Trabajo desde casa y ciberseguridad

El cambio en los hábitos de trabajo desencadenado por la pandemia de coronavirus está llevando a que muchas compañías que, en la práctica, no estaban preparadas para ello, se hayan visto obligadas a aceptarlo por necesidad, con todo lo que ello conlleva.
Por un lado, compañías anticuadas, generalmente obsesionadas con el presentismo, que nunca se preocuparon por hacer seguras unas conexiones desde el exterior porque jamás concibieron que sus empleados trabajasen desde ningún sitio que no fuese la sede de la compañía, y que se encuentran ahora con una total ausencia de protocolos, prácticas y herramientas para ofrecer canales mínimamente seguros para su información, que las convierten en completamente vulnerables.
Por otro, compañías con directores de seguridad rayanos en lo paranoico, con prácticas que nunca estuvieron pensadas para posibilitar el trabajo en remoto, y que, al intentarlo en función del nuevo contexto creado por la pandemia, se encuentran con que sus políticas prácticamente impiden que sus empleados se conecten a sus sistemas.
Sea por exceso o por defecto, la cuestión es que todo indica que la pandemia va a redefinir en muchos sentidos la forma en la que se trabaja en muchas compañías, provocando que muchas de las prácticas que en muchas empresas se comenzaron a imponer debido a las medidas de seguridad necesarias para combatir la expansión de la pandemia alcancen un cierto nivel de consolidación.
Esto nos lleva a una eterna pregunta: ¿cuáles deberían ser las características de un responsable corporativo de seguridad? La primera cuestión es evidente: dado que hablamos de un entorno en constante cambio, debe tener un nivel de actualización elevadísimo, permanente, que le permita conocer la gran mayoría de las amenazas y las herramientas que un eventual atacante podría utilizar, unido a un nivel de competencia técnica que le posibilite entender esas amenazas y hacer frente a ellas. Hasta aquí, los requisitos imprescindibles del puesto, y es importante subrayar lo de «imprescindibles», precisamente porque muchos que están en ese puesto, desgraciadamente, no los tienen.
Pero como todo puesto, además, de unos requisitos imprescindibles, tiene otros «deseables», con una frontera entre unos y otros que tiende a resultar más bien difusa. Y aquí entran una serie de criterios que tienen mucho más que ver con lo psicológico que con lo técnico, pero que como bien saben los buenos expertos en seguridad, pueden llegar a ser imprescindibles: aquí, además de hablar de la tan traída y llevada ingeniería social, tenemos que mencionar una característica fundamental, llamada empatía. La empatía se define como «la capacidad de percibir, compartir y/o inferir los sentimientos, pensamientos y emociones de los demás», y en un ámbito como el de la ciberseguridad, resulta completamente fundamental.
Pensar en un responsable de ciberseguridad como en una persona que se limita a dicta normas e implantar herramientas sin más es completamente absurdo. Conocer a las personas cuya actividad tienes que supervisar es fundamental, y puede evitar sentimientos de frustración, sobre todo en un momento en que conviven en la sociedad personas completamente ignorantes en este ámbito con otras que poseen niveles de información razonablemente elevados. La regla de oro es clara: si crees que tu trabajo se mide únicamente por la ausencia de intrusiones o problemas de seguridad, te equivocas: cada vez que una de las personas a tu cargo se encuentra en una situación de no poder acceder a información imprescindible para su trabajo, es que has hecho algo mal. El pensamiento que apunta a que la única responsabilidad de un director de seguridad es impedir violaciones de la misma es enormemente simplista, porque para eso, bastaría con cerrar a cal y canto toda la información dejando fuera a todo el mundo incluidos los que legítimamente necesitan acceder a ella, algo que resultaría obviamente absurdo.
La seguridad se expresa de muchas maneras. Si pretendes obligar a que tus empleados memoricen contraseñas cada vez más largas y complejas que además les obligas a cambiar cada tres meses en lugar de enseñarles a utilizar un gestor de contraseñas, te encontrarás con que, lógicamente, se las apuntan en un post-it y las pegan en el lugar donde las necesitan habitualmente. Si implantas un sistema de doble factor y no formas adecuadamente a las personas en su uso, seguramente provocarás situaciones rayanas en lo ridículo. Si no tienes en cuenta el impacto de cambiar las prácticas habituales de las personas que trabajan contigo, es posible que dejes sin acceso a quienes no deberías dejar fuera, con lo que ello conlleva de frustración o de pérdida de productividad.
La ciberseguridad va mucho más allá de simplemente evitar que alguien acceda a donde no debería acceder: también es importantísimo que el que debería poder acceder, pueda de hecho hacerlo sin tener que dar saltos sobre un solo pie mientras recita un mantra indescifrable. Si en un contexto excepcional como el actual te encuentras con una oleada de protestas de tus empleados que afirman que los protocolos de seguridad de tu compañía les impiden hacer su trabajo con normalidad, no lo dudes: por mucho que no hayas tenido intrusiones ni incidentes importantes últimamente, tienes al responsable de seguridad equivocado.
Enrique Dans
Enlace: Trabajo desde casa y ciberseguridad