Quizá sea pronto para hablar sobre las consecuencias de una pandemia que todavía no concluye. Sin embargo, en algunos ámbitos, como es el de la seguridad de la información, se pueden adelantar algunas lecciones aprendidas a partir de condiciones y resultados visibles.
Si bien varias recomendaciones de seguridad ya han sido abordadas con anterioridad, en esta publicación haremos un repaso por algunas de las lecciones que, a partir de las circunstancias actuales, su importancia resulta más evidente y que pueden ser consideradas como una oportunidad de mejora dentro de la crisis global que estamos viviendo, aunque seguramente este escenario traiga más lecciones aparejadas.
1. La necesidad de acelerar los procesos de transformación digital
Es evidente que el proceso de transformación digital en ámbitos como el laboral, educativo o de entretenimiento comenzó hace ya algunos años, la pandemia expuso la necesidad de contar con medios alternativos para poder realizar las actividades cotidianas, como es el teletrabajo o las clases virtuales
En este sentido, si bien en el ámbito corporativo hay quienes ya habían adoptado estos mecanismos como una opción para realizar sus funciones y el impacto de la crisis provocada por el COVID-19 tuvo un impacto bajo en cuanto a la posibilidad de continuar con sus operaciones, las organizaciones que ignoraron o postergaron la decisión de llevar adelante esta transición digital se vieron afectadas por la falta de disponibilidad, integridad o confidencialidad de su información.
2. Los cambios pueden ser por decisión propia o por obligación
Las organizaciones que han puesto en marcha procesos de transformación y han invertido en infraestructura y medidas de seguridad para que sus colaboradores puedan realizar sus actividades prácticamente desde cualquier lugar que tenga acceso a Internet, ahora ven los beneficios de su inversión.
Las empresas que no han migrado a nuevas modalidades de operación se han visto más impactadas. Y si bien existen múltiples razones que impiden esta transición, ya sea por mantener condiciones tradicionales de trabajo, la falta de recursos, o simplemente porque sus actividades difícilmente podrían realizarse desde sitios alternos, algo que hemos aprendido a raíz de la pandemia es que los cambios no siempre son por decisión propia.
Sea cual sea el motivo que ha impedido a dichas organizaciones avanzar hacia un proceso de transformación digital, muchas de ellas se vieron de un momento a otro en la necesidad de modificar o crear los procesos de una forma inesperada e indeseada, con los riesgos que eso supone.
3. La seguridad debe estar en todos lados, no tiene límites físicos
El distanciamiento social evidenció una premisa de la que hemos hablado con anterioridad: la seguridad debe acompañarnos en todo lugar y a cada momento. Si bien las empresas invierten recursos de toda índole para proteger su información e infraestructura tecnológica, en ocasiones solo se piensa en un espacio físico (por ejemplo, una oficina).
Las nuevas condiciones de trabajo dejan en claro la necesidad de contar con mecanismos de protección (entre ellos, soluciones de seguridad y la aplicación de buenas prácticas), en todos los puntos desde donde se procesen, almacenen o transmitan datos.
Los riesgos aumentan, ya que ahora la información es utilizada en equipos o redes no corporativas. Bajo este escenario, las amenazas informáticas aparecen bajo condiciones en las que hay menos controles de seguridad y probablemente a raíz de ello con un comportamiento más hostil.
4. Las amenazas informáticas no están en confinamiento
El aislamiento no implica que las amenazas también hayan quedado encerradas. Desde el Laboratorio de Investigación de ESET se identificaron una gran cantidad de campañas de malware y phishing que hacían alusión a COVID-19, como suele ocurrir con temas de actualidad y de interés.
Además, con el avance de la pandemia y la instauración de cuarentenas masivas en una gran cantidad de países, las herramientas para realizar videoconferencias vieron un repentino incremento en la cantidad de usuarios, una situación que los atacantes no desaprovecharon.
Nombres de herramientas como Zoom, GoToMeeting o Teams están siendo utilizadas como carnada para propagar archivos maliciosos entre usuarios desprevenidos. Aunado a lo anterior, comenzaron a identificarse vulnerabilidades y fallas en varias de estas aplicaciones. En otras palabras, aparecieron nuevos riesgos.
5. El impacto de los ciberataques es cada vez mayor
No resulta extraño que desde hace tiempo los hospitales, así como organismos y empresas vinculadas al sector de la salud, se convirtieron en un objetivo de atacantes, por razones como la falta de capacitación en seguridad, las vulnerabilidades presentes en el software y dispositivos IoT que utilizan, o bien por la sensibilidad de la información que manejan.
En fechas recientes se ha reportado el aumento de ataques de ransomware apuntando a hospitales en distintos países del mundo, así como el incremento de engaños dirigidos a organizaciones, proveedores e instituciones del sector de la salud. La cuestión es que en un contexto como el actual, un ataque informático hacia este sector podría tener consecuencias aún más severas.
No es un dato menor que derivado de un ciberataque se estén perdiendo vidas humanas, tal como lo manifiesta un estudio elaborado por la Universidad de Vanderbilt y la Universidad Central de Florida, que muestra la relación existente entre los ataques informáticos al sector de la salud y el aumento de la tasa de mortalidad.
6. Los planes de contingencia deben ser probados y mejorados
¿Alguna vez se consideró una pandemia como un escenario realista dentro una evaluación de riesgo o un análisis de impacto al negocio? Si la respuesta es sí, seguramente se cuenta con medidas que mitigan esta calamidad; en caso contrario, se están padeciendo las consecuencias de ignorar esta condición.
Aunque un escenario de esta naturaleza presenta una probabilidad baja de ocurrencia, su impacto es elevado. Por ello, las organizaciones requieren utilizar enfoques basados en el impacto empresarial para diseñar medidas y planes de respuesta, que busquen garantizar la continuidad de los procesos comerciales.
La pandemia también mostró la necesidad de implementar, revisar, probar, mejorar, y actualizar herramientas como el Análisis de Impacto al Negocio (BIA), Evaluaciones de Riesgos, Planes de Continuidad del Negocio (BCP), Planes de Recuperación (DRP), que consideren al personal, lugares de trabajo, tecnologías y servicios críticos.
7. La continuidad en las operaciones debe considerar la seguridad
La rapidez con la que se tomaron medidas para la pandemia obligó a algunas organizaciones a proveer medidas de conectividad, acceso y operación para sus colaboradores, pero ¿estas medidas también consideraron la seguridad?
Los cambios como consecuencia de la pandemia mostraron la necesidad de contar con condiciones de seguridad para trabajar desde cualquier punto. Y aunque no logren equiparar a las condiciones de un espacio físico como el de una oficina, sí deben proveer un nivel de riesgo aceptable a partir de la información manejada.
Junto con estas condiciones, las medidas deben fomentar el aumento de la seguridad en sitios como el hogar, así como el uso de herramientas de comunicación y dinámicas de capacitación y/o concientización para los colaboradores de las empresas que aborden la importancia de proteger los datos sensibles, tanto personales como corporativos.
8. Las crisis también traen oportunidades
El distanciamiento social como consecuencia de la pandemia nos ha obligado a llevar a cabo actividades cotidianas de una forma diferente.
La crisis de salud mundial probablemente marque un antes y un después, donde a las repercusiones actuales se sumen más cambios en el futuro cercano (una vez que el confinamiento termine), tanto en lo personal como en lo colectivo.
Pero crisis como esta también pueden ser aprovechadas para apuntalar iniciativas en todos los ámbitos. En el caso de las Tecnologías de la Información, se trata de una oportunidad para impulsar diversos proyectos de transformación digital.
En el caso de la seguridad, este cambio generalizado de ideas puede ser utilizado para promover cambios organizacionales para la protección de activos y de forma general, difundir aún más la cultura de la ciberseguridad, así como crear mayor conciencia sobre el uso seguro de la tecnología, en todo momento y en cualquier lugar.