Nueva ley de teletrabajo no considera la ciberseguridad y expone a empresas y empleados a sufrir ataques informáticos
-
Hackeo a BancoEstado enciende las alertas sobre la modalidad remota
-
Múltiples, gratis y pagados son los mecanismos que las empresas pueden utilizar para reducir su exposición a ataques virtuales por la implementación del trabajo remoto.
Cuando se trata del trabajo telemático, a las medidas que tradicionalmente se recomiendan para elevar la protección digital de los sistemas empresariales, corno la implementación de claves robustas, se suman otras corno el uso de VPN y EDR.
Algo que llamó la atención pública del ciberataque al BancoEstado es la falta de medidas de seguridad adecuadas para evitar delitos cibernéticos en los equipos de aquellos empleados que están con sistema de teletrabajo, una modalidad que se masificó con el covid-19 y que muchos mantendrán.
Lo anterior especialmente luego de que el presidente de dicha institución, Sebastián Sichel señalara ante la comisión de Economía de la Cámara de Diputados que la intrusión en los sistemas del banco -de acuerdo con el informe forense en¬cargado a Microsoft- habría sido "con una alta probabilidad" propiciada por el clic en un link malicioso por parte de un empleado en modalidad de trabajo a distancia, algo "que en el banco habría sido detectado, pero que en una casa no necesariamente", aseguró Sichel.
Un factor a considerar en esta situación es el estado de la legislación relativa a la ciberseguridad en materia de trabajo telemático. Según Claudia Magliona, de Magliona Abogados, en la Ley de Teletrabajo -que modificó el Código del Trabajo en esta materia y fue promulgada rápidamente en marzo por el coronavirus- "la protección de los datos personales y la ciberseguridad que se tiene que aplicar en el trabajo remoto pasaron absolutamente desapercibidos".
De acuerdo con el *senador Felipe Harboe *, en esta ley "no se incorporó nada sobre ciberseguridad debido a que estamos a la espera del ingreso del proyecto de ley sobre ciberseguridad anunciado por el Gobierno, el que establecería estándares que deben cumplirse en todas las funciones, incluidas las relaciones de teletrabajo".
Si bien indica que "no existe obligación legal de adoptar medidas de ciberseguridad en el ámbito laboral", agrega que "se debe entender que el empleador debe entregar todas las condiciones de ciberseguridad a los datos que administra y el trabajador debe cumplir las instrucciones que a estos efectos disponga el empleador".
Empleadores deberían dar las herramientas
La Ley de Teletrabajo establece que los equipos, herramientas y materiales "deberán ser proporcionados por el empleador al trabajador, y este último no podrá ser obligado a utilizar elementos de su propiedad". Además, la ley ordena que "los costos de operación, funcionamiento, mantenimiento y reparación de equipos serán siempre de cargo del empleador".
Para el senador Harboe esta norma "debe entenderse aplicable a los temas de ciberseguridad, ya que las normas sobre compliance exigen la determinación, cuantificación y minimización de los riesgos asociados a la función laboral", y que "el riesgo de ataques informáticos es inherente al teletrabajo, por lo que deben adoptarse medidas destinadas a disminuir to¬dos los riesgos asociados".
Andrés Pumarino, socio de Legaltrust, detalla que ”si bien no hay normas generales que definan la responsabilidad en el teletrabajo, existen normativas sectoriales, como las del Coordinador Eléctrico Nacional (CEN) y la Comisión para el Mercado Financiero (CMF), que obligan a las empresas a mínimos de ciberseguridad. La forma en que esto se concrete en cuanto al teletrabajo depende del reglamento interno de cada compañía”, dice.
Desde la CMF indican que la normativa que dictaron establece "criterios y directrices" para la mitigación de los riesgos de ciberseguridad, pero depende de cada banco "determinar internamente" las acciones. Tampoco se definen medidas específicas de ciberseguridad y teletrabajo.
En el CEN cuentan que su estándar de ciberseguridad para las firmas del sector eléctrico "establece requerimientos para el acceso remoto a ciberactivos críticos, de forma de minimizar vulnerabilidades que los puedan poner en riesgo".
Magliona, además, echa de menos en la Ley de Teletrabajo el que se hubiesen indicado exigencias de ciberseguridad mínimas al empleado a distancia, como tener una clave segura que restrinja el acceso al equipo que usa: "Proteger la seguridad informática de una entidad no es tarea exclusiva de la entidad, sino que es misión compartida entre esta y sus colaboradores".
Opciones gratuitas
Los mecanismos a través de los cuales las empresas pueden reforzar su seguridad para reducir su exposición a ataques informáticos por la vía del trabajo telemático son varios. Por ejemplo, David Alfara, gerente general de Arkavia Networks, llama a las compañías a "mantener los sistemas operativos y versiones de software actualizados en sus estaciones de trabajo", ya que "la principal causa del éxito del malware está en la explotación de defectos de seguridad".
Por ello aconseja instalar un agente de seguridad (denominados EDR), ya que "a estas alturas el antivirus es algo básico". Existen EDR gratuitos, agrega, como OSSEC, osQuery y TheHive Project, además de otros comerciales como Sandblast de CheckPoint, Forticlient de Fortinet y Cortex de PaloAlto. Resalta, eso sí, la importancia de que la solución escogida permita un manejo centralizado de los aparatos, "para distribuir políticas estándares, concentrar los reportes y alertas de anomalías, y aplicar gestión continua de la seguridad de las estaciones de trabajo".
Claro que aplicar estas medidas "requiere de un nivel de acceso superior a lo normal al equipo del empleado", dice Alfara, aunque "tampoco se trata de una suerte de control remoto total, pues hay límites según el software que se use y también control de autorización por parte del usuario para que la toma de control se ejecute".
Pablo de Uría, socio de Consultoría de PwC Chile, entrega como consejos usar una red privada virtual (VPN) para conectar a los colaboradores con la empresa, además de nunca usar conexiones wifi públicas. También llama a "establecer mecanismos de monitoreo robustos y periódicos, protocolos de seguridad con revisiones y actualizaciones frecuentes, que incluyan parches de seguridad claves".
Rodrigo Fernández, gerente de Ciberseguridad de EY, indica que "las empresas deben tener una visión de defensa por capas, en las cuales se pueda minimizar el movimiento de un atacante dependiendo del nivel al que accede". Así, prosi¬gue, "para cada capa o nivel existen diferentes tipos de controles, desde el punto de vista perimetral -con el uso de firewalls, soluciones de protección de intrusiones, filtros para servicios de navegación y correo, zonas de conectividad corporativa y zonas protegidas a usuarios específicos- hasta el nivel de los usuarios -donde se pueden usar controles o soluciones de seguridad de endpoint, antivirus y EDR".
"Es necesario, para evitar la suplantación de identidad, controlar a los usuarios con sistemas de autenticación robusta y hacer una gestión muy delicada sobre quiénes tienen altos privilegios", señala Francisco Fernández, gerente general de Avantic. "Para empresas de menor tamaño, existen segundos factores de autenticación gratuitos, como el autenticador de Google", complementa. Asimismo, recomienda implementar herramientas como Kaspersky Cloud Security Plus, "que incluye la protección de malware, parchado y protección de herramientas de Office365 en una misma plataforma 100% en la nube, de rápida implementación y bajo costo".
FUENTE: El Mercurio
Fecha: 28-09-2020