[24/11/2022] La posibilidad de que los empleados trabajen a distancia conlleva muchas ventajas, desde un mejor equilibrio entre la vida laboral y la personal hasta la reducción de los gastos y el aumento de la productividad. Pero una fuerza de trabajo muy dispersa puede plantear algunos grandes retos para los equipos de seguridad, y uno de ellos es cómo afecta el trabajo remoto a la notificación de incidentes de seguridad. Con las empresas cada vez más acostumbradas a implantar tecnologías y procesos de seguridad mejor adaptados al trabajo masivo a distancia, la notificación de incidentes puede convertirse en un gran obstáculo.
Junto con la introducción y el mantenimiento de protocolos tales como el acceso a la identidad y las prácticas de autorización apropiadas para el trabajo remoto, los equipos de seguridad también deben revisar y ajustar sus políticas de notificación para reflejar la naturaleza del trabajo remoto o exponer a sus organizaciones a importantes amenazas de seguridad.
[Reciba lo último de CIO Perú suscribiéndose a nuestro newsletter semanal]
Tener una planilla remota puede crear una sobrecarga de incidentes de seguridad simplemente debido a la diversidad de redes creadas por una multitud de configuraciones domésticas o remotas de los usuarios, a diferencia de un entorno de oficina en el que todo el mundo está en la misma red, señala el analista senior de Forrester, Paddy Harrington. "Una cosa es gestionar 12 redes porque tienes 12 oficinas, pero si tienes mil empleados, 900 de los cuales son remotos, tiene 912 redes de las que preocuparse. Esto significa que los incidentes, incluidos los que se notifican, van a variar mucho más porque la red doméstica de cada uno es diferente". Y eso puede llevar a la fatiga de las alertas para los equipos de seguridad si solo se informa de una fracción de los incidentes, agrega Harrington.
Nuevos retos para la notificación de incidentes
Los factores operativos, de comportamiento y tecnológicos pueden impactar en la notificación de incidentes de ciberseguridad para una fuerza de trabajo remota, introduciendo un nuevo conjunto de desafíos centrados principalmente en la comunicación y la colaboración, anota Austin Wolf, analista de seguridad de la información del personal en Code42. "¿Se comunica a través de Slack o Teams, o por correo electrónico? ¿Toma el teléfono y llama a alguien? ¿Cómo se mantiene a todos los involucrados en el incidente en la misma página? Cuando se produce un incidente, los equipos necesitan trabajar en estrecha colaboración, y acorralar a su equipo en un entorno remoto es a veces más difícil que simplemente reunirse alrededor de la pantalla de la computadora de alguien".
Según Taharka Beamon, gerente de SOC en Reed Exhibitions, los empleados en entornos de oficina tradicionales suelen utilizar el servicio de asistencia local como primer punto de contacto para informar sobre incidentes, "y muchas personas prefieren visitar al personal de TI en persona para explicar un comportamiento inesperado o potencialmente malicioso en su computadora".
Esto se convierte en un problema si un sistema remoto se ve comprometido y el empleado no puede utilizarlo para informar de que está experimentando un incidente, ni puede caminar por el pasillo hasta la oficina de soporte de TI más cercana, añade Jason Hicks, CISO de campo en Coalfire.
Sin unos canales de comunicación cómodos y fáciles de usar e instrucciones para todas las eventualidades, es probable que las empresas sufran las consecuencias de una notificación deficiente por parte de los trabajadores que se encuentran fuera de la oficina, que pueden retrasar y luego olvidar por completo la notificación de un posible incidente de seguridad, afirma Jonathan Wrolstad, director senior de inteligencia de amenazas de ExtraHop. También entran en juego los diferentes husos horarios de los trabajadores más dispersos, lo que puede provocar retrasos en los informes y en los tiempos de respuesta, afirma Mirza Silajdzic, analista de ciberseguridad de VPNOverview.
El trabajo a distancia influye en el comportamiento de los empleados en materia de seguridad
El trabajo a distancia también influye y cambia el comportamiento y la concientización del personal en torno a la ciberseguridad, lo que puede repercutir en la notificación de incidentes, afirma Richard Jones, CISO global de Orange Cyberdefense. "Los entornos formales, como una oficina con estructura y organización, proporcionan a los empleados una rutina establecida y límites claros sobre lo que está relacionado con el trabajo y lo que no. Si se elimina este perímetro, puede resultar difícil mantener el elemento humano vital de la protección de la seguridad, ya que las personas se adaptan a su entorno, y sus responsabilidades se difuminan cuando trabajan desde casa". Por tanto, lo que el personal puede pensar que es un incidente de seguridad seguirá cambiando con el tiempo, sostiene Jones.
"La falta de conexión mental o física con una oficina puede hacer que los empleados se sientan tentados a restarle importancia a una posible infracción, y a no apreciar del todo la relevancia o la aplicación de las políticas corporativas en el entorno doméstico", afirma Keiron Holyome, vicepresidente de Blackberry en el Reino Unido, Europa del Este, Oriente Medio y África. Los usuarios remotos pueden incluso ser más reacios a informar de un incidente de seguridad debido a un sentimiento de vergüenza, señala. "La vergüenza cibernética -una reticencia a informar de una brecha debido a la vergüenza o el miedo a las consecuencias- puede significar que las amenazas potenciales se ignoran o se entienden".
La notificación y respuesta a incidentes de seguridad basados en sistemas y puntos finales también puede verse afectada negativamente por el trabajo remoto, afirma Immanuel Chavoya, experto en detección de amenazas emergentes de SonicWall. "Por ejemplo, si el sistema marca la máquina de un usuario por una intrusión de malware, puede haber cierto retraso en que el equipo de seguridad pueda realizar las actualizaciones necesarias, mientras que, en persona, el ingeniero de seguridad puede acceder inmediatamente al dispositivo y tomar las medidas necesarias".
Uno de los principales retos de seguridad para una empresa con trabajadores remotos es la incapacidad de ver todos los puntos finales del sistema, lo que inhibe el funcionamiento de la detección de seguridad básica necesaria para informar y responder, añade Chavoya. "Los puntos finales se vuelven dispares en su ubicación cuando se accede a ellos de forma remota, lo que interrumpe la conexión con la infraestructura corporativa y, en última instancia, conduce a un aumento potencial del tiempo medio para detectar la actividad maliciosa, y el tiempo medio para resolver el incidente de seguridad".
Informes deficientes = pérdida de confianza de los clientes
Los riesgos de un proceso de notificación obstaculizado por el trabajo a distancia son significativos. Cuando los incidentes no se reportan, los reportes se retrasan/comunican mal o se dificultan las acciones/respuestas de seguimiento, puede dejar vulnerabilidades expuestas y/o ganar tiempo a los atacantes en el sistema para infiltrarse en más de la red antes de que el equipo de seguridad pueda detectar y contener las amenazas y la actividad maliciosa, advierte Chavoya. Esto no solo puede agravar la gravedad de los incidentes y ataques, sino que también puede dañar tanto la reputación de una empresa como su capacidad para cumplir ciertas normativas de protección de datos que estipulan reglas estrictas en torno a la divulgación. Esto podría llevar a la pérdida de confianza de los clientes y a importantes sanciones económicas.
Por lo tanto, es primordial que los equipos de seguridad actualicen sus políticas y procesos de información para tener en cuenta las implicaciones de seguridad del trabajo a distancia. "La tendencia al trabajo en casa y al trabajo híbrido ha llegado para quedarse, por lo que es increíblemente peligroso que los equipos de seguridad se basen en políticas y procesos diseñados para una época pasada en la que la mayoría de los empleados, si no todos, estaban en un entorno de oficina controlado", afirma Holyome. Sin embargo, los equipos deben enfocar las nuevas estrategias con cuidado para no introducir mayores amenazas, añade. "Con los recursos ya agotados por el aumento de la frecuencia y la complejidad de la actividad cibernética, la presión adicional sobre el tiempo y las habilidades para desplegar las políticas a través de una fuerza de trabajo distribuida -incluyendo la adaptación de la educación y la aplicación de las políticas entre los empleados remotos- puede en sí misma crear vulnerabilidades y riesgos".
Tener en cuenta el nivel de amenaza
Por último, los equipos de seguridad también deben considerar cómo priorizar la notificación y la respuesta a los incidentes en función de los niveles de amenaza del trabajo remoto. "Debe prestarse una atención renovada a ciertas partes de la infraestructura de las organizaciones, en particular a las VPN, que han sido utilizadas durante décadas por muchas organizaciones, pero que han cobrado mayor importancia ya que ahora un gran porcentaje de empleados confía en ellas diariamente para acceder a las redes y recursos corporativos", afirma Beamon. "Por lo tanto, las VPN deben mantener la disponibilidad mientras los equipos de seguridad se aseguran de que cualquier vulnerabilidad se remedie rápidamente para mantener la confidencialidad e integridad de los datos. Para los equipos internos, una vulnerabilidad o un incidente notificado relacionado con la VPN y la conectividad de red remota debe tener un nivel de prioridad elevado".
Wolf cree que también es necesario prestar más atención a las diferencias entre los incidentes de seguridad internos y externos. "Es importante diferenciar si se trata de un incidente de seguridad interno o externo porque el enfoque para investigar a los empleados no sería el mismo que el de las amenazas externas".
Basado en el artículo de Michael Hill (CSO) y editado por CIO Perú
Puede ver también: