Por: Diego Espitia CSA de ElevenPaths, experto en ciberseguridad. @dsespitia
Las empresas medianas y grandes que deben cumplir normas y controles de su industria o de su país, han tenido que desarrollar lo que se conoce como Business Continuity Plan, BCP, también conocido como plan de continuidad del negocio.
Allí expertos en el funcionamiento de cualquier organización o consultores especializados, determinan la ruta de acción que se debe tomar en diferentes escenarios donde la continuidad del negocio se vea amenazada. También, muchas empresas pequeñas han tenido que implementarlos para poder hacer negocios con las compañías que por norma la deben solicitar.
Esto surge después de los ataques del 11 de noviembre del 2001, cuando se evidenció que muchas empresas no sabían cómo reaccionar en caso de que su sede principal se viera bloqueada, por lo que se plantean escenarios de calamidad sobre un aspecto del negocio o sobre todo el negocio, buscando como serían las alternativas para suplir esa falta por un periodo de tiempo.
En algunos de estos planes se tienen en cuenta terremotos, maremotos, cierres al acceso por circunstancias sociales, entre otros. Pero ¿hace un año cuantas empresas habían contemplado una pandemia dentro de las posibles causas de bloqueo del negocio?
No muchas la tenían en cuenta, siendo el primer problema para saber cómo actuar ante la situación generada por el Covid-19. Pero este es el más simple de los problemas que se vienen, pues se podría tomar alguno de los planteamientos que se realizaron para catástrofes naturales o bloqueos de acceso a las sedes principales, con la gran variante, que tras un año, aún no sabemos con exactitud cuándo se puede retornar.
El reto es saber desde la parte de tecnología y seguridad que debería tener ese plan de continuidad ante una pandemia. Para ello hay que empezar por las cosas que se debieron haber hecho previamente para estar preparados.
Es fundamental prever mediante un piloto cómo reaccionan los empleados y servicios al teletrabajo, pues si bien al usar una Virtual Private Network, VPN que permite simular que el trabajador está directamente conectado a la red de la empresa, no necesariamente los servicios y la red están preparados para recibir peticiones desde esa conexión.
Y con el comportamiento que se puede evidenciar en Internet, al realizar validaciones de los servicios expuestos, se ve un crecimiento de más del 40% en el uso de Remote Desktop Protocol, RDP, como lo muestra Shodan en su blog. Donde al hacer una búsqueda simple se encuentran equipo con vulnerabilidades conocidas.
Si bien no todas las empresas cuentan con la tecnología necesaria para desplegar la cantidad de VPN suficientes para que toda la organización se conecte a hacer trabajo remoto, esto es algo que se debería haber tenido en cuenta para evitar que en este momento donde la crisis obliga a hacer teletrabajo, se expongan servicios así de vulnerables. Para lo que existen muchas comparaciones y ayudas en Internet, que permiten tomar decisiones seguras que se acomoden al presupuesto.
En segundo lugar, las empresas deben conocer que tienen expuesto en Internet y como es el comportamiento habitual del uso de estos servicios, pues solo con estos datos de base, es posible identificar cuando el uso desde redes externas está superando las capacidades que se tienen de cada uno o cuando están siendo víctimas de un ataque cibernético.
Teniendo claros los servicios expuestos se pueden empezar a tomar medidas de seguridad de la información, medidas que se deben activar en el momento de empezar el plan de continuidad, es decir, que en este momento ya deberían estar en pleno funcionamiento y en ajustes.
Estas medidas deben estar orientadas a la identificación plena de los usuarios, debido a que al estar todos en teletrabajo, no se tienen las medidas de identificación locales, como la red, la Media Access Control, MAC del equipo y la configuración del mismo. Sino que en la mayoría de casos solo se tiene como control el usuario y la contraseña, que ha demostrado no ser un mecanismo que garantice la identificación.
Una vez se tiene este control, se debe iniciar el monitoreo de los sucesos en todos los servicios y tener alertas afinadas para la detección de amenazas externas, pues en este momento todas conexiones se realizaran fuera de la red de la empresa, por lo que todos los controles de seguridad perimetral, deben pasar a lo que se calculó en los planes de continuidad.
La última medida que debe estar contemplada en este plan de continuidad es de las herramientas tecnológicas a usar para el control de las operaciones y el trabajo de los diferentes grupos de la empresa, que además deben contar con capacitaciones realizadas al personal y para lo cual es fundamental contar con aliados estratégicos en el mundo de la tecnología.
Esto porque la cantidad de herramientas disponibles en Internet hoy es innumerable, pero no todas cumplen con las medidas de protección a la información que se requiere para garantizar la continuidad de los negocios. Uno de los principales ejemplos de estas herramientas se puede ver en los servicios en la nube, que en los últimos años han tenido un exponencial crecimiento en opciones y en implementaciones, pero no en todos los casos se realiza contando con las medidas suficientes de seguridad, lo cual es critico si se tiene en cuenta que esto es casi la piedra angular de la transformación digital y de un buen desarrollo del plan de continuidad que hoy debe estar operando en su máxima capacidad.
Todo esto lleva a concluir que tras el primer año de medidas a nivel global se ha podido comprobar que los planes de continuidad de negocio de algunas empresas han funcionado correctamente en cuanto a su objetivo esencial de mantener a los empleados realizando sus funciones y el poder acceder a la información, pero por el crecimiento de los servicios expuestos en Internet y por las vulnerabilidades detectadas en estas, no se tuvo en cuenta la seguridad de la información en el diseño de estos planes.
Esto se evidencia en los reportes de seguridad, que se han analizado ampliamente en diferentes medios por los expertos de ElevenPaths y publicado en una guía de riesgos en tiempos de COVID-19.
Por este motivo, las empresas deben empezar a acomodar los planes a las nuevas circunstancias e iniciar con la implementación de controles y mecanismos que no solo permitan a sus trabajadores cumplir sus funciones, sino que garanticen la seguridad de la información, que a un futuro cercano será la continuidad de las empresas.
Lea también:
