Con motivo de la celebración del mes europeo de concienciación en ciberseguridad, Cisco ha publicado el estudio Working Parents. En Redes&Telecom hemos entrevistado a Nuria Jordi, directora preventa de Ciberseguridad para el Sur de Europa en la compañía (en la foto), para conocer las principales conclusiones de este informe, así como las recomendaciones de la compañía para minimizar el riesgo del uso compartido de los dispositivos del teletrabajo por los más pequeños de la casa.
Los resultados invitan a la reflexión: ¿le dejas el portátil o el smartphone del trabajo a tu hijo? ¿Eres consciente de los peligros de esta práctica? ¿Cuentas con algún mecanismo de protección habilitado por tu empresa?…
En primer lugar, ¿cuáles son las principales conclusiones de este informe?
Primero me gustaría contarte el porqué de la publicación de este informe. Y es que, desde el confinamiento, nos encontramos con una nueva realidad de trabajo, que es el trabajo híbrido, con una gran cantidad de personas que han ido hacia este modelo, sobre todo padres y madres trabajadoras.
Según las conclusiones del estudio -basado en consultas a más de 6.000 padres en 12 países de EMEA, incluido España-, el 82% de los padres consideran que esta fórmula les permite conciliar mejor la vida profesional y personal.
El 86% de los progenitores dejan que esos dispositivos que son empleados para el teletrabajo sean utilizados también por sus hijos
Además, el 86% de los progenitores dejan que esos dispositivos que son empleados para el teletrabajo sean utilizados también por sus hijos. Y es más sorprendente todavía que un 41% reconozca que los niños conocen la contraseña de los equipos; e incluso, entre aquellos que no la comparten, el 54% han autorizado a sus hijos a utilizarlo sin ningún tipo de supervisión. Esto, obviamente, puede generar una posible brecha de seguridad en el entorno profesional en el momento en el que estos niños, de cualquier tipo de edad, pueden acceder a datos inadecuados o generar fallos de seguridad.
Que los niños utilicen los dispositivos personales de sus padres sin su supervisión, ¿no se contradice con la preocupación de los progenitores de que los equipos puedan ser pirateados…? ¿Cómo se entiende esta situación? ¿Quizás confían mucho en sus hijos?
Existe una contradicción porque el 85% de los padres están preocupados o muy preocupados por la posibilidad de que los dispositivos conectados sean pirateados, pero en muchos casos no se utiliza el doble factor de autenticación, que es una forma fácil de protección. Aunque el 77% creen que tener los protocolos de seguridad adecuados esimportante para prevenir esos riesgos, sólo el 45% utilizan autenticación multifactor o de doble factor. Y al final un niño curioso, cuando ya tiene un paso adicional, hace que ya no llegue donde no queremos que llegue.
También es posiblemente un tema de educación. ¿Son conscientes los padres de los riesgos de seguridad?, ¿tenemos presentes en el momento de dejar un móvil a un niño cuando estás trabajando de que eso puede ser tan peligroso a nivel personal como empresarial? Posiblemente son las dos cosas: los mecanismos y la educación o conciencia de los padres en ciberseguridad.
También de este análisis podemos preguntarnos, ¿de quién es la responsabilidad de asegurar los equipos profesionales?, ¿no son las empresas las que deben proveer de mecanismos de protección de las herramientas que usan sus empleados?
Hay ambos. Por una parte, las empresas tienen que tener en cuenta cuál es la realidad de sus trabajadores, pues el trabajo híbrido ha venido para quedarse, quieran o no quieran. Pero también la realidad es que los padres conviven con niños en casa y hay dispositivos que en algún momento se van a poder compartir.
Las empresas tienen que tener en cuenta cuál es la realidad de sus trabajadores y poner los mecanismos de seguridad adecuados
La recomendación ideal sería: el dispositivo que es para el trabajo no lo pueden tocar los niños, pero la realidad es que esto, seguramente, no vaya a pasar. Entonces, las empresas tienen que poner sus mecanismos. Por ejemplo, una recomendación que se ha concluido en el estudio: intentar trabajar con el usuario, no contra él. Es decir, como van a compartir el equipo pues permitamos crear un usuario invitado en ese dispositivo para que el niño o la niña, cuando lo utilice, no pueda acceder a todas las aplicaciones empresariales ni a información sensible ni tampoco borrarla. Porque no sólo se trata de que puedas dar clic a un enlace y te mande a una web fraudulenta que puede ser por error, también el niño puede tocar sin querer y modificar o borrar información sensible. Si les damos esa opción de la cuenta de invitado, no es lo ideal, pero como mínimo nos permite proteger la información corporativa y, además, si ese dispositivo fuera gestionado por la empresa, el niño se beneficiaría de toda esa ciberprotección corporativa que el equipo tuviera.
También la autenticación multifactor o doble factor que comentábamos antes o la utilización de datos biométricos. Poner estos pasos bloquea el acceso del niño. Sobre todo cuando estamos pensando en protecciones a nivel de empresa, el Zero Trust o la confianza cero: intentar no dar por defecto acceso a todo, sino asegurarnos de que el usuario quiere acceder a una determinada aplicación, monitorizar sesiones inactivas, etcétera, de forma que podamos prevenir ese acceso que no nos interesa.
Luego está la parte de educación del propio usuario, de su concienciación, porque la empresa te puede dar los mecanismos y la información, pero el usuario tiene que absorberla y tenerla presente.
Aunque se presenta otro problema: ¿cómo se marca la línea entre la esfera personal y profesional? ¿por periodos de tiempo: fines de semana, vacaciones…? Resulta bastante complicado, ¿no?
Como trabajador híbrido poner unos periodos como fines de semana, noches, vacaciones… puede ser complicado. De hecho, cuando estamos hablando de periodos vacacionales o cuando el trabajador híbrido está fuera de casa, hemos visto también que un 35% se conectan en redes públicas o gratuitas… que son redes sin ningún tipo de control, donde la información es susceptible de ser vista por cualquiera, no sólo por el que gestiona esa red, sino también por cualquiera que se conecte a ella. Ahí hay otra brecha de seguridad que se plantea como usuario, y no sólo a nivel corporativo, como el no poner, por ejemplo, datos bancarios en una red pública sin ningún tipo de protección. En este sentido, una de las recomendaciones del estudio es utilizar las VPN para datos sensibles. Si te conectas a una red pública desde una VPN ya estás protegido porque no podemos prever que los trabajadores no vayan a utilizar los dispositivos en estos momentos de vacaciones o cuando están fuera de su oficina o de su residencia habitual.
En tu opinión, y a tenor de los resultados del estudio, ¿cuáles son las principales acciones que ponen en riesgo la seguridad de los equipos? Conexión a Wi-Fi pública, falta de autenticación multifactor…
Son un poco todas ellas. Si no hay una educación o conciencia en ciberseguridad, si no estamos utilizando los datos biométricos o la autenticación multifactor, si los datos sensibles no están protegidos por una VPN y encima nos conectamos a redes públicas sin ningún tipo de control… uno u otro o una combinación de todos puede crear una brecha de seguridad. Tengamos en cuenta que al final el principal agujero de seguridad es el factor humano. Estás despistado, haces multi tasking, los niños que acaban de llegar del cole… y le das a un link inadecuado. Así pues, los departamentos de seguridad e IT de las empresas deben tener en cuenta todos ellos.
Sorprende que pese al trabajo que se lleva haciendo durante años para concienciar a los empleados de los riesgos de estas malas prácticas, se sigan produciendo, ¿qué se está haciendo mal?
Los ataques de seguridad avanzan muy rápido y son más sofisticados. La IA ha venido para quedarse y permite que los ataques sean más sofisticados, más rápidos y más eficientes. Ya no se trata de correos mal escritos.
La IA permite que los ataques sean más sofisticados, más rápidos y más eficaces
Además, el hecho de que haya mucha más información disponible hace que incluso gente que no tenga mucho conocimiento en ciberseguridad puede generar ataques de forma mucho más fácil. Hay sites que te ofrecen ransomware como un servicio. Y en un mundo acelerado de padres teletrabajando desde casa hay muchos estímulos y distracciones que pueden favorecer el fallo humano. Y la educación es clave. Piensa que este estudio se ha realizado a padres de diferentes edades, perfiles y sectores por lo que la ciberseguridad no está igual de presente en todos los ámbitos.
Por otra parte, aunque los padres deben tomar cartas en el asunto, ¿no habría también que “educar” a los niños en el buen uso de la tecnología y en los riesgos de seguridad a los que se enfrentan? ¿A partir de qué edad?
En cualquier momento es bueno poder educar a los niños. Explicarles los riegos y lo que supone la ciberseguridad siempre va a ser positivo. Vivimos en un mundo digital y los niños de ahora han nacido en este mundo por lo que cuanto antes vayan tomando conciencia, mucho mejor.
Precisamente en España la Administración Pública ha puesto en marcha medidas como la Cartera Digital, además de llegar a diferentes acuerdos con la industria telco y las OTT, para reforzar la protección online de los menores. ¿Vamos por buen camino? ¿Qué opina sobre tales medidas? ¿Son suficientes?
Cualquier medida que pongamos en práctica va a ser positiva, pero aún falta un camino por recorrer en la sociedad actual. Tendríamos que ver dónde estamos y qué es lo que nos falta.
El estudio se ha realizado en 12 países, ¿alguna particularidad que diferencia a España del resto? ¿Los padres españoles somos más o menos confiados?
Vemos los mismos resultados en todos los países. Cuando hemos dicho que el 86% de los padres dejan los dispositivos del teletrabajo a sus hijos, en general nos movemos en un rango de entre un 77-88% por lo que no vemos gran variabilidad entre países. Es bastante similar, con mínimas variaciones.
Hay que tomar cartas en el asunto. ¿Cuáles son las recomendaciones que desde Cisco se ofrecen para minimizar los riesgos de seguridad del uso compartido de dispositivos?
En las conclusiones del estudio damos cinco recomendaciones principales.
La primera es la de trabajar con los usuarios en lugar de contra ellos. No vamos a cambiar ciertos hábitos que ya se han establecido, pero sí les podemos permitir crear una cuenta de invitado, utilizar la ciberprotección corporativa… y que el niño/niña no acceda donde no deba.
El segundo es la autenticación multi o de doble factor para asegurarnos que el usuario quiere acceder a la aplicación y que bloquea al acceso a un niño curioso a material confidencial o sensible.
También el uso de las VPN ante el uso redes públicas, así como establecer una política de confianza cero.
Un punto que no habíamos comentado es el tema de las copias de seguridad. En entornos domésticos es muy fácil que se produzca un accidente como una caída del dispositivo, agua que se derrama sobre él…. Y lo que nos interesa es, en primer lugar, no perder información y, en segundo, que el empleado en remoto pueda seguir trabajando y sea productivo cuanto antes. Por lo que tener la copia de seguridad actualizada es importante.
Y el quinto, y no por ello menos importante, es la educación en ciberseguridad a los padres y madres -y trabajadores en general-, para que entiendan cuáles son las amenazas, los riesgos, las políticas e incluso si hay alguna sanción. Y esa educación también se refleja en los niños y niñas; si el padre es consciente de ello lo trasmitirá a sus hijos.
Más allá de los resultados de este estudio, ¿qué otras tendencias en materia de ciberseguridad están cobrando más importancia en la actualidad? ¿Cuáles son los ataques más habituales hoy en día?
El phishing lleva diez años siendo el principal ataque a nivel usuario y continúa siendo el número uno, porque al final uno de los principales vectores de ataque es el correo.
El phishing lleva diez años siendo el principal ataque a nivel usuario y continúa siendo el número uno
En este sentido, vemos, como comentábamos antes, que son más sofisticados. Ya no es el típico mail mal escrito, medio en inglés medio en castellano, con errores gramaticales que saltan a la vista. La IA permiten esa sofisticación y las herramientas de correo corporativas tienen que tener en cuenta esto y los usuarios han de estar más atentos también a los que le puede llegar.
