Sector público vs. privado: ¿cómo abordan la ciberseguridad en la era del trabajo híbrido?
El Ayuntamiento de Madrid y la fintech Fintonic dan luces de las medidas y las lecciones aprendidas en los últimos tres años para enfrentar los desafíos informáticos y de seguridad que conlleva este modelo de trabajo en las organizaciones.
Si la llegada del teletrabajo supuso un esfuerzo de adaptación por parte de los trabajadores y directivos de las empresas, el shock inicial fue aún mayor para los responsables de la TI y la ciberseguridad. El escenario incluso se complicó cuando, dada por finalizada la pandemia, las organizaciones comenzaron a volver a las oficinas e implementaron un modelo híbrido de trabajo.
No es lo mismo digitalizar el sector privado que digitalizar las Administraciones públicas: cada una tiene sus propios requerimientos y desafíos. En ComputerWorld, hablamos con organizaciones de cada sector que profundizaron en las prioridades, retos y estrategias que adoptaron para lograr una modernización exitosa que protege sus espacios de trabajo, tanto físicos como digitales, sin dejar de lado la seguridad.
El coordinador del Centro de Ciberseguridad del Ayuntamiento de Madrid (CCMAD), Guillermo Obispo, asevera que “sin duda alguna, el reto más importante es la disponibilidad de la información”. Añade que “entramos en un escenario donde cada usuario configura su jornada de trabajo sin limitación horaria y con accesos desde diferentes meridianos” y que “hemos pasado de inhabilitar cuentas de directorio al detectar el fin de la jornada laboral en el torno de salida a no ser capaces de predecir cuándo y desde dónde tendrá lugar la siguiente conexión”.
"El perímetro ha muerto y estamos exponiendo nuestros datos en entornos con dispositivos no confiables que requieren un esfuerzo extra de seguridad"
Guillermo Obispo, coordinador del CCMAD
Enrique Cervantes, CISO de la fintech Fintonic, concuerda con Obispo y agrega “el trabajo híbrido aúna los desafíos de ambos enfoques, ya que te obliga tanto a gestionar la infraestructura y seguridad para el teletrabajo, como a mantener tus instalaciones para la presencialidad de una manera correcta”.
En este contexto, comenta que “poco a poco la tecnología y los fabricantes van sacando soluciones que favorecen enfoques de arquitectura que cubren la convivencia de estos ‘dos mundos’, como las tecnologías asociadas al término SASE [Secure Access Service Edge]”. Para Obispo, en tanto, es necesario invertir en alta disponibilidad y VPN para asegurar una conexión de confianza, ya que “el perímetro ha muerto y estamos exponiendo nuestros datos en entornos con dispositivos no confiables que requieren un esfuerzo extra en los sistemas de autenticación, por un lado, además de mecanismos que garanticen la confidencialidad, por otro".
Para el caso específico de las Administraciones públicas, explica Obispo, una de las diferencias con las empresas a la hora de implementar esta digitalización es que éstas “se pueden permitir modelos basados exclusivamente en el terreno digital, mientras que la Administración pública está normativamente requerida a hacerlo también de forma presencial para no causar indefensión a ciudadanos que se encuentren en la brecha digital", algo que también “empujó los requisitos de seguridad”.
Por el contrario, esta transformación digital es algo a lo que Fintonic ya estaba acostumbrada. “En el sector fintech, por el tipo de tecnologías que utilizamos y empresas que se enmarcan en nuestro ámbito, el teletrabajo es muy común, incluso antes de la pandemia, por lo que llevamos años trabajando en estos desafíos”, aunque destaca que sí han hecho un esfuerzo por formar y concienciar a sus empleados en ciberseguridad.
Tecnología en pos de la seguridad
El coordinador del CCMAD detalla que, parte de su estrategia para resguardar la información del Ayuntamiento de Madrid en este nuevo entorno híbrido comenzó antes de la pandemia, con una renovación de todos sus servicios de comunicaciones en 2018, lo que supuso una “transformación innovadora del modelo de puesto de trabajo corporativo”.
“Desde entonces, y haciendo uso de una estrategia multicloud, toda la plantilla puede desempeñar sus actividades profesionales desde cualquier lugar, en cualquier momento y con cualquier dispositivo, merced a unos principios de uso que incluyen controles básicos como el canal seguro de acceso, autenticación multifactor y cifrado de la información, tanto en tránsito como en almacenamiento. Una vez más, VPN y plataformas colaborativas con garantías de seguridad”, señala.
"Poco a poco la tecnología va sacando soluciones que favorecen enfoques de arquitectura que cubren la convivencia de estos ‘dos mundos’"
Enrique Cervantes, CISO de Fintonic
Para Fintonic, Cervantes apunta que en la compañía “tratamos de tener un modelo de seguridad por capas que van desde el modelado de roles y permisos, seguridad en los equipos, conectividad, pasando por la monitorización y constante evolución de nuestras capacidades de detección y respuesta”.
En cuanto a la tecnología de moda, la inteligencia artificial (IA), para ninguna de las dos organizaciones significó una disrupción muy grande en cuanto a seguridad con lo que ya estaban haciendo. Obispo confirma que el CCMAD “ha seguido utilizando las herramientas habituales para la protección de la información, aunque éstas, por su parte, sí están incorporado progresivamente funcionalidades que hacen uso de la IA” en funciones como la monitorización y detección de amenazas a través del EDR [Endpoint Detection and Response] o en el análisis de los Indicadores de Compromiso de la MISP [Malware Information Sharing Platform]. Desde el centro “también estamos explorando otras áreas como el análisis de textos en informes de amenazas o vigilancia digital”, agrega.
Por su parte, el CISO de Fintonic también reconoció que contemplan las mismas medidas de seguridad para las herramientas de IA que para cualquier otro servicio SaaS que utilizan. “De la misma manera que estaba prohibido subir información confidencial a un traductor online, foros o a un servicio de almacenamiento no validado de manera corporativa, no está permitido hacerlo actualmente en este tipo de servicios basados en IA que están marcando tendencia en los últimos tiempos”.
No obstante, aclaró que “esto no quiere decir que limitemos su uso en absoluto, al contrario, son herramientas excelentes cuyo uso potencia las capacidades, sobre todo, de equipos pequeños como los de Fintonic, pero es necesario hacer un uso responsable de la tecnología y es lo que promovemos y controlamos”.
