La seguridad de la información en tiempos de COVID-19

En muy poco tiempo, el COVID-19 ha impactado de manera significativa sobre la economía global y las operaciones comerciales en todo el mundo, y Argentina no es la excepción. A medida que surja más información, el tema de discusión de varios empresarios líderes será la forma en que las compañías se volverán resilientes y cómo se adaptarán a tal impacto y se levantarán sin quebrarse. Junto con éste, los cambios que los líderes implementen para hacer frente a la crisis en curso podrían generar riesgos de privacidad, confidencialidad y seguridad de la información no intencionales, y ni mencionar el posible apartamiento al compliance regulatorio.

Nuestras rutinas diarias se están viendo afectadas, como así también las actividades que desarrollamos. Para los hackers, crackers y otros individuos malintencionados, quienes logran su cometido en este tipo de entorno, esto significa una nueva oportunidad para sacar provecho ante la falta de certezas y los cambios constantes. Sin embargo, lo que no se ha modificado es la responsabilidad de las organizaciones de proteger los datos y asegurar los sistemas para reducir el riesgo de una violación o acceso no autorizado a la información.

Los requerimientos regulatorios y demás estándares nacionales e internacionales gubernamentales y de la industria para proteger la información son igual de críticos que el día en que fueron implementados, y quizás aún más.  La adhesión a GDPR, CCPA, NYDFS, PCI DSS, COBIT, ISO 27000, ISO 27000, ISO 22301, CFIUS, HIPAA, HITRUST, SOX y estándares similares continúa siendo necesaria.

El riesgo para una organización podría aumentar si no se siguen los procesos implementados (ISO 27005) para ayudar a asegurar sistemas, proteger datos e información y mantener las operaciones diarias. El personal encargado de administrar los sistemas y el correspondiente entorno de datos necesita de soporte y asistencia continuos para poder llevar adelante su trabajo (ISO 20000).

De forma adicional a la complejidad de las operaciones diarias, las organizaciones se han visto obligadas a considerar opciones de trabajo remoto y teletrabajo para ralentizar la propagación del virus. Existen ciertas consideraciones técnicas para los trabajadores remotos, y la primera se refiere a los dispositivos utilizados para desarrollar sus actividades. Para las organizaciones que proveen laptops, esto no es generalmente un problema. No obstante, si sus empleados trabajan normalmente en la oficina, hacerlo a distancia puede presentar algunos desafíos adicionales desde el punto de vista del equipamiento y su conexión a los sitios y aplicaciones de la empresa.

No nos olvidemos: mantengamos comunicados a nuestra gente, a nuestras empresas y a nuestros clientes.

¿Cómo garantizarán las compañías el acceso remoto a sus sistemas y datos?

En todo el mundo las compañías han comenzado a establecer requerimientos de trabajo remoto para disminuir la probabilidad de propagación y el impacto sobre las operaciones comerciales. Debido al aumento de trabajadores remotos, las organizaciones deben asegurar el acceso a sus sistemas y datos para garantizar la transmisión segura de información personal. Las acciones detalladas a continuación pueden ayudar a asegurar el acceso remoto a los sistemas de las organizaciones:

  • Requerir conexiones seguras para acceder de manera remota a los sistemas de la compañía. Se debería hacer uso de una solución VPN para garantizar que la transmisión de datos se realiza de manera segura a través de redes públicas. Una práctica común en muchas organizaciones es el uso de autenticación de múltiples factores en conjunto con VPN para garantizar el acceso autorizado.

 

  • Requerir aplicaciones de comunicación (chat, conference, webinar, trabajo en equipo) para acceder, poderse comunicar y trabajar en equipo colaborativo. Se podrá hacer uso de alguna solución free o licenciada, personal o corporativa a los fines de compartir el trabajo en equipo colaborativo, conversando, compartiendo imágenes, documentos, pantallas, etc. Es fundamental que tenga varios canales de comunicación para ponerse en contacto con su personal, no sólo por correo electrónico, sino a través de SMS/WhatsApp/WeChat u otra herramienta local basada en teléfono seguro. No siempre puede confiar en que el correo electrónico funcionará para usted en estas situaciones de contingencia. Reunirse y trabajar virtualmente es fundamental en este momento, ¿qué tecnología está disponible para apoyar esto? Plataformas de Microsoft, de Google, permiten mantener los servicios clave disponibles para la colaboración virtual/reuniones y difusión privada o pública. Algunos de estos son: Skype, Skype Empresarial, Hangouts, Slack, Zoom, Google Classroom, Microsoft Teams, Webex, GoToMeeting, Microsoft Stream, etc.

 

  • Garantizar “horarios de cierre de sesión para conexiones en los sistemas de las compañías. Permitir que las conexiones remotas continúen abiertas indefinidamente hace que la ventana de disponibilidad para el acceso no autorizado sea mayor.

 

  • Garantizar horarios de cierre de puestos de trabajo para aquellos que fuesen remotos. Con el incremento de trabajadores y puestos de trabajo remotos, las compañías no podrán asegurar físicamente estas áreas. Al implementar horarios de cierre de puestos de trabajo, las compañías pueden reducir la disponibilidad de acceso no autorizado si un puesto de trabajo fuese desatendido de manera remota.

 

  • Requerir correo electrónico utilizando las soluciones distribuidas de la organización. Las organizaciones dependen mucho de las comunicaciones por correo electrónico y, en la mayoría de los casos, el correo electrónico corporativo está disponible de manera remota. Se les debe recordar a los empleados no realizar ninguna tarea laboral a través de cuentas de correo electrónico personales, mensajes de texto o aplicaciones de terceros que no son las administradas por la organización. Esta es una gran oportunidad para levantar el teléfono y hablar con la gente en vez de utilizar otros canales típicos de comunicación.
¿Cómo asegurarán las compañías los activos móviles?

Las compañías deberán pensar la forma de asegurar los puestos de trabajo móviles. A raíz de las capacidades de trabajo remoto, se deberá mantener la seguridad de una mayor cantidad de puestos de trabajo móviles provistos a los empleados. Los datos almacenados deberían ser encriptados. Los discos rígidos en los puestos de trabajo están generalmente encriptados para garantizar la confidencialidad de los datos. Solo para empezar.

Todos nos estamos adaptando a los cambios como resultado del COVID-19. Al acompañar y reforzar los procesos, procedimientos y soluciones de su organización, los cuales fueron implementados para proteger sus datos, el riesgo puede ser gestionado de mejor manera.

 

* El autor es Socio de API, BDO en Argentina.

Temas relacionados

Compartí tus comentarios

¿Querés dejar tu opinión? Registrate para comentar este artículo.
Nombre