El Home Office y sus retos en ciberseguridad

Preví este escenario.

Me llama un amigo que trabaja en una empresa de alimentos perecederos. Muy angustiado me dice: “El dueño nunca previo este escenario, se lo repetí muchas veces. Ya desde el viernes faltaron algunas personas de la plantilla por la escasez de combustible. 

Desde luego que los 2 usuarios de la VPN no darían abasto a la plantilla que tenemos. Pero bueno, tenemos Google APS for Work, ya dimos bastantes capacitaciones de cómo usar cada una de las aplicaciones, sin problema, todos podremos trabajar. Pero espera, desde mi consola solo veo 15 documentos compartidos en toda la organización. No podemos trabajar de forma remota como pensaba, ahora me doy cuenta, no estamos preparados para trabajar Home Office. 

¿Esto también es continuidad del negocio?.

La respuesta es, sí. En el plan Continuidad del Negocio (BCP, por Business Continuity Plan) parece posible, pero la realidad nos confronta con el plan, es decir, no estamos ni lejanamente preparados para esto. 

No contamos con los elementos técnicos necesarios para conectar a nuestros colaboradores de forma remota. Lo que debería de ser una herramienta de colaboración es solo utilizada parcialmente. Nuestro Plan de Continuidad de Negocio es deficiente, muy deficiente. 

Entonces el plan es letra muerta. 

¿Por qué no estamos preparados para este esquema de trabajo?. 

La empresa mexicana o a decir verdad, el empresario, no se siente cómodo con el concepto Home Office y que el empleado trabaje desde casa, para la empresa, entre más pase un empleado en la oficina más “productivo y comprometido” se encuentra con la organización, de hecho, yo he estado en reuniones donde dicen “Juanito trabaja muchísimo por la empresa, es el primero en llegar y el ultimo en irse”, lo que no saben es que Juanito (digámonos así) es CAPA 8 Plus (….). No imagino a Juanito trabajando de forma remota, si ya de manera local trae loca al área de TI.  

Plantear a los empresarios, que el trabajo remoto hace más felices, productivos y eficientes a los trabajadores y que en momentos como este nos dan un plan de acción para continuar operando, no es cosa fácil.  

El convencer que necesitamos recursos técnicos y educativos para trabajar Home Office es una de esas tareas que hacemos en TI, muchas veces de manera infructuosa. 

También entiendo ese miedo de dar “holgura” a los empleados y estos aprovechen para hacer otras cosas muy diferentes a realizar su trabajo. Entonces convergen dos factores, el técnico y el humano. Técnicamente necesito los medios necesarios para poder conectar a mis colaboradores de forma segura y eficiente. Necesito capacitar a mis colaboradores en como trabajar desde casa. 

Al hablar de formas seguras de conectar un Home Office pasa por mi mente la lámina de C|EH (Certified Ethical Hacker) sobre Elementos de Seguridad de la Información. 

  • Confidencialidad. 
  • Integridad. 
  • Disponibilidad. 
  • Autenticidad. 
  • No Repudio. (entiéndase la garantía de que el emisor de la solicitud de información ya autentificado la reciba). 

También podríamos referirnos en C|EH al Triangulo de Usabilidad

  • Funcionalidad. 
  • Seguridad. 
  • Usabilidad (GUI). 

Por ultimo, el empleado deberá de contar con los medios necesarios para realizar esta conexión remota y sobre todo tener conciencia de la seguridad al realizar su trabajo remoto. Imaginen a “Juanito” a quien ya de por si le implementamos ACL´s especiales para su IP, esto por su gran afición a “linkear” todo lo que le envían. 

Ulises Rivero

Soy Gerente de It desde hace 20 años, actualmente trabajo en mi propia empresa de servicios de seguridad informática y análisis de riesgos. Consultor de Ciberseguridad.