HPE entre los lĆderes de almacenamiento de Gartner
A medida que las restricciones se aligeran, los CISOs evalĆŗan cĆ³mo seguirĆ”n operando sus equipos para mantener la seguridad de los empleados y de los activos empresariales.
Por: Dan Swinhoe, CSO.
ĀæQuĆ© sigue para los CISOs? Lo predecible es que aumente la demanda de apoyo y soporte a mayor cantidad de empleados que seguirĆ”n trabajando desde casa. SegĆŗn un informe publicado en abril por (ISC)2, el 96% de las organizaciones ha trasladado parte de su personal al trabajo remoto, y casi la mitad de estas empresas ha desplazado a todos los empleados, “todos”, fuera de la oficina.
La crisis tambiĆ©n es una oportunidad para repensar la estrategia y los planes generales de seguridad, incluidas las opciones tecnolĆ³gicas, la colaboraciĆ³n con la empresa, y la educaciĆ³n y capacitaciĆ³n en seguridad.
El trabajo remoto serĆ” permanente para algunos trabajadores
UnaĀ encuesta de GartnerĀ encontrĆ³ que tres cuartos de las empresas esperan que al menos un 5% de la fuerza laboral que previamente trabajĆ³ en las oficinas de la compaƱĆa, se convertirĆ”n en empleados permanentes de trabajo desde casa despuĆ©s de que termine la pandemia. Rafael Narezzi, CIO/CISO de la firma de gestiĆ³n de activos de energĆa renovable WiseEnergy predice que esto tendrĆ” un efecto a largo plazo en la huella fĆsica de las empresas, lo que significarĆ” efectos a largo plazo en la forma en que los CISOs manejan a las personas. “Cuando regresemos, todo serĆ” diferente y no creo que la oficina vaya a tener demandaā, seƱala. “Mi empresa [estaba buscando] expandirse a una oficina mĆ”s grande, y ahora se preguntan si necesitamos una oficina grandeā.
Narezzi cree que poder hacer una transiciĆ³n rĆ”pida de la empresa hacia el trabajo remoto debido a que las disposiciones ya estaban en su lugar no solo justifica el gasto pasado, sino que tambiĆ©n puede ayudar a fortalecer los argumentos futuros. “Mi equipo ha estado trabajando duro durante un aƱo para hacer la transiciĆ³n de todo y poder trabajar en cualquier lugar, en todas partes. La empresa reconoce que todo el dinero que solicitamos -para proteger la empresa, para permitir que la empresa trabaje en cualquier lugar, en todas partes- ha logrado los resultados y el retorno de la inversiĆ³n estĆ” justificadoā.
DesafĆos del teletrabajo para la seguridad a largo plazo
Si trabajar desde casa a escala se convierte en un elemento permanente en la manera de operar de las empresas, es probable que tengan que revaluar los riesgos causados por diferentes personas en diferentes escenarios. Data Guardian identificĆ³ un aumento del 80%Ā en la salida de datos corporativos durante el perĆodo de cuarentena, incluyendo un aumento del 123% en el volumen de datos moviĆ©ndose a unidades USB, y un gran aumento en los datos cargados a servicios de almacenamiento en la nube. SegĆŗn unĀ estudioĀ de trabajo remoto realizado por BitGlass, la capacitaciĆ³n del usuario, la seguridad de la red domĆ©stica y los dispositivos personales son los tres desafĆos clave de seguridad que las organizaciones enfrentan actualmente, seguido de datos confidenciales fuera del perĆmetro corporativo, falta de visibilidad y costo adicional de nuevas soluciones o licencias de seguridad.
“Algunas personas querrĆ”n regresar a la oficina tan pronto como sea seguro; otros querrĆ”n continuar adoptando la libertad y la flexibilidad que puede proporcionar el trabajo remotoā, comenta Ste Watts, jefe de seguridad cibernĆ©tica de la firma de gestiĆ³n de patrimonio Rathbone Brothers. “Esto abrirĆ” consideraciones a largo plazo para los equipos de ciberseguridad y riesgo, como la impresiĆ³n remota, el uso de equipos personales para acceder a las redes de la empresa y la seguridad fĆsica de los lugares de trabajo remotos, por nombrar algunosā.
UnĀ informe de Dimensional ResearchĀ encontrĆ³ que mĆ”s de la mitad de las organizaciones han comenzado a identificar nuevas herramientas para abordar el entorno post COVID-19 y el 42% estĆ” invirtiendo en capacitaciĆ³n del personal en las nuevas habilidades requeridas para adaptarse a la nueva normalidad. Sin embargo, a pesar de estos grandes riesgos, elĀ estudio de impacto del COVID-19 de CIOĀ sugiere que la transformaciĆ³n digital y la experiencia del usuario son prioridades mĆ”s altas que la seguridad para los CIOs. Es probable que los CISOs tengan que trabajar duro con la empresa para garantizar que la seguridad se tome en serio de ahora en adelante.
“Un buen equipo de liderazgo reconoce que estos escenarios causan riesgos adicionales, y que ceder donde sea necesario es un esfuerzo colaborativo entre los equipos de liderazgo y el equipo de ciberseguridadā, seƱala Watts. “Las empresas deberĆ”n lograr el equilibrio adecuado entre capitalizar los beneficios y garantizar que esto ocurra dentro de los lĆmites del riesgo aceptable, utilizando el apetito de riesgo acordado por la empresa como una barrera de protecciĆ³nā.
LEE TAMBIĆN: Potencia tu negocio a travĆ©s de una mejor seguridad
Aun asĆ, los CISOs necesitarĆ”n garantizar un proceso robusto para enviar parches a dispositivos que rara vez, si es que alguna vez, se conectan a la red corporativa. Si bien la compaƱĆa duplicĆ³ su ancho de banda de VPN anticipĆ”ndose a una carga adicional, la startup de pagos B2B, AvidXchange, tambiĆ©n usa Office 365. AsĆ, la CISO de la compaƱĆa, Christina Quaine, comunicĆ³ a los usuarios que debĆan conectarse regularmente a travĆ©s de la VPN para recibir parches para los dispositivos corporativos. “Hay muchas personas que no necesariamente necesitan iniciar sesiĆ³n en la VPN, pero si no se conectan a la red, no recibirĆ”n los Ćŗltimos parches en sus laptopsā, seƱala.
El cambio cultural requiere que los CISOs lideren
Watts dice que los CISOs no deberĆan permitir que la crisis se desperdicie, pues la pandemia es una oportunidad para pasar mĆ”s tiempo con la junta, y hacer cosas que tal vez antes no se podĆan. “La pandemia ha obligado a varias compaƱĆas a adoptar tecnologĆas y procesos que antes no se requerĆan, o que no se planeaban adoptar a un ritmo o escala tan rĆ”pidosā, comenta. “Esto, a su vez, ha sido una gran oportunidad para demostrar que la ciberseguridad no es un bloqueador, sino una funciĆ³n que puede ayudar a la empresa a alcanzar sus objetivosā.
“Los buenos lĆderes de seguridad habrĆ”n aprovechado la inteligencia de amenazas cibernĆ©ticas para realizar sesiones informativas periĆ³dicas para la junta. Esto es algo que puede no haber ocurrido en algunas compaƱĆas antes de la pandemia, pero que deberĆa continuar en el futuroā, agrega Watts.
LEE TAMBIĆN: CĆ³mo mejorar con Akamai las prĆ”cticas de seguridad para mitigar los 10 principales riesgos
“Esperemos que la pandemia haya demostrado exactamente lo que es posible con la motivaciĆ³n y el enfoque correctos. Eso no quiere decir que todas las nuevas iniciativas deban abordarse de la misma manera que han sido tratadas recientemente, sino que es posible una buena comunicaciĆ³n y una toma de decisiones mĆ”s rĆ”pida y basada en el riesgo, cosa que abrirĆ” nuevas oportunidades para las empresasā.
Narezzi de WiseEnergy dice que, durante el inicio de la crisis, su compaƱĆa experimentĆ³ un aumento del 600% en intentos de ataque, principalmente a travĆ©s deĀ phishingĀ y otras estafas de ingenierĆa social. Sin embargo, ya habĆa implementado capacidades de trabajo desde el hogar, por lo que evitĆ³ la locura que muchas empresas enfrentaron al comienzo de la cuarentena. “Tuvimos mucha suerte. Comenzamos a planear trabajar desde cualquier lugar el aƱo pasado, asĆ que cuando llegĆ³ la crisis estĆ”bamos preparadosā.
A pesar de los preparativos, fue necesario el virus y la cuarentena para que el personal adopte las nuevas capacidades. Antes del coronavirus, los empleados seguĆan con las viejas formas de trabajar, a pesar de que la tecnologĆa permitĆa el trabajo remoto. “La parte mĆ”s difĆcil fue hacerlos trabajar desde la casaā, asegura Narezzi. “La compaƱĆa lo ofrecĆa, pero la gente no creĆa que pudiese hacerlo de forma remota. Luego llegĆ³ el coronavirus y no hubo otra opciĆ³n. Los resultados han sido muy positivosā.
Sin embargo, una vez que los empleados estĆ”n en casa, es posible que bajen la guardia. UnĀ nuevo estudio de TessianĀ sugiere que menos de la mitad de los empleados tienen menores probabilidades de participar en prĆ”cticas seguras de datos cuando estĆ”n trabajando desde casa. Si las organizaciones buscan que sus empleados sigan los procesos y polĆticas, los CISOs deberĆ”n inculcar una fuerte cultura de seguridad para mantenerse seguros desde sus casas.
Algunas organizaciones programan “reunionesāĀ diarias de toda la empresa donde los CISOs comparten consejos y sugerencias de seguridad para mantener a los empleados al tanto de los mensajes clave de seguridad. Incluso si estas reuniones no continĆŗan una vez que el personal comience a regresar a las oficinas, los CISOs deberĆan aprovechar su visibilidad ampliada para enviar recordatorios regulares sobre cĆ³mo mantenerse seguros.
Watts cree que la comunicaciĆ³n mĆ”s frecuente sobre seguridad cibernĆ©tica podrĆa impulsar la importancia de que los empleados asuman su responsabilidad para ayudar a mantener la seguridad de la empresa. “Este nuevo enfoque en la ciberseguridad tambiĆ©n ha ayudado a los empleados a darse cuenta de que son parte de la soluciĆ³nā, seƱala. “El llamado ‘firewall humano’ nunca ha sido tan importante como ahora, y creo que esto estĆ” comenzando a resonar mucho mĆ”s en las personas que antes de la pandemia, tanto en el lugar de trabajo como en el hogar, lo que solo puede ser algo bueno para la industriaā.
Repensar capacidades del talento en seguridad
La pandemia estĆ” empujando a las organizaciones a repensar quĆ© tecnologĆas y procesos son realmente crĆticos para el negocio. Narezzi predice que mĆ”s CISOs comenzarĆ”n a subcontratar operaciones de seguridad ahora que el coronavirus ha demostrado que la mayorĆa de los procesos pueden realizarse de forma remota. “Hoy en dĆa, uno compra tecnologĆa y luego tiene que comprar mano de obra para monitorear o controlar esa tecnologĆa. Las compaƱĆas que sĆ se prepararon para trabajar de forma remota y estĆ”n basadas en la nube, asignarĆ”n procesos digitalmente en diferentes paĆses para ahorrar costosā, indica. “No es necesario pagar el precio del Reino Unido por un SOC actualmente. ĀæPor quĆ© lo harĆa si puede obtener un precio aĆŗn mejor en MĆ©xico o en diferentes paĆses con menores costos?
Quaine de AvidXchange dice que la pandemia ha sido una oportunidad no solo para identificar y apuntalar procesos crĆticos y realinear recursos, sino tambiĆ©n para realizar el trabajo. “Lo que creo que el COVID ha hecho por nuestra organizaciĆ³n, es ampliar nuestra visiĆ³n sobre la capacidad de trabajar desde casa para un subconjunto de compaƱeros del equipo que no estĆ”bamos considerando. Esto nos abre oportunidades para contratar en lugares donde no estĆ”n nuestras oficinas. Podemos tener la capacidad de contratar a alguien, enviarle equipo y obtener el mejor talento en todo el paĆsā.
Sin embargo, si bien la pandemia fue una situaciĆ³n Ćŗnica, mostrĆ³ los beneficios de una comunicaciĆ³n regular con el personal remoto para garantizar que no se esfuercen demasiado y se arriesguen al agotamiento. “Tendemos a tener dĆas mĆ”s largos, creo, debido a la facilidad de uso y la falta de tiempo de viaje, por lo que soy muy atento con mi equipoā, seƱala Quaine. “Realizo un registro diario con ellos al final del dĆa para ver cĆ³mo estamos y cĆ³mo estĆ”n sus equipos, solo para asegurarme de que no se sientan completamente atrapados a la computadoraā.
“Al hablar con el equipo de manera diaria a travĆ©s de una llamada, siento que el equipo realmente ha cuajado, y no solo hablamos sobre seguridad de la informaciĆ³n, sino tambiĆ©n sobre quiĆ©n es Christina como personaā, agrega Quaine. “La gente establece una conexiĆ³n un poco mayor, lo que creo que es realmente genial para nuestra organizaciĆ³nā.
