si alguien aún no se han dado cuenta, el concepto de trabajo ha vuelto a cambiar.

El trabajo, en término general, es uno de los principales articuladores de la vida de una nación, no sólo por su actividad económica, sino también por su esfera social. Es innegable la existencia de este vínculo y, de alguna manera, el mismo viene a determinar las distintas formas de organizarlo, generalmente conforme a sistemas productivos. No obstante, el trabajo no es inmutable. Más bien todo lo contrario. Está sujeto a continuos cambios, ajustes, algunos provocados desde dentro y algunos otros influidos desde fuera.

En los últimos tiempos el trabajo, a todos los niveles, se ha caracterizado por ser causa y efecto de trances estructurales sistémicos, que con la simultaneidad de las crisis económica, financiera, energética, alimentaria y ambiental, ha sufrido un fuerte impacto, probablemente uno de los mayores en toda la historia. Ahora, debido a una nueva crisis, esta de índole socio-sanitaria, el trabajo vuelve a ser causa y efecto. Sin embargo, en esta ocasión, las tecnologías de la información y las comunicaciones han alterado el desequilibrio anterior.

Nuevos retos implican nuevas formas de trabajo, nuevas formas de trabajar. Siempre, cada cambio encierra una profunda significación. Unas veces por su connotación social, otras por el modo en que se desarrollan los hechos. En medio de una de las peores crisis socio-sanitarias de nuestra historia (comparables a otras como al ébola, la gripe aviar y la peste negra), por si alguien aún no se han dado cuenta, el concepto de trabajo ha vuelto a cambiar.

Trabajar en la situación actual

Es probable que aún sea pronto para diagnosticar el verdadero impacto de esta pandemia en el ámbito laboral, en el trabajo. No obstante, y en apenas unos días, la preocupación en los mercados por el paso a situación de estado de alarma ha desatado una vertiginosa oleada de noticias en los medios de comunicación relativas a empresas que están afanándose en la preparación de expedientes de regulación temporal de empleo (ERTE), con el objetivo de controlar el impacto, potencialmente negativo, del parón productivo sobrevenido, previsiblemente de siete semanas, y que se estima afectará a la cuenta de resultados, aunque no está claro si en la forma de pérdidas económicas directas o interrupciones de ingresos, conceptos que claramente no son las misma cosa. La duda existencial es, por tanto, si todos estos ERTE son realmente obligados. ¿Acaso no hay otra forma de llevar los sistemas de producción hacia adelante?. La pregunta es obligada porque en esta situación coyuntural una "nueva" modalidad de trabajo parece que se está imponiendo: el trabajo a distancia. En cierta medida porque ha sido propuesta y defendida por el Gobierno como una vía plausible para que muchas organizaciones no tengan que cesar en su actividad económica. Lo curioso de la situación es que la mencionada alternativa laboral no tiene nada de novedosa y que la propuesta de su implementación no proviene de la patronal.

El trabajo a distancia, en remoto, conocido como "teletrabajo", es una modalidad recogida en el Estatuto de los Trabajadores, artículo 13., una norma con rango de Ley cuyos conceptos básicos relativos al trabajo fuera de la oficina o sede de la organización se definen con bastante claridad. Remarcar esta cobertura legal es importante porque esta no es una práctica habitual. De acuerdo a la última encuesta de población activa, solo el 4,3% de los ocupados en España desarrolla sus funciones en modalidad de trabajo a distancia, lo que arroja el indicador de que los medios productivos para un teletrabajo masivo y repentino pueden no estar convenientemente preparados. También evidencia que a la patronal no le atrae especialmente esta forma de trabajar, aún demostrándose que puede darse en perfectas condiciones. Las razones de todo ello no se deducen con claridad. Quizás sea una reminiscencia de la conocida frase acuñada por Robert Solow en 1987: "La era de los ordenadores puede verse en todas partes excepto en las estadísticas de productividad".

Esta reflexión supuso el origen del debate en torno a la paradoja de la productividad, reflejo del hecho de que el aumento de las inversiones en Tecnologías de la Información y la Comunicación (TIC) no se reflejaban en los crecimientos de productividad esperados. Solo son paradojas. Como todo en la vida, hay excepciones. El trabajo a distancia, obviamente,  no puede extenderse de manera generalizada pues hay ocupaciones que solamente pueden ser desarrollados permaneciendo físicamente en el puesto de trabajo determinado por la empresa, como por ejemplo en la alimentación, el transporte, la seguridad física o la industria pesada. Pero la cuestión es: en la artesanía, en los servicios, en las oficinas centrales de las empresas, en la consultoría y/o la asesoría, ¿por qué no se trabaja más habitualmente a distancia?

Trabajar a distancia

Decíamos que paradojas son paradojas, sí, pero es que la paradoja se ha producido de nuevo. Y nos ha cogido a todos con el pie cambiado. En medio de esta crisis socio-sanitaria no solo siguen trabajando aquellos que por fuerza mayor lo deben hacer, para que nuestra sociedad no se pare definitivamente, sino que, con una asombrosa generalidad, el resto de los trabajadores, súbitamente, no sin puntuales incidentes, está teletrabajando. Y todo ello ¿cómo ha sucedido?. Gracias a las TIC.

La influencia del uso de las tecnologías de la información y la comunicación (TIC) en los diferentes aspectos, variables y resultados de las organizaciones es un fenómeno ampliamente estudiado en la literatura académica de economía (Billón, Lera & Ortiz, 2007). Independientemente del enfoque o la opinión relativa de cada uno, la incorporación creciente del trabajo a distancia en la dinámica empresarial es una verdad palpable. Parece evidente, que el punto culminante de la utilización de las TIC por las personas en un entorno empresarial se podría basar precisamente en lograr que, mediante un uso adecuado, no haya necesidad de trasladarse a un lugar de trabajo predefinido para cumplir con una labor, con un objetivo. Pero son esas particularizaciones, "mediante un uso adecuado" y "con un objetivo", las que lo vienen a redefinir todo.

Dice el refranero popular que las prisas son malas consejeras. Pensar en un uso adecuado y racional de las TIC en la empresa y tomar decisiones repentinas, como la de trabajar a distancia, de un viernes para un lunes, cuando menos se antoja que pudieran ser situaciones disonantes. El trabajo a distancia ha pasado en cuestión de días de ser una práctica para élites y excéntricos poco realistas, como algunos habían catalogado esta práctica profesional, a centro estratégico de sostenibilidad empresarial, alentado por una necesidad imperiosa, eso sí, pero muy mal organizada. ¿Paradójico? No, falta de visión empresarial.

Trabajador y trabajo a distancia

Como trabajador, y trabajador a distancia avezado, vengo realizando mis funciones profesionales en remoto desde hace más de 8 años, cerca de 2012. No voy a negar que tengo un sesgo positivo respecto del trabajo a distancia. Entre las ventajas para los empleados, éste supone un ahorro de tiempo y dinero en los desplazamientos y, sobre todo, permite poder conciliar trabajo y vida familiar, algo altamente demandado en la sociedad actual. Son muchos los trabajadores que incluso estarían dispuestos a renunciar a una parte de su salario por contar con modalidades de trabajo como el trabajo a distancia. No es una opinión personal. Así lo expone el informe "Employer brand research 2019" de Randstad, cifrando la cantidad de estos trabajadores en un 43% del total en activo. Y aquí es donde entra esa idea que algunos economistas denominan el "salario real", donde lo importante no es sólo lo que te pagan, sino lo que te queda una vez descontados los gastos que dedicas a trabajar.

Desde un punto de necesidades técnicas en el hogar, quizá sea demasiado evidente pero una premisa de partida para trabajar en remoto es contar con un lugar donde poder llevar a cabo el trabajo y una conexión a Internet. En relación con la primera de las necesidades, determinar un lugar de trabajo en casa no es tarea sencilla. Orden, limpieza, espacio suficiente y luz natural son premisas sine qua non. En relación con la segunda de las necesidades, la conexión debe de tener un ancho de banda suficiente, pues no solo soportará el consumo relacionado con el uso de las herramientas de trabajo, sino también con los servicios del hogar, potencialmente en paralelo. Esto no debería de ser un problema hoy en día. España es el tercer país de Europa en conexiones de fibra, lo que supone el 65% de las conexiones de banda ancha fija, y las redes móviles 4G ofrecen cobertura hasta el 99% de la población. Esta facultad de los operadores de telecomunicaciones de ofrecer servicio de Internet, sumado a la capacidad de acceso personal a la tecnología debería potenciar esta fórmula de trabajo. Al menos los factores técnicos no son un impedimento real.

Empresa y trabajo a distancia

Por parte de la empresa, la razón de su existencia es la búsqueda de lucro. El trabajo a distancia no tiene porqué ser un impedimento para este fin. La compañía puede compensar el ahorro de costes de alquiler, luz y calefacción en las oficinas con lo que supone equipar a toda la plantilla con equipos informáticos seguros. Pero esta debe de ser parte de su estrategia de negocio y no una decisión arbitraria que se tome de la noche a la mañana.

Para la empresa, el trabajo a distancia tiene algunas otras ventajas, aunque quizás estas sean menos evidentes. En primer lugar, si es cierto que los empleados están dispuestos a renunciar a parte de su remuneración a cambio de la flexibilidad que les da el trabajar a distancia, esto supondría la posibilidad de reducir sus costes salariales o de mejorar la plantilla.  Con medidas de atracción de talento se puede ofrecer el mismo sueldo que la competencia, pero con mejores condiciones, como la opción de trabajar a distancia. Además, se puede ahorrar el gasto proporcional al espacio que ocuparía el empleado, desde el alquiler a los suministros, que no es baladí. Por otra parte, una organización que tiene a muchos de sus empleados teletrabajando probablemente también necesitará menos responsables de nivel medio. Parte de la tarea de un mando intermedio reside en coordinar y controlar a los empleados asignados. Si no están en la oficina, y las jerarquías se aplanan, el número de mandos intermedios necesarios disminuye, aunque no desaparezca, lo que viene a simplificar las estructuras departamentales y mejorar la relación entre empleados y personal directivo. En resumen, toda empresa que pretenda incluir el trabajo a distancia como un medio productivo más, necesitará primero definir bien su organización y estructura interna, y a continuación, asegurarse de que dota a sus empleados de los medios materiales necesarios para llevar a cabo su función: al menos de ordenador portátil, telefonía integrada y herramientas para llevar a cabo reuniones virtuales.

Visto desde otro ángulo, las situaciones descritas no dejan de ser parte del proceso de transformación digital de cualquier organización, un concepto que, desafortunadamente, hoy en día es utilizado más como una cuestión de marketing que como fin verdadero. Solo un pequeño porcentaje del tejido empresarial español está en verdadera transformación digital. Según el "Estudio sobre el estado de digitalización de las empresas y Administraciones Públicas españolas" del Observatorio Vodafone (Observatorio Vodafone, 2017), tan solo un 2% de las empresas españolas muestra inquietud por la digitalización. Por descontado, no es un buen indicador, ni mucho menos. Cuando se habla de transformación digital se habla de la oportunidad de innovar, de la posibilidad de que las organizaciones crezcan, de mejorar. Es un proceso estrechamente relacionado con la investigación, la propiedad intelectual y la reutilización inteligente de los datos que son generados por las organizaciones. En el proceso de transformación digital hay varias áreas estructurales de actuación. Una de ellas es la ciberseguridad. La ciberseguridad tiene un importante peso en la transformación digital pues su fin es proteger el proceso de transformación en sí mismo y, por ende, proteger a la organización. Si no se tiene en cuenta es más que posible fracasar en el intento. ¿Porqué? Por la trascendencia de los datos.

Ciberseguridad en la organización

Hasta hace no demasiado tiempo existía el sentimiento en las organizaciones de que los datos que éstas manejaban solo eran importantes, además de para ellas mismas, como mucho para sus competidores más directos. Sin duda, es una visión sesgada de la realidad que nada tiene que ver con la sociedad y la industria globalizada y multilateral actual. También hasta hace poco, la seguridad en las organizaciones se enmarcaba principalmente en la protección del perímetro del datacenter físico, en el exterior con cámaras CCTV y personal de vigilancia, en el interior y a nivel tecnológico, mediante firewalls, IDS/IPS, Antivirus, WAFs, etc...

Pero en 2012, con la explosión comercial del cloud computing, que significa la paulatina desaparición del datacenter físico, y más recientemente en 2015, con la llegada del fog computing y el IoT, el perimetro corporativo se ha difuminado totalmente. Ya no hay una clara definición de frontera que proteger. Trabajar con proveedores externos y clientes es más complejo y las medidas de protección antes válidas ahora han dejado de tener sentido. Los datos, que antes eran fácilmente protegidos, ahora, pueden quedar, también con facilidad, expuestos. Y los datos lo son todo. Son la nueva moneda de cambio. No protegerlos convenientemente puede implicar acabar con el negocio, cesar las operaciones y desaparecer. ¿Como pensar en la posibilidad de trabajar a distancia cuando aún no están resueltos estos problemas? Es una cuestión de enfoque.

Hasta ahora las organizaciones centraban su estrategia de seguridad en la prevención. No hay nada malo en ello pero esta situación necesita cambiar. Más que cambiar, necesita evolucionar. Toda empresa que busque mejorar, transformarse digitalmente, necesitará ser también resiliente. La resiliencia hace referencia a la capacidad de las organizaciones de recuperarse rápidamente ante ataques deliberados o ante incidentes que impliquen el uso de las TIC. Dicho de otra forma, la resiliencia es la capacidad de una empresa de adaptarse y continuar con sus funciones y su trabajo en situaciones de riesgo como la que desgraciadamente vivimos ahora.

Ser resilientes tecnológicamente implica contar con las soluciones de seguridad más adecuadas. Solo así se puede certificar el correcto funcionamiento de la organización. Pero éste no es el único requisito. Además, la organización necesitará comprender su entorno, deberá realizar una monitorización continua, no solo de sus infraestructuras, sino también de las personas que la integran. Ser resiliente significa tener la capacidad de conocer en todo momento cuál es el nivel de protección de la organización y cuáles son los riesgos potenciales a los que se enfrenta, tanto de forma interna como externa. Ser resiliente implica madurar. Entender y aceptar que algunos ataques no se podrán evitar. Entender y aceptar que un potencial atacante contará con el factor de la sorpresa y una mejor preparación. Comprender esta realidad implica pensar como un atacante. y diseñar una estrategia que permita rápidamente salvar la situación en caso de darse. Conlleva reconocer que es preciso contar con un plan de acción que permita retomar la actividad de la organización cuanto antes si llegara a producirse algún incidente de seguridad. Una actitud en resiliencia ayuda a estar preparado en todo momento ante un eventual incidente de ciberseguridad y reduce el impacto económico sobre el negocio, que será el menor posible, porque la organización estará concienciada y entrenada convenientemente.

Llegados a este punto, se puede replantear la pregunta original: ¿Está la ciberseguridad empresarial preparada para el (repentino) trabajo a distancia? La respuesta es tan breve como rotunda: No.

Ciberseguridad y trabajo a distancia

Anteriormente se justificó que solo el 2 % de las organizaciones están verdaderamente implicadas con la transformación digital. Es difícil justificar que una empresa inmadura desde el punto de vista de ciberseguridad pueda ser lo suficientemente resiliente como para poder ofrecer acceso a sus datos en una modalidad de trabajo a distancia. Menos aún en un caso de emergencia, como ha sucedido con la crisis del COVID-19. Lo que han hecho muchas empresas para que sus trabajadores puedan trabajar a distancia ha sido publicar sus servidores en internet. Tal cual. La solución más fácil. También la peor. Ya no es una cuestión de sociología del trabajo, sino de tecnología pura y dura.

Para poder definir correctamente un modelo resiliente de ciberseguridad es necesario crear un mapa de la información de la organización. Este mapa debe de especificar dónde está y cómo se accede a la información de la empresa, y cual es la tipología y clasificación de seguridad de los datos. Toda esta información permite analizar las posibles amenazas derivadas del uso de las TIC en el negocio y, por tanto, seleccionar los controles de seguridad requeridos y adecuados, siempre que esto sea posible. El principal problema con el desarrollo de este proceso es que necesita tiempo.

En una situación de emergencia como la actual lo mejor hubiera sido no exponer los recursos corporativos y dejar que los trabajadores accediesen a la información corporativa bien por una VPN (una red privada virtual que conecta el ordenador del trabajador con la empresa de forma segura) o por SDP (software defined perimeter, perimetro definido por software), una combinación de la anterior VPN, un inventario de activos y un firewall ad-hoc.

Desafortunadamente ninguno de estos medios de control de acceso de forma segura estaban disponibles en muchas organizaciones. Y es que normativizar y organizar el teletrabajo de un día para otro es harto complicado, por no decir que imposible. Si no se ha diseñado antes un protocolo de actuación, y no se tienen medios técnicos implementados, es francamente complejo que la organización pueda operar bajo unos umbrales de seguridad y riego aceptables, y por contra, es perfectamente posible que se vea ante situaciones de riesgo de fuga o perdida de datos e información. En todo caso, siempre se pueden recomendar algunas buenas prácticas, a la discreción de implementación por parte del trabajador:

  • Respecto de la conexión en la ubicación de trabajo a distancia, se desaconseja el uso de redes inalámbricas, especialmente si la conexión es de un tercero o pública. Además de que el rendimiento no es bueno el riego potencial de ser capturado por un access point inalámbrico no oficial es alto.
  • En los servicios conectados de Internet, es preciso utilizar siempre protocolos de comunicación cifrados: WPA2 en el caso la conexión inalámbrica, HTTPS en el caso de la navegación web, IMAPS/SSMTP en el caso del correo electrónico, etc... Evítese el uso de protocolos de escritorio remoto, en general, pero en particular de aquellos que no aporten seguridad en la conexión o son susceptibles de ser explotados por fuerza bruta, como es el caso del protocolo RDP (Remote Desktop Protocol, protocolo de acceso remoto a escritorio) de Microsoft Windows. Estos servicios pueden perfectamente ser usados en combinación de una VPN o un SDP pero nunca deben de ser utilizados sin este nivel de protección.
  • No solo en caso de emergencia, sino siempre, es importante contar con un gestor de contraseñas seguro (keepass, lastpass, bitwarden, 1password, passbolt, solo por mencionar algunos) y usar contraseñas robustas y distintas por cada servicio.
  • Mantener el nivel de actualizaciones de software lo más reciente posible, tanto en aplicaciones como en el sistema operativo.
  • Extremar la precaución con el correo electrónico y el phising. No acceder a recursos que no se conocen y evitar a toda costa correos sospechosos que podrían comprometer la seguridad de la organización con señuelos relacionados con la salud. El phishing sigue siendo el principal vector de ataque inicial utilizado en las campañas relacionadas con COVID-19 por parte de los ciberdelincuentes y se espera que continúe representando una amenaza significativa durante una buena cantidad de tiempo de ahora en adelante.
  • Extremar la precaución con la navegación web. Se ha comprobado que se han registrado en tiempo record una gran cantidad de nombres de dominio relacionados con el literal de texto "COVID-19". Es muy probable que un buen número de estos sitios web se utilicen con la finalidad de realización de estafas.

Conclusiones

La crisis socio-sanitaria del COVID-19 pasará, pero la experiencia generada con el trabajo a distancia marcará en la sociedad una nueva forma de trabajar.

Respecto a asuntos meramente económicos la previsión para 2021 respecto de la inversión en TIC es que se producirá un incremento de la inversión, toda vez que se ha percibido claramente que la ausencia de financiación TIC podría significar en cualquier momento la total paralización de la empresa.

Similar previsión se espera en lo relativo a inversión en materia de ciberseguridad, seguridad de la información y continuidad de negocio. Desgraciadamente, es muy probable, que momentos como los actuales sensibilicen a muchas empresas y que por fin se tenga en cuenta su gran valor y necesidad.

Jonathan González
Asesor Of Counsel, Bloomver·Tech & CastroAlonso LET
jonathan@ce.bloomver.com