Seguridad de los Sistemas Empresariales Críticos en tiempos de teletrabajo
Hoy son millones los trabajadores que a nivel global se ven obligados a trabajar desde sus casas y los equipos de TI están absolutamente desbordados afrontando nuevos desafíos técnicos todos los días.
Los departamentos de TI están yendo todo lo rápido que pueden aportando soluciones y desplegando las mismas, pero también improvisando: generando plataformas de acceso temporales (Web Site con Aplicaciones corporativas), desplegando o activando en sus sistemas perimetrales (FW, concentradores, etc.) las tan ansiadas VPN, para intentar habilitar grandes picos de sesiones de usuarios no habituales, y abriendo permisos adicionales a perfiles de usuarios para permitir el trabajo desde casa.
Todo esto genera muchos cambios en escaso tiempo, muchos planes, reorganizaciones de procesos, etc. con muchas dudas y en muchas ocasiones también con poca organización, al final ¡la urgencia manda! En este contexto, seguramente muchas empresas estén generando vulnerabilidades como nunca antes.
“Las personas que trabajan desde casa se distraen fácilmente, especialmente si normalmente están acostumbradas a trabajar en la oficina, y mezclarán el trabajo con correo electrónico personal y navegación web aumentando los riesgos en ciberseguridad. Así que ahora es un buen momento para advertir a la gente que sea extremadamente cautelosa”, dice Colin Bastable, CEO de la compañía de capacitación de seguridad Lucy Security.
Este es el momento para encender todas las alarmas sobre la seguridad de todos los sistemas empresariales y fundamentalmente del ERP, actualizando las políticas de seguridad de la información para que cubran las formas de mantener seguros todos los sistemas e información en medio de esta explosión del home office.
“Como equipo de seguridad, pierdes el control del entorno en el que trabaja el usuario”, dicen desde Red Canary. “¿Han asegurado el wifi de su casa? Si están usando una computadora personal, ¿qué mecanismos tiene para garantizar que el dispositivo no se vea comprometido? Esencialmente, el perímetro de su red ahora incluye todos los hogares de sus empleados. Algunos programas de seguridad están listos para esto, otros no”.
Es importante recordar que hay una gran cantidad de compañías que normalmente no permiten el teletrabajo y por ello no están preparados para los desafíos en ciberseguridad ante el COVID-19. “El gobierno, los servicios legales, los seguros, la banca y la atención médica son excelentes ejemplos de industrias que no están preparadas para este flujo masivo de trabajadores remotos”, advierte Sumir Karayi, CEO y fundador de 1E.
Sin lugar a dudas, el home office representa una de las mayores amenazas de seguridad hasta ahora conocida, por lo que los equipos de tecnología deben enfocarse, hoy más que nunca, en intensificar las pruebas de vulnerabilidad y penetración.
Deben diagnosticar los problemas y arreglarlos cuando antes sea posible. Deben enfocarse también en identificar mejoras de seguridad centradas en el ERP, incluidas las relacionadas con la autenticación de usuarios, la gestión de proveedores, el registro de seguridad, el monitoreo y las alertas.
La prevención de infracciones de seguridad también requiere que los equipos de IT y de seguridad de la información tomen medidas para garantizar que los activos críticos del ERP de la organización no estén más expuestos durante este tiempo. Esto requiere mucha educación y compromiso de los usuarios.
En este sentido, las gerencias ejecutivas deben liderar estos procesos y las áreas de Recursos Humanos deben definir políticas de comunicación interna y llevarlas a cabo lo más rápidamente posible para educar y comprometer a los colaboradores en la aplicación práctica de las nuevas políticas de seguridad del ERP y otros sistemas empresariales importantes. De esa forma, recibirán más atención y serán mejor recibidos que si se originan por los equipos de TI o de seguridad, como suele suceder en la mayoría de los casos.
En definitiva, mantener la seguridad de los sistemas empresariales y del ERP en tiempos de teletrabajo, dejó de ser una tarea del equipo de IT o de seguridad, y pasó a ser un compromiso de todos los miembros de la organización, lo que requiere un claro liderazgo de la dirección y las gerencias ejecutivas, para la correcta implementación de nuevas políticas de seguridad.
