La ciberseguridad se consagra en las organizaciones que apuestan por el trabajo híbrido
El modelo de trabajo híbrido que irrumpió con la pandemia ha terminado por cuajar; sin embargo, las compañías que apuestan por este nuevo paradigma han experimentado como la ciberseguridad se ha convertido en parte inherente de su actividad. Así ha impactado.
La pandemia desatada tres años atrás por la Covid-19 sumió a las organizaciones en un constante estado de metamorfosis. Desde entonces, una nueva realidad se asentó en el escenario corporativo transformando radicalmente el paradigma, los métodos y protocolos que habían servido durante años. Fruto de este proceso de transformación se popularizó el trabajo híbrido, una nueva modalidad que trasladó la actividad profesional de un sinfín de trabajadores a la intimidad de sus hogares. Con él también irrumpieron nuevos desafíos en materia de ciberseguridad, protección de la fuerza laboral y privacidad de datos. Entonces, en un contexto marcado por el auge de las ciberamenazas, la sofisticación de los ataques perpetrados por los ciberdelincuentes y el aumento exponencial de nuevas técnicas, las organizaciones hubieron de tomar cartas en el asunto. Hasta la fecha.
En la actualidad, la ciberseguridad constituye una de las prioridades estratégicas en las agendas de las compañías. De hecho, según vaticina la firma de análisis e investigación Gartner, se estima que el gasto en ciberseguridad crezca por encima del 12% en 2023. Una cifra motivada en gran medida por la consolidación del modelo híbrido de trabajo, la ampliación de la superficie de ataque y la necesidad imperante de establecer una defensa de los sistemas de seguridad. Sobre el impacto del trabajo híbrido en la ciberseguridad arrojan algo de luz Miriam Puente, técnico de Conocimiento y Concienciación para Empresas y Profesionales del Instituto Nacional de Ciberseguridad (INCIBE); Víctor Villagrá, director del máster universitario en Ciberseguridad de la Universidad Politécnica de Madrid (UPM); y los reconocidos analistas de IDG Research Alberto Bellé y Fernando Maldonado. He aquí una radiografía de la escena actual.
Escenario pospandémico: desde la adopción del trabajo híbrido al aumento de las amenazas
La dependencia tecnológica de las organizaciones es, a juicio de Puente, lo que condiciona sus necesidades de seguridad. En este sentido, insiste, no es de extrañar que las empresas que hayan adoptado algún grado de digitalización superior al que tenían antes de instaurar el modelo de trabajo híbrido hayan visto incrementadas sus necesidades de protección cibernética. “Habrán de incorporar a sus análisis de riesgos los cambios en sus procesos de negocio derivados de los nuevos usos de la tecnología, actualizar las políticas de seguridad e impartir formación sobre los riesgos que implica su uso”. Entre los retos a abordar en materia de ciberseguridad en este modelo de trabajo se encuentran: “garantizar conexiones remotas seguras, proteger los dispositivos de teletrabajo, el uso seguro de la nube y de las herramientas colaborativas y la seguridad en movilidad”.
Para Bellé, la implicación más importante en relación al modelo híbrido está vinculada con que “la seguridad entra de lleno en el entorno doméstico del empleado de forma permanente”, algo con lo que coincide Villagrá. El portavoz de la UPM defiende que el mayor reto está en “trasladar el escenario de controles de ciberseguridad que un administrador tiene en su entorno corporativo al entorno del hogar de los empleados en los que no se cumplen muchos de los estándares tradicionales”. Esto, incide, conlleva un “esfuerzo extra” por parte de las compañías para provisionar puestos de trabajo a los empleados con la “complejidad e inversión necesarias” que conlleva escalarlo.
“La dependencia tecnológica no siempre avanza a la par que el conocimiento y las medidas de seguridad necesarias para evitar ciberataques”
Miriam Puente, técnico de Conocimiento y Concienciación para Empresas y Profesionales de INCIBE
Al ser preguntados sobre las principales fuentes de incidentes en el ámbito del trabajo híbrido, los expertos mencionan errores de configuración, redes no seguras, dispositivos infectados en redes corporativas, el acceso remoto a los recursos internos o la falta de formación en la materia. Es Maldonado quien hace especial hincapié en las amenazas como el phishing o los ataques de ingeniería social que “han aumentado su efectividad”. “La inteligencia artificial generativa y el trabajo desde casa han dado a los atacantes nuevas oportunidades para infiltrarse”, comenta. En otras palabras, “los ciberdelincuentes buscan formas de aprovechar las vulnerabilidades del trabajo remoto apoyándose en nuevas herramientas y diseñando sus ataques sabiendo que el empleado no se encuentra en la oficina”.
Madurez digital
El grado de madurez digital en materia de seguridad cibernética difiere según su tamaño y contexto, asegura Bellé. “Cada empresa ha evolucionado a su propio ritmo, dado que no todas tienen la misma proporción de empleados que puedan trabajar en remoto”. Siguiendo este mismo hilo, insiste, destacan dos aspectos fundamentales en relación a la madurez. Por un lado, el equilibrio entre seguridad y la experiencia del empleado; por otro, la relevancia de la seguridad cloud. “Las empresas más maduras en ciberseguridad tienen en cuenta que se trata de optimizar los recursos y no de multiplicar el gasto. Es decir, tienen claras las prioridades de seguridad, qué recursos utilizan y dónde es necesario invertir”.
“El modelo de trabajo híbrido se ha consolidado como una realidad y cada empresa debe encontrar su equilibrio óptimo en función de su contexto de negocio y el perfil de sus empleados”
Fernando Maldonado, analista de IDC Research
Sea como fuere, retoma la técnico de INCIBE, “aquellas empresas que hayan decidido adoptar este modelo híbrido de forma total o parcial deberán hacer un repaso exhaustivo de sus medidas de seguridad y estudiar las nuevas necesidades”. Tendrán, además, que “reexaminar sus planes de continuidad de negocio y de recuperación frente a desastres e incidentes, reforzar la gestión del riesgo, así como las capacidades para detectar y frenar ciberataques”. Puente califica de vital importancia el hecho de revisar las políticas relacionadas con los usos tecnológicos que atañen el tratamiento de datos personales para proteger la privacidad de los usuarios, además de las políticas de almacenamiento en la nube o en local, las políticas de teletrabajo, el uso de herramientas colaborativas o las políticas de acceso remoto.
Capacitación y formación, piedras angulares
“Los primeros pasos para estar protegido frente a cualquier amenaza son la concienciación y la formación; y es que la dependencia tecnológica no siempre avanza a la par que el conocimiento de la misma y las medidas necesarias para evitar los ciberataques”, dice Puente. Además, la capacitación y la formación implican un esfuerzo continuo, prosigue Bellé. “No es suficiente una iniciativa puntual. El goteo continuo sirve como refuerzo en la mentalidad y permite actualizar las capacidades de forma gradual”, defiende el analista.
No obstante, irrumpe, hay aspectos que requieren “un esfuerzo de comunicación”. En primer lugar menciona la atribución de responsabilidad que se desplaza al empleado: “Si el trabajo se realiza en el entorno doméstico, el empleado es protagonista de su seguridad. Esto supone un cambio en la mentalidad tradicional, es decir, el empleado debe convertirse en un pequeño CISO”. En segundo lugar, comenta, es fácil que se relaje la actitud de alerta en el teletrabajo con el tiempo una vez que los empleados se han familiarizado, por lo que recomienda a las organizaciones permanecer “vigilantes” de que esto no ocurra.
“La capacitación y la formación requieren un esfuerzo continuo, no es suficiente con una iniciativa puntual. El goteo continuo sirve como refuerzo en la mentalidad y permite actualizar las capacidades de forma gradual”
Alberto Bellé, analista de IDC Research
Abordar la situación con la mira en el futuro
Como bien sabe todo el mundo, dice Puente, “la ciberseguridad al 100% no existe”, “tan importante es invertir en medidas tecnológicas de ciberseguridad como en la capacitación de los empleados”, subraya. A fin de cuentas, “una plantilla formada, consciente de las amenazas y con conocimiento para identificarlas y evitar que se materialicen, o en su defecto saber cómo actuar frente a un incidente de ciberseguridad, será una de las salvaguardas más importantes que pueda haber en una organización”. Con ella coincide el director del máster universitario en Ciberseguridad de la UPM, quien añade además la necesidad de “diseñar y ejecutar auditorías de ciberseguridad para verificar el correcto cumplimiento de los controles. Tener diseñados y desplegados entornos de inteligencia de amenazas para ser capaz de reaccionar de la forma más rápida posible a nuevos ataques es fundamental”.
“El modelo híbrido va a persistir en el futuro de forma mucho más flexible. Deberá ser una posibilidad más del entorno laboral que las compañías podrán elegir para optimizar su productividad sin rigideces”
Víctor Villagrá, director del máster universitario en Ciberseguridad de la UPM
Para Maldonado, el modelo de trabajo híbrido “se ha consolidado como una realidad” en la que cada empresa debe encontrar el “equilibrio óptimo” en función de su contexto de negocio y el perfil de sus empleados. En este nuevo enfoque, destaca, “la seguridad debe ser planeada cuidadosamente y no improvisada”. El analista insiste en que las empresas “necesitan pensar en todas las implicaciones teniendo en cuenta que los riesgos cambian constantemente”. Y aunque es una tarea ardua, esto conlleva “revisar y ajustar la estrategia de seguridad regularme”. El enfoque, considera, debe ser “integral”; es decir, “será necesario abarcar tanto aspectos de seguridad lógicos como los relacionados con la seguridad física”. Esta visión holística es precisamente la que perfila la ciberseguridad como parte inherente de las organizaciones del siglo XXI que apuestan por el ya popular modelo de trabajo híbrido.
