El teletrabajo está funcionando, en España y a nivel internacional, mejor de lo esperado y está cambiando la manera tradicional de entender el trabajo, por lo que en el futuro se tendrá más en cuenta cara a la deslocalización y la conciliación familiar. Para los expertos invitados al tercer jueves celebrado online por ISACA Madrid , el confinamiento por la pandemia de COVID19 ha supuesto enfrentarse a más riesgos por a la falta de seguridad del entorno doméstico, debido a la imprevisión con la que se ha tenido que adoptar en la mayoría de las empresas e instituciones.
Este nuevo webinar, que reunió telemáticamente a 300personas todo el país, de algunos países sudamericanos y también de Italia, desarrolló cuáles son los “Nuevos retos de ciberseguridad introducidos por el Covid19”, arrancó con una alusión a la controvertida seguridad que ofrece la herramienta Zoom en este tipo de eventos. El presidente de ISACAMadrid, Ricardo Barrasa, tranquilizó a los asistentes al destacar que la seguridad de la plataforma, ya solucionada de origen, no es de especial relevancia cuando se trata de charlas públicas, como es el caso de las ofrecidas por la asociación.
La responsable del organismo autónomo de Informática del Ayuntamiento de Madrid, Leonor Torres; Mar López, Jefa de la unidad de ciberseguridad y lucha contra la desinformación del Departamento de Seguridad Nacional; David González, CISO de Coren, principal cooperativa agroalimentaria de España, y Alejandro Becerra, Director de ciberseguridad del Grupo Telefónica, fueron los encargados de desgranar las circunstancias mediante las que se ha desarrollado el teletrabajo en nuestra país y el futuro que se abre tras la experiencia.
Leonor Torres, quien intervino también en nombre de la Asociación de Cuerpos Superiores de Tecnologías de la información de la Administración del Estado (ASTIC), defendió cómo la Administración, que está sujeta a todas las normativas en materia de seguridad informática, ha abordado la crisis COVID de manera acertada. “Llevamos años adoptando el Esquema de Seguridad Nacional, el RGPD y la LOPDGDD que incide en el derecho a la intimidad del trabajador y el derecho a la desconexión digital, así como la adecuada regulación del registro de la jornada laboral si esta se lleva a cabo de forma remota”.
El Ayuntamiento de Madrid, teletrabajando en dos días
De un día para otro, el Estado de Alarma impuso el Teletrabajo en la medida de lo posible para las Administraciones Públicas. En realidad es “trabajo en casa” no teletrabajo. El 72% del funcionariado público contaba con experiencia previa gracias al antiguo Plan Continua, pero el resto no. Según Torres, se está teletrabajando pero no con las mismas herramientas con las que se cuenta en los puestos de trabajo habituales, y en general no se está midiendo el trabajo, salvo en pocos casos por objetivos o proyectos, y aunque se han adquirido licencias y equipos móviles, los trabajadores han puesto muchos elementos personales de su parte.
Torres relató que pese a haber tenido recomendaciones de concienciación, sí se han encontrado con ataques de phising y malware, como las campañas sufridas por la inspección de trabajo y la del SEPE a través de redes. Como conclusión, y pese a los problemas derivados de la falta de planificación, de cultura de teletrabajo y la inexistente conciliación familiar debido al confinamiento, para Leonor Torres “La Administración ha superado el primer reto, ¡está prestando servicio!”.
El Ayuntamiento de Madrid, con 26.000 empleados públicos, más de 600 edificios conectados y solo 700 portátiles, cambió a modalidad de teletrabajo en 2 o 3 días para lo que realizó un despliegue del software de conectividad de todos los equipos (Pulse), propició llevarse los equipos de sobremesa y acceso por VPN entre otras acciones realizadas en tiempo record. Los servicios continúan funcionando sin mayores incidencias telemáticas maliciosas. “La tecnología nos ha salvado y hemos podido dar continuidad al trabajo municipal”, explicó la responsable del servicio.
La ciberseguridad desde el Gobierno
Por su parte Mar López, desde el departamento de Seguridad Nacional explicó cómo “nos estamos enfrentando a mayores riesgos porque la superficie de exposición se ha multiplicado exponencialmente para todos”. Desde su departamento asesoran a Presidencia de Gobierno en la gestión de crisis y mantienen los sistemas cifrados que permiten los consejos de ministros y reuniones con presidencias de las CCAA.
La parte de lucha contra la desinformación también es su negociado “y mantenemos la vigilancia de redes para tener informados a nuestros jefes, el director general Miguel Ángel Ballesteros entre otros. Nos enfrentamos todos los días a numerosos desafíos y retos, pero el que nos ocupa es el más grande hasta ahora”. La Comisión Permanente de Ciberseguridad (creada en 2015, como órgano de apoyo al Consejo de Seguridad Nacional, cuenta ya con experiencia, está organizada y tienen un procedimiento utilizado y activado en este momento. Según describió Mar López, “en él se dice cómo debemos coordinarnos en situaciones como la del Estado de Alarma y la gestión de crisis, y el COVID ha resultado un gran ejercicio de su gestión; no ha habido un gran impacto” y ahí están con conexiones inmediatas y diarias INCIBE, el CCN, MCCD, CCFFSE y otros organismos que tienen algo que decir en materia de ciberseguridad del Estado.
López explicó cómo la ciberseguridad del Estado está colaborando con los departamentos análogos de las Comunidades Autónomas y con el sector privado, y relató los incidentes de contenido abusivo o dañino para obtener información tipo Phising en el sector bancario, con falsas comunicaciones de ERTES, del servicio estatal de empleo, etc. También se han enfrentado a los fraudes, principalmente de venta de productos sanitarios (mascarillas, test, termómetros, etc) a través de la Darknet, y nos tranquilizó al hablar de la coordinación europea común a través de la Red de Respuesta de Incidentes de Ciberseguridad de todos los estados miembros.
“Los 27 han comunicado el refuerzo de su ciberseguridad y no se han producido ciberataques relacionados con el COVID, aunque se está aprovechando la pandemia en el ámbito del cibercrimen para monetizar esta oportunidad”. Para Mar López, aunque queda mucho por hacer, se ha ganado en concienciación lo que en el futuro aumentará tanto recursos disponibles como la formación en este ámbito. Sin ir más lejos “la semana pasada el Gobierno aprobó la Formación Profesional de Grado Superior en Ciberseguridad. Esto justifica la falta que nos hacen los profesionales tecnológicos en ingenierías y ciberseguridad”. Su conclusión desde dentro es que el Estado “ha ganado tanto en capacidades como en coordinación, disuasión y en imagen. Es un trabajo de todos, también del sector privado y de los ciudadanos, que cada vez serán más conscientes al utilizar la tecnología”.
Sectores esenciales no tecnológicos y pymes
David González expuso cómo desde su sector esencial que no tiene que ver con la tecnología y las pymes que lo forman se han enfrentado a los ataques de siempre, pero con los riesgos aumentados al trabajar en entornos domésticos sin securizar y rodeados de dispositivos privados que no forman parte de ese entorno laboral. Aunque en sus empresas ya tenían habilitado cierto nivel de teletrabajo, han tenido que aumentar licencias y equipos e incrementar formación y concienciación.
“A las pymes –explicó- les ha pillado en fuera de juego. Ya había muchas que habían tenido problemas por un simple ataque de ransomware, así que muchas ha abierto teletrabajo sin seguridad, pidiendo que los empleados trabajen con su ordenador de casa, posiblemente mal bastionado, sin antivirus… con muchos riesgos cara al negocio, pero que rápidamente han mejorado y montado lo mínimo para poder seguir trabajando”. González forma parte de un grupo de CISOs que a nivel estatal presta servicio gratuito a pymes para poder paliar estas problemáticas de seguridad y reducir los riesgos.
El director de formación Ti del Grupo telefónica, Alejandro Becerra, destacó que en su corporación “nos hemos encontrado en una situación de teletrabajo masivo de golpe, que han desplegado conceptos con los que veníamos trabajando, incluyéndose las reuniones masivas y el aprendizaje online”. Aunque la sociedad es resistente a los cambios sociales, “algo va a cambiar porque esta situación ha sido disrruptiva y habrá un antes y un después”.
Como experto confirmó que tampoco ha detectado nuevos riesgos en esta situación, ni un aumento significativo de incidentes de seguridad, pero sí el cibercrimen, que se ha centrado en los entornos domésticos, aunque estos están más protegidos que hace unos años.
Para él, lo que antes era un riesgo residual (el teletrabajo) ahora es principal y las empresas van a tener que cambiar para mejorar las políticas de trabajo desde casa, conciliación, migración a la nube, etc.
En el grupo Telefónica hay 120.000 empleados en muchos países. Desde un punto de vista interno, la crisis del COVID les ha pillado ya preparados para el trabajo colaborativo y con un marco securizado con herramientas adecuadas, lo que “deberemos introducir como concepto nativo en el futuro”.
Sobre la respuesta de nuestra tecnología patria a las necesidades de sobre utilización debido a la pandemia, Becerra reconoció que las redes españolas “han resistido de manera notable, no solo a nivel de teletrabajo, sino al hacer frente a la sobre utilización también para el entretenimiento. Esta situación nos ha cogido razonablemente entrenados. De cinco años para acá las previsiones en materia de gestión de crisis nos han venido muy bien”.
