A medida que las restricciones se aligeran, los CISOs evalúan cómo seguirán operando sus equipos para mantener la seguridad de los empleados y de los activos empresariales.
Por: Dan Swinhoe, CSO.
¿Qué sigue para los CISOs? Lo predecible es que aumente la demanda de apoyo y soporte a mayor cantidad de empleados que seguirán trabajando desde casa. Según un informe publicado en abril por (ISC)2, el 96% de las organizaciones ha trasladado parte de su personal al trabajo remoto, y casi la mitad de estas empresas ha desplazado a todos los empleados, “todos”, fuera de la oficina.
La crisis también es una oportunidad para repensar la estrategia y los planes generales de seguridad, incluidas las opciones tecnológicas, la colaboración con la empresa, y la educación y capacitación en seguridad.
El trabajo remoto será permanente para algunos trabajadores
Una encuesta de Gartner encontró que tres cuartos de las empresas esperan que al menos un 5% de la fuerza laboral que previamente trabajó en las oficinas de la compañía, se convertirán en empleados permanentes de trabajo desde casa después de que termine la pandemia. Rafael Narezzi, CIO/CISO de la firma de gestión de activos de energía renovable WiseEnergy predice que esto tendrá un efecto a largo plazo en la huella física de las empresas, lo que significará efectos a largo plazo en la forma en que los CISOs manejan a las personas. “Cuando regresemos, todo será diferente y no creo que la oficina vaya a tener demanda”, señala. “Mi empresa [estaba buscando] expandirse a una oficina más grande, y ahora se preguntan si necesitamos una oficina grande”.
Narezzi cree que poder hacer una transición rápida de la empresa hacia el trabajo remoto debido a que las disposiciones ya estaban en su lugar no solo justifica el gasto pasado, sino que también puede ayudar a fortalecer los argumentos futuros. “Mi equipo ha estado trabajando duro durante un año para hacer la transición de todo y poder trabajar en cualquier lugar, en todas partes. La empresa reconoce que todo el dinero que solicitamos -para proteger la empresa, para permitir que la empresa trabaje en cualquier lugar, en todas partes- ha logrado los resultados y el retorno de la inversión está justificado”.
Desafíos del teletrabajo para la seguridad a largo plazo
“Algunas personas querrán regresar a la oficina tan pronto como sea seguro; otros querrán continuar adoptando la libertad y la flexibilidad que puede proporcionar el trabajo remoto”, comenta Ste Watts, jefe de seguridad cibernética de la firma de gestión de patrimonio Rathbone Brothers. “Esto abrirá consideraciones a largo plazo para los equipos de ciberseguridad y riesgo, como la impresión remota, el uso de equipos personales para acceder a las redes de la empresa y la seguridad física de los lugares de trabajo remotos, por nombrar algunos”.
Un informe de Dimensional Research encontró que más de la mitad de las organizaciones han comenzado a identificar nuevas herramientas para abordar el entorno post COVID-19 y el 42% está invirtiendo en capacitación del personal en las nuevas habilidades requeridas para adaptarse a la nueva normalidad. Sin embargo, a pesar de estos grandes riesgos, el estudio de impacto del COVID-19 de CIO sugiere que la transformación digital y la experiencia del usuario son prioridades más altas que la seguridad para los CIOs. Es probable que los CISOs tengan que trabajar duro con la empresa para garantizar que la seguridad se tome en serio de ahora en adelante.
“Un buen equipo de liderazgo reconoce que estos escenarios causan riesgos adicionales, y que ceder donde sea necesario es un esfuerzo colaborativo entre los equipos de liderazgo y el equipo de ciberseguridad”, señala Watts. “Las empresas deberán lograr el equilibrio adecuado entre capitalizar los beneficios y garantizar que esto ocurra dentro de los límites del riesgo aceptable, utilizando el apetito de riesgo acordado por la empresa como una barrera de protección”.
LEE TAMBIÉN: Potencia tu negocio a través de una mejor seguridad
Aun así, los CISOs necesitarán garantizar un proceso robusto para enviar parches a dispositivos que rara vez, si es que alguna vez, se conectan a la red corporativa. Si bien la compañía duplicó su ancho de banda de VPN anticipándose a una carga adicional, la startup de pagos B2B, AvidXchange, también usa Office 365. Así, la CISO de la compañía, Christina Quaine, comunicó a los usuarios que debían conectarse regularmente a través de la VPN para recibir parches para los dispositivos corporativos. “Hay muchas personas que no necesariamente necesitan iniciar sesión en la VPN, pero si no se conectan a la red, no recibirán los últimos parches en sus laptops”, señala.
El cambio cultural requiere que los CISOs lideren
Watts dice que los CISOs no deberían permitir que la crisis se desperdicie, pues la pandemia es una oportunidad para pasar más tiempo con la junta, y hacer cosas que tal vez antes no se podían. “La pandemia ha obligado a varias compañías a adoptar tecnologías y procesos que antes no se requerían, o que no se planeaban adoptar a un ritmo o escala tan rápidos”, comenta. “Esto, a su vez, ha sido una gran oportunidad para demostrar que la ciberseguridad no es un bloqueador, sino una función que puede ayudar a la empresa a alcanzar sus objetivos”.
“Los buenos líderes de seguridad habrán aprovechado la inteligencia de amenazas cibernéticas para realizar sesiones informativas periódicas para la junta. Esto es algo que puede no haber ocurrido en algunas compañías antes de la pandemia, pero que debería continuar en el futuro”, agrega Watts.
LEE TAMBIÉN: Cómo mejorar con Akamai las prácticas de seguridad para mitigar los 10 principales riesgos
“Esperemos que la pandemia haya demostrado exactamente lo que es posible con la motivación y el enfoque correctos. Eso no quiere decir que todas las nuevas iniciativas deban abordarse de la misma manera que han sido tratadas recientemente, sino que es posible una buena comunicación y una toma de decisiones más rápida y basada en el riesgo, cosa que abrirá nuevas oportunidades para las empresas”.
Narezzi de WiseEnergy dice que, durante el inicio de la crisis, su compañía experimentó un aumento del 600% en intentos de ataque, principalmente a través de phishing y otras estafas de ingeniería social. Sin embargo, ya había implementado capacidades de trabajo desde el hogar, por lo que evitó la locura que muchas empresas enfrentaron al comienzo de la cuarentena. “Tuvimos mucha suerte. Comenzamos a planear trabajar desde cualquier lugar el año pasado, así que cuando llegó la crisis estábamos preparados”.
A pesar de los preparativos, fue necesario el virus y la cuarentena para que el personal adopte las nuevas capacidades. Antes del coronavirus, los empleados seguían con las viejas formas de trabajar, a pesar de que la tecnología permitía el trabajo remoto. “La parte más difícil fue hacerlos trabajar desde la casa”, asegura Narezzi. “La compañía lo ofrecía, pero la gente no creía que pudiese hacerlo de forma remota. Luego llegó el coronavirus y no hubo otra opción. Los resultados han sido muy positivos”.
Sin embargo, una vez que los empleados están en casa, es posible que bajen la guardia. Un nuevo estudio de Tessian sugiere que menos de la mitad de los empleados tienen menores probabilidades de participar en prácticas seguras de datos cuando están trabajando desde casa. Si las organizaciones buscan que sus empleados sigan los procesos y políticas, los CISOs deberán inculcar una fuerte cultura de seguridad para mantenerse seguros desde sus casas.
Algunas organizaciones programan “reuniones” diarias de toda la empresa donde los CISOs comparten consejos y sugerencias de seguridad para mantener a los empleados al tanto de los mensajes clave de seguridad. Incluso si estas reuniones no continúan una vez que el personal comience a regresar a las oficinas, los CISOs deberían aprovechar su visibilidad ampliada para enviar recordatorios regulares sobre cómo mantenerse seguros.
Watts cree que la comunicación más frecuente sobre seguridad cibernética podría impulsar la importancia de que los empleados asuman su responsabilidad para ayudar a mantener la seguridad de la empresa. “Este nuevo enfoque en la ciberseguridad también ha ayudado a los empleados a darse cuenta de que son parte de la solución”, señala. “El llamado ‘firewall humano’ nunca ha sido tan importante como ahora, y creo que esto está comenzando a resonar mucho más en las personas que antes de la pandemia, tanto en el lugar de trabajo como en el hogar, lo que solo puede ser algo bueno para la industria”.
Repensar capacidades del talento en seguridad
La pandemia está empujando a las organizaciones a repensar qué tecnologías y procesos son realmente críticos para el negocio. Narezzi predice que más CISOs comenzarán a subcontratar operaciones de seguridad ahora que el coronavirus ha demostrado que la mayoría de los procesos pueden realizarse de forma remota. “Hoy en día, uno compra tecnología y luego tiene que comprar mano de obra para monitorear o controlar esa tecnología. Las compañías que sí se prepararon para trabajar de forma remota y están basadas en la nube, asignarán procesos digitalmente en diferentes países para ahorrar costos”, indica. “No es necesario pagar el precio del Reino Unido por un SOC actualmente. ¿Por qué lo haría si puede obtener un precio aún mejor en México o en diferentes países con menores costos?
Quaine de AvidXchange dice que la pandemia ha sido una oportunidad no solo para identificar y apuntalar procesos críticos y realinear recursos, sino también para realizar el trabajo. “Lo que creo que el COVID ha hecho por nuestra organización, es ampliar nuestra visión sobre la capacidad de trabajar desde casa para un subconjunto de compañeros del equipo que no estábamos considerando. Esto nos abre oportunidades para contratar en lugares donde no están nuestras oficinas. Podemos tener la capacidad de contratar a alguien, enviarle equipo y obtener el mejor talento en todo el país”.
Sin embargo, si bien la pandemia fue una situación única, mostró los beneficios de una comunicación regular con el personal remoto para garantizar que no se esfuercen demasiado y se arriesguen al agotamiento. “Tendemos a tener días más largos, creo, debido a la facilidad de uso y la falta de tiempo de viaje, por lo que soy muy atento con mi equipo”, señala Quaine. “Realizo un registro diario con ellos al final del día para ver cómo estamos y cómo están sus equipos, solo para asegurarme de que no se sientan completamente atrapados a la computadora”.
“Al hablar con el equipo de manera diaria a través de una llamada, siento que el equipo realmente ha cuajado, y no solo hablamos sobre seguridad de la información, sino también sobre quién es Christina como persona”, agrega Quaine. “La gente establece una conexión un poco mayor, lo que creo que es realmente genial para nuestra organización”.