Seguritecnia 474

SEGURITECNIA Abril 2020 59 Lucha contra el Covid-19 ejecutarse de una forma práctica, con un presupuesto definido y aprobado por la dirección de la empresa. Estos planes de continuidad de negocio de- ben implicar la adopción de medidas de seguridad física, de seguridad elec- trónica y de ciberseguridad, así como de seguridad de las personas. Respecto a estas últimas, el departamento de Pre- vención de Riesgos Laborales juega un papel crucial en la adopción de medi- das preventivas y destinadas a reducir los riesgos vinculados con la salud de los trabajadores. Me gustaría destacar una medida, por encima de todas, en un plan de conti- nuidad: la redundancia. Esta medida se suele aplicar en los recursos de segu- ridad, informáticos y de comunicacio- nes, pero también debería aplicarse en los humanos, procurando que la orga- nización no dependa de una única per- sona para llevar a cabo una tarea. Esto es solo un ejemplo de medida de resi- liencia humana. Estoy convencido que después de esta crisis sanitaria vamos a pensar, entre todos, muchas otras medi- das orientadas a reducir los riesgos vin- culados con las personas que ayuden a los Estados y las organizaciones a alcan- zar una resiliencia global. S das de seguridad se relajen, priorizando el abastecimiento del hardware y soft- ware necesario para albergar el mayor número posible de usuarios que pue- dan realizar su trabajo de forma remota. Al relajar la seguridad hemos aumen- tado los riesgos, por lo que, una vez au- mentada la infraestructura, es necesa- rio realizar una auditoría de cibersegu- ridad del estado de los nuevos riesgos que se han introducido, para luego ela- borar un plan para mitigar dichos ries- gos. Este proceso no se puede demorar en el tiempo, ya que las herramientas automatizadas de los ciberdelincuen- tes serán las que detecten nuestras bre- chas de seguridad antes que nosotros. Todo esto nos plantea la necesidad de tener un Plan de Continuidad de Nego- cio y un Plan de Recuperación de De- sastres que sean revisables anualmente y, sobre todo, que sean supervisados obligatoriamente ante un incidente que pueda comprometer las medidas que se plantean en él. Los planes de continuidad de nego- cio no deben redactarse solo de forma teórica, pensando que nunca se van a ejecutar porque no va a ocurrir un he- cho excepcional. Hay que elaborarlos de manera realista para que puedan Los ciberdelincuentes eran capaces de penetrar la red perimetral de las em- presas o de engañar a los empleados con campañas de phishing cuando estos últimos estaban en sus puestos de tra- bajo, concentrados, bajo la tutela de los departamentos de seguridad e informá- tica. Ahora la situación es muy diferente, ya que los empleados utilizan en sus ho- gares routers convencionales, en ocasio- nes sus propios ordenadores. Además, el entorno doméstico, sobre todo en caso de tener carga familiar, no es el me- jor para estar concentrado. Entre las me- didas de seguridad a aplicar en estos ca- sos, los sistemas más adecuados son las conexiones VPN ( Virtual Private Network ) y los VDI ( Virtual Desktop Infraestructure ). Las demás soluciones, como programas de acceso remoto o conexiones RDP ( Remote Desktop Protocol ), deberían des- cartarse. Y si no es posible evitarlas, apli- car medidas de seguridad muy estrictas y controladas. Los departamentos de sistemas de in- formación han trabajado a contrarreloj para poder dar la mayor cobertura po- sible al teletrabajo, para que la actividad empresarial no se viera afectada en su totalidad. Este despliegue tecnológico, por su urgencia, hace que las medi-

RkJQdWJsaXNoZXIy ODM4MTc1