Covid 19: LOS CIBER DELINCUENTES SE APROVECHAN DE LA PANDEMIA
Los ciberdelincuentes están aprovechando el COVID-19 como señuelo para lanzar ciberataques mediante campañas de spam, correos con phishing o con adjuntos maliciosos
¿Ciberseguridad en el teletrabajo? el Covid-19 nos ha pillado sin preparar
· El riesgo no es solo que puedan robarnos la información personal o corporativa, dinero o identidad digital, sino poner a toda la red de nuestra compañía en peligro
· Con el teletrabajo y el COVID-19 no hay perímetro; todo es campo abierto. El riesgo está en las redes domésticas que se están utilizando
· Cambios como trabajar en equipo y en remoto han venido para quedarse. Muchas empresas sin planes en este sentido los han implantado en un par de semanas y se ha producido mayor concienciación
Abril 2020: ¿Cómo está respondiendo el tejido laboral y empresarial en España al teletrabajo? ¿Estábamos preparados para ello? La respuesta es no, según los expertos en materia de ciberseguridad que participaron en el webinar organizado por la Alianza Española de Seguridad y Crisis (aesYc) y el Consejo General de Economistas de España.
A través de webinar presentado por Pablo Blanco, coordinador académico de aesYc, Joaquim Altafaja, auditor Infomático, IT Advisory Partners SL, y tesorero de ISACA Barcelona, Pablo Montoliu, Chief Information & Innovation Officer en Aon, y profesor de aesYc, Francisco Pérez Bes, Partner of Digital Law at Ecix Group, Socio, y profesor de aesYc y Antonio Ramos, CEO de Leet Security y también profesor de aesYc, estuvieron de acuerdo en afirmar que los ciberdelincuentes están aprovechando el COVID-19 como señuelo para lanzar ciberataques. Lo hacen mediante campañas de spam, mensajes de correo electrónico fraudulentos que suplantan la identidad de terceros, así como e-mails con adjuntos maliciosos que pueden ocasionar grandes riesgos tanto para las compañías como para la vida personal de los trabajadores.
Como expertos, los participantes explicaron que el riesgo no es solo que puedan robarnos la información personal o corporativa, o incluso nuestro dinero o nuestra identidad digital, sino que también pueden comprometer los equipos informáticos y poner a toda la red de nuestra compañía en peligro. En esta situación de teletrabajo extensivo existen riesgos de ciberseguridad debido a la tendencia a bajar la guardia al sentirnos seguros en nuestros hogares y el aumento de confianza al pasar más horas conectados. Todo esto desemboca en que poseemos una mayor exposición al cibercrimen bajo un entorno más vulnerable al habitual, bajo el punto de vista de conexiones domésticas.
Según explicó Antonio Ramos, “el estar conectado con equipos de casa, que también usa la familia, aumenta el grado de exposición a ataques derivados de terceros. Las empresas que tenían una plataforma estable ahora se encuentran con que se trabaja desde redes que no controlan se incrementan los riesgos”.
Entornos inseguros y perímetros sin control
Esos entornos inseguros se acotaban en las empresas, como definió Joaquín Altafaja, “porque en la oficina teníamos el perímetro delimitado, que se empezó a abrir hace unos años con el móvil y los portátiles. Con el teletrabajo y el Covid no hay perímetro; todo es campo abierto. Los directores de seguridad no tenemos control de con qué redes se están conectando los trabajadores, lo que supone unos riesgos brutales”.
Altafaja aseguró que ya se tenían estadísticas de ataques y malwares, pero que cuando se vea el total, las cifras de cómo se conectan a la red corporativa serán muy amplias. También advirtió del riesgo económico que supone el teletrabajo; “los trabajadores pedirán cuentas a las compañías, porque ponen Adsl, electricidad y su propio movil para trabajar. Al final los Comités de Empresa podrían pedir que estos costes reviertan en beneficio del trabajador. Esos costes terminarán sumando y puede suponer mucho dinero”.
¿Están las empresas preparadas para esto?
Según Antonio Ramos “fundamentalmente no. No solo por tecnología. Culturalmente el tema presencial es importante en España y a la pequeña y mediana empresa le ha pillado con el pie cambiado. Muchas tendrán problemas para asumir este proceso. La mayoría no trabajan en la nube y solo un 20% de las empresas tenían tabulado los parámetros a seguir para realizar teletrabajo”.
Ante esta reflexión, Pablo Montoliu apuntó que la actual crisis sanitaria “puede ser una oportunidad para que se avance en el teletrabajo” y puso el ejemplo de USA “donde ya se teletrabaja los viernes. Aquí hay que hacérselo mirar de la misma manera”. También aseguró que “las empresas españolas no están preparadas para teletrabajar y asumen grandes factores de riesgo por ello con esta crisis. Cuando la ciberseguridad no se incluye desde el diseño y se deja para última hora, como las empresas que lo han montado desde cero por el confinamiento, puede tener grandes problemas.
En cuanto a los aspectos legales de esta nueva manera de trabajar, Francisco Pérez explicó que “Hay que comportarse en internet como en el mundo físico y ser consciente de los riesgos. La empresa debería encargarse de que exista concienciación, formación y de actuar con diligencia, llevar acciones de contención como contraseñas más robustas, cifrados, etc. Todas cuestiones que se recogen en el RGPD y la directiva NIS” a lo que Joaquín Altafaja apostilló que los tres aspectos cuidar y tener en cuenta son la identidad, el dato y las aplicaciones que soportan ese dato. Hay que centrarse en el cumplimiento de los principios básicos de la seguridad de la información. Asegurar la copia de seguridad separada del sistema principal es básico”.
¿Qué hacer para protegerse?
Además del análisis de impacto antes, los expertos recomendaron diseñar políticas que permiten al empleado saber cómo debe actuar, restringir accesos, actualizar software, limitar las descargas o autorizar las que deban realizase, acreditar que las medidas se han implementado, que están funcionando y poder demostrárselo a la autoridad reguladora que es así.
El empresario debe asegurarse que actuar con diligencia para poder acreditar que hace lo que la normativa quiere si se produce un incidente, saber así si debe contactar con el regulador o con fiscalía, establecer políticas que aseguren la continuidad del negocio si hay un incidente de seguridad, tener también una estrategia de comunicación en las gestión de crisis y tener a mano su póliza de seguro para esta materia. Las grandes empresas que ya tienen una póliza de ciberriesgos hechas a medida. En las empresas más pequeñas, que no son tan previsoras, el mercado de seguros en España no está maduro para ellas.
Para Pablo Montoliu, cuando acabe esta crisis del COVID 19 “va a haber una nueva normalidad, quizá soy muy positivo, porque alguno de estos cambios, como trabajar en equipo y en remoto, han venido para quedarse. Muchas empresas sin planes en este sentido los han implantado en un par de semanas y se ha producido mayor concienciación”.
Covid 19: LOS CIBER DELINCUENTES SE APROVECHAN DE LA PANDEMIA (Imagen:Cedida) https://t.co/TbEgEmJFwL pic.twitter.com/F52dLQ1YoV
— AnaGT Creativos (@anagtcreativos) April 23, 2020
A través de webinar presentado por Pablo Blanco, coordinador académico de aesYc, Joaquim Altafaja, auditor Infomático, IT Advisory Partners SL, y tesorero de ISACA Barcelona, Pablo Montoliu, Chief Information & Innovation Officer en Aon, y profesor de aesYc, Francisco Pérez Bes, Partner of Digital Law at Ecix Group, Socio, y profesor de aesYc y Antonio Ramos, CEO de Leet Security y también profesor de aesYc, estuvieron de acuerdo en afirmar que los ciberdelincuentes están aprovechando el COVID-19 como señuelo para lanzar ciberataques. Lo hacen mediante campañas de spam, mensajes de correo electrónico fraudulentos que suplantan la identidad de terceros, así como e-mails con adjuntos maliciosos que pueden ocasionar grandes riesgos tanto para las compañías como para la vida personal de los trabajadores.
Como expertos, los participantes explicaron que el riesgo no es solo que puedan robarnos la información personal o corporativa, o incluso nuestro dinero o nuestra identidad digital, sino que también pueden comprometer los equipos informáticos y poner a toda la red de nuestra compañía en peligro. En esta situación de teletrabajo extensivo existen riesgos de ciberseguridad debido a la tendencia a bajar la guardia al sentirnos seguros en nuestros hogares y el aumento de confianza al pasar más horas conectados. Todo esto desemboca en que poseemos una mayor exposición al cibercrimen bajo un entorno más vulnerable al habitual, bajo el punto de vista de conexiones domésticas.
Según explicó Antonio Ramos, “el estar conectado con equipos de casa, que también usa la familia, aumenta el grado de exposición a ataques derivados de terceros. Las empresas que tenían una plataforma estable ahora se encuentran con que se trabaja desde redes que no controlan se incrementan los riesgos”.
Entornos inseguros y perímetros sin control
Esos entornos inseguros se acotaban en las empresas, como definió Joaquín Altafaja, “porque en la oficina teníamos el perímetro delimitado, que se empezó a abrir hace unos años con el móvil y los portátiles. Con el teletrabajo y el Covid no hay perímetro; todo es campo abierto. Los directores de seguridad no tenemos control de con qué redes se están conectando los trabajadores, lo que supone unos riesgos brutales”.
Altafaja aseguró que ya se tenían estadísticas de ataques y malwares, pero que cuando se vea el total, las cifras de cómo se conectan a la red corporativa serán muy amplias. También advirtió del riesgo económico que supone el teletrabajo; “los trabajadores pedirán cuentas a las compañías, porque ponen Adsl, electricidad y su propio movil para trabajar. Al final los Comités de Empresa podrían pedir que estos costes reviertan en beneficio del trabajador. Esos costes terminarán sumando y puede suponer mucho dinero”.
¿Están las empresas preparadas para esto?
Según Antonio Ramos “fundamentalmente no. No solo por tecnología. Culturalmente el tema presencial es importante en España y a la pequeña y mediana empresa le ha pillado con el pie cambiado. Muchas tendrán problemas para asumir este proceso. La mayoría no trabajan en la nube y solo un 20% de las empresas tenían tabulado los parámetros a seguir para realizar teletrabajo”.
Ante esta reflexión, Pablo Montoliu apuntó que la actual crisis sanitaria “puede ser una oportunidad para que se avance en el teletrabajo” y puso el ejemplo de USA “donde ya se teletrabaja los viernes. Aquí hay que hacérselo mirar de la misma manera”. También aseguró que “las empresas españolas no están preparadas para teletrabajar y asumen grandes factores de riesgo por ello con esta crisis. Cuando la ciberseguridad no se incluye desde el diseño y se deja para última hora, como las empresas que lo han montado desde cero por el confinamiento, puede tener grandes problemas.
En cuanto a los aspectos legales de esta nueva manera de trabajar, Francisco Pérez explicó que “Hay que comportarse en internet como en el mundo físico y ser consciente de los riesgos. La empresa debería encargarse de que exista concienciación, formación y de actuar con diligencia, llevar acciones de contención como contraseñas más robustas, cifrados, etc. Todas cuestiones que se recogen en el RGPD y la directiva NIS” a lo que Joaquín Altafaja apostilló que los tres aspectos cuidar y tener en cuenta son la identidad, el dato y las aplicaciones que soportan ese dato. Hay que centrarse en el cumplimiento de los principios básicos de la seguridad de la información. Asegurar la copia de seguridad separada del sistema principal es básico”.
¿Qué hacer para protegerse?
Además del análisis de impacto antes, los expertos recomendaron diseñar políticas que permiten al empleado saber cómo debe actuar, restringir accesos, actualizar software, limitar las descargas o autorizar las que deban realizase, acreditar que las medidas se han implementado, que están funcionando y poder demostrárselo a la autoridad reguladora que es así.
El empresario debe asegurarse que actuar con diligencia para poder acreditar que hace lo que la normativa quiere si se produce un incidente, saber así si debe contactar con el regulador o con fiscalía, establecer políticas que aseguren la continuidad del negocio si hay un incidente de seguridad, tener también una estrategia de comunicación en las gestión de crisis y tener a mano su póliza de seguro para esta materia. Las grandes empresas que ya tienen una póliza de ciberriesgos hechas a medida. En las empresas más pequeñas, que no son tan previsoras, el mercado de seguros en España no está maduro para ellas.
Para Pablo Montoliu, cuando acabe esta crisis del COVID 19 “va a haber una nueva normalidad, quizá soy muy positivo, porque alguno de estos cambios, como trabajar en equipo y en remoto, han venido para quedarse. Muchas empresas sin planes en este sentido los han implantado en un par de semanas y se ha producido mayor concienciación”.