En estos días, desde el inicio de la cuarentena, han fluido en la redes sociales muchos documentos sobre la mejor forma de realizar el teletrabajo. Sin duda porque muchos nos hemos visto forzados a hacerlo para mantener la operación de nuestras empresas. Esto es un hecho inédito en la historia de la humanidad por la gravedad de la crisis de salud, pero también porque hoy la humanidad cuenta con la tecnología para enfrentar este reto como nunca antes.
El avance de la internet nos habilita para hacer cosas que hace algunos años eran imposibles, es por eso que las economías no se han congelado tanto como hubiera sucedido hace 20 años. Internet tuvo su origen como una solución de seguridad. La intención fue tener acceso a la información aún en caso de disrupciones mayores, que se pensaba, podrían generarse por guerras.
Y aunque el teletrabajo es posible gracias a esto, también tiene sus riesgos y el principal de ellos es humano. Toda la tecnología depende siempre de las personas. Pero ahora esto es todavía más real porque el cambio al teletrabajo fue, en muchos casos, forzado, apresurado e implementado con deficiencias.
Muchos nos vimos en la necesidad de implementar mecanismos de teletrabajo teniendo como foco solo la continuidad, pero eso implicó aceptar riesgos de seguridad. Las VPNs están funcionando, los sistemas son accesibles, el personal tiene acceso a la información, pero no dentro de la zona segura de las redes corporativas y muchas veces fuera de nuestra seguridad perimetral. Así tuvo que ser, pero ahora tenemos que remediarlo.
Para ello lo mejor es no tratar de inventar el hilo negro, mucho de lo que se requiere hacer está ya descrito en las normas internacionales de seguridad de la información como la ISO27000. El camino está trazado, lo mejor es comenzar por el primer paso.
La norma es detallada y pudiera parecer compleja, pero también es sistemática y abarca la mayoría de los elementos clave para garantizar la seguridad de nuestra información. El primer paso es crítico, consiste en definir la política de seguridad de la información, es decir, saber qué nos interesa proteger y a qué grado. La sabiduría popular dice que hay quien no logra lo que quiere, porque no sabe lo que quiere.
Saber lo que queremos es un proceso, conforme vamos profundizando en el análisis y el control, vamos entendiendo mejor lo que necesitamos y lo que queremos. Comenzamos casi con un deseo, que iremos modificando y perfeccionando, pero es importante expresarlo. Es nuestra estrella del norte, la que dirige el camino. En Nordstern Technologies eso lo entendemos bien, hay que comenzar con el fin en la mente.
Una buena política de seguridad de información establece el alcance de nuestro esfuerzo, los elementos críticos, el nivel de compromiso de nuestro equipo y el nivel de protección que requerimos. Pareciera que para saber esto necesitamos hacer análisis de vulnerabilidades o pruebas de penetración o cosas muy sofisticadas y sí, las vamos a requerir, pero no primero. Primero la intención, luego el análisis y de lo que salga, modificamos la política para pulirla y complementarla, es una iteración que haremos muy frecuentemente.
El paso uno todos lo sabemos, todos tenemos en la punta de la lengua lo que nos preocupa. Ya están todos trabajando en sus casas, pero… cada uno de nosotros como directores sabemos qué sigue a ese pero. Pero hay archivos confidenciales en equipos bajo el modelo BYOD, las VPN funcionan pero son vulnerables, los sistemas críticos son susceptibles de ataque, los datos confidenciales se trasmiten con poca o nula encriptación… cada uno sabe o sospecha dónde le aprieta el zapato. Hay que verbalizar esa preocupación, traducirla en una política rectora, disparar los análisis, tomar acción y eso hay que hacerlo rápido. Más rápido llegaremos al destino cuanto más rápido comencemos el camino.
En este asunto como en muchos otros hay quienes pueden apoyar a conseguir las metas rápido. Si hay que bajar de peso están los nutriólogos o los entrenadores. Si quieres mejorar la seguridad de tu información estamos nosotros. Aquí estaremos proponiendo ideas y si requieres más detalle estamos a tu disposición. En una próxima entrega comenzaremos con el análisis de riesgos en seguridad de la información, explorando un paso a paso orientado a identificar rápidamente los temas relevantes.
¿Tienes riesgos en el nuevo modelo de teletrabajo? Casi te puedo firmar que sí, hay que resolver rápido algunos, otros hay que contenerlos y otros hay que asumirlos pero vigilarlos hasta que podamos hacer algo. Seguiremos platicando para saber: qué resolvemos, qué contenemos y qué asumimos.