En México es la segunda ocasión en la que nos encontramos en una situación de crisis que impulsa el uso de la modalidad de teletrabajo para mantener la continuidad de los negocios o por lo menos de sus operaciones críticas, aunque para este segundo evento el movimiento fue menos impactante debido a que muchas empresas ya operan procesos mediante tecnologías de información y comunicaciones de forma común, lo que apoyo a que existieran mecanismos para separar a las personas de los centros de trabajo de forma más rápida y en algunos casos casi imperceptible.
Conceptos como VPN’s, Salas de conferencia, conexiones remotas, sincronización de archivos, respaldos remotos, firmas electrónicas, autorizaciones electrónicas, entre otros, ya son de uso común entre los usuarios de las diferentes área para llevar a cabo sus operaciones dentro y fuera de los centros de trabajo y esto agregando que ahora ya no solo estas actividades se realizan desde las computadoras personales sino que también se pueden hacer desde dispositivos móviles que pueden o no ser parte de los activos de las empresas, esto dependerá de las políticas de BYOD (Bring Your Own Device) de cada empresa, aunado a esto también es importante tomar en consideración que gran cantidad de los sistemas de información se encuentran disponibles en Internet y que puede ser accesibles desde cualquier ubicación como por ejemplo el correo electrónico o algunos sistemas CRM.
Con todo lo anterior, es importante preguntarse si realmente en este momento se debe pensar en una estrategia de seguridad en el entorno de teletrabajo o lo que se tiene que evaluar es si la estrategia de seguridad integral se ha visto expuesta debido a un evento externo.
Desde mi punto de vista, no creo que haya gran diferencia entre operar en modalidad teletrabajo por crisis pandémica a operar de forma emergente un par de horas durante la madrugada desde mi hogar, o tan simple como responder un correo organizacional desde un teléfono móvil, ya que por principio de seguridad, la protección se debe de brindar en todo momento; por si mismo la declaratoria de teletrabajo no cambia el contexto de las organizaciones en su operación, esto deja en claro que en los últimos años se ha extendido el centro de trabajo a la ubicación del empleado, tomando en cuenta que la definición de centro de trabajo es “El lugar o lugares, tales como edificios, locales, instalaciones y áreas, donde se realicen actividades de explotación, aprovechamiento, producción, comercialización, transporte y almacenamiento o prestación de servicios, en los que laboren personas que estén sujetas a una relación de trabajo”[i] .
Ahora bien, la estrategia integral de seguridad de la información debe contar con los mecanismos para mantener la seguridad a pesar de los eventos externos y se debe integrar al entorno de las actividades de la organización, por lo que si bien es importante seguir las recomendaciones que se han publicado en Internet con respecto a la seguridad de teletrabajo, estas deben ser llevadas a cabo día a día sin importar que haya una declaratoria o no de esta modalidad y a su vez se debe robustecer la arquitectura de seguridad de los sistemas de información que son parte de la misión crítica de la organización, para lo cual es importante contar con un inventario de los activos de información y sus condiciones de seguridad con respecto al ciclo de vida de los datos y con ello promover una estrategia de seguridad.
Una vez que se cuente con el inventario de los activos y su relación con el ciclo de vida, se debe establecer cada uno de los componentes y realizar la valoración de los riesgos para posteriormente establecer los controles preventivos, detectivos, correctivos y disuasivos, que permitan un tratamiento adecuado de los riesgos, posteriormente se debe difundir la información sobre los controles y evaluar constantemente los mismos, para que posteriormente se establezcan acciones de mejora para los controles; si bien esto esta establecido en un sistema de gestión de seguridad de la información (ISO 27001), lo que quiero dejar en claro es que esto es un trabajo constante que las empresas deben llevar a cabo para la protección de sus activos y no deberían de estar en búsqueda de estrategias de ciberseguridad para una crisis.
Por otro lado, lo que si cambia es el entorno del trabajador que es el que debería estar mas preocupado por la seguridad de su información y la protección de sus datos personales, por que si bien, la empresa ha decidido exponer su información o sus activos con la finalidad de mantener sus operaciones en el domicilio o la ubicación del empleado; ¡que tanto el empleado esta consciente de que este está exponiendo la información de los dispositivos e información de su hogar o de sus activos de información?
En un ejemplo, un empleado que esta en su domicilio este se conectara a su red inalámbrica en la cual se encuentran conectados los dispositivos de su familia, sus dispositivos personales y los dispositivos IoT que se encuentren en la misma red y que dependiendo de la configuración de la VPN, los agentes de monitoreo de los equipos de cómputo personal de la empresa, la seguridad del equipo de computo propiedad de su empleador estos dispositivos podrán indirectamente o directamente ser parte de la infraestructura de red de la empresa y que ahora en esta situación la exposición de estos estará en otro nivel de riesgo, ya que no solamente esta el riesgo natural de los vecinos que se encuentran alrededor, las personas que transitan cerca del domicilio o los spam en la cuenta de correo, sino que compite con los riesgos de la empresa al estar el dispositivo del empleador y sus sistemas de información interactuando de forma directa o indirecta con el resto de los equipos de la red del empleado.
En este sentido el empleado también debe prever los mecanismos de seguridad de la información de sus dispositivos e información, a través de controles que apoyen al manejo de malware, separación de trafico y la separación de los activos de información de la empresa y de la casa.
En conclusión, el riesgo de seguridad de las empresas y de los empleados en los modelos de teletrabajo debe ser un trabajo conjunto y que debe mantener un equilibrio de los elementos de riesgo y exposición de los activos de información de ambas partes.
[i] Presidencia de la República, REGLAMENTO Federal de Seguridad y Salud en el Trabajo., 13/11/2014, http://www.dof.gob.mx/nota_detalle.php?codigo=5368114&fecha=13/11/2014
Iván Díaz González como parte de su formación académica cuenta con:
• Ingeniería en Sistemas Computacionales
• Licenciatura en Derecho
• Maestría en Gestión de Tecnologías de la Información
• Doctor en Derecho
Ha obtenido diferentes certificaciones en el ámbito de tecnologías y seguridad de la información entre las que destacan CISSP, CISM, CDPSE (Protección de datos personales), CCSK, ISO 27001, ISO22301, Ciberinteligencia, Hackeo, ITIL y COBIT.
Cuenta con 16 años de trayectoria en el ámbito de las tecnologías y seguridad de la información y comunicaciones. Es socio de LEX INFORMÁTICA ABOGADOS.
Ha fungido como perito informático en procedimientos penales, civiles y mercantiles, en el periodo 2020-2022 ha sido miembro de la lista de personas que pueden fungir como peritos para el Poder Judicial de la Federación.
