Saltar al contenido

Las organizaciones se arriesgan a fallar en las evaluaciones de seguridad cibernética en la protección de redes domésticas

Con varios niveles de bloqueos en muchos países europeos, ¿las empresas más pequeñas están librando una batalla perdida cuando se trata de renovar la certificación de seguridad cibernética? Richard Hughes cree que este es el caso …

Con muchas organizaciones que operan con una mayoría de empleados trabajando desde casa, muchas empresas no han considerado el hecho de que las redes domésticas de sus empleados ahora están bajo el alcance de los requisitos regulatorios y de certificación. Si una persona trabaja desde casa más del 50 por ciento de su tiempo, su red debe cumplir con las regulaciones vigentes. La única excepción sería si tuvieran una VPN siempre activa por la que pasa todo el tráfico, lo cual es muy poco probable, especialmente para las pequeñas y medianas empresas (PYME).

Las empresas deben darse cuenta de que es su responsabilidad proteger las redes de sus empleados. Si no lo hacen, fallarán certificaciones vitales. Parte del problema aquí es que las empresas no han recibido una orientación clara sobre lo que necesitan para lograr o mantener el cumplimiento de la certificación, como Cyber ​​Essentials en el Reino Unido, por ejemplo.

Con la pandemia de COVID-19 que obliga a la mayoría de la fuerza laboral a hacer su trabajo de forma remota, los trabajadores ya no están protegidos detrás de la infraestructura de la oficina. Las pymes son las más afectadas en este momento, y lo último que necesitan es descubrir que se están saliendo del alcance de los requisitos de seguridad cibernética y aumentan su riesgo cibernético. Además, la pandemia brindó a los ciberdelincuentes otra forma de explotar a las personas y las empresas para las que trabajan. En su revisión anual, el NCSC destacó que más de una cuarta parte de los incidentes a los que respondió entre septiembre de 2019 y agosto de 2020 estaban relacionados con COVID-19.

Anteriormente, las organizaciones del Reino Unido podían someterse a evaluaciones para las certificaciones Cyber ​​Essentials y Cyber ​​Essentials Plus sin preocuparse por nada más que la seguridad de sus entornos de oficina. Ahora, bajo nuevas restricciones de bloqueo, la mayoría de la fuerza laboral del Reino Unido hará su trabajo desde casa, por lo que las organizaciones deben garantizar una vez más la seguridad de las redes de sus empleados para proteger su negocio y mantener el cumplimiento de las certificaciones de la industria.

Si bien parece que esta situación requiere una solución táctica, las empresas deben pensar estratégicamente para evitar la introducción de riesgos futuros. Las empresas deberán asegurarse de que la protección de los terminales en los dispositivos de los usuarios esté a la altura de la tarea, dado que la mayoría de los dispositivos ahora estarán nuevamente conectados a una infraestructura no administrada y desprotegida. Las empresas pueden sentir que deberían posponer las evaluaciones de vulnerabilidad o las pruebas de penetración mientras los sistemas están quizás en un estado más fluido de lo habitual, pero no sería aconsejable hacerlo. La necesidad de evaluaciones de seguridad es aún mayor durante este tiempo de posible inestabilidad.

La buena noticia es que las juntas de acreditación, como IASME, cuentan con medidas para permitir la realización de evaluaciones remotas. Sin estos, varias empresas no podrían mantener el cumplimiento o afirmar que se están cumpliendo sus requisitos de seguridad básicos. A pesar de esto, muchas PYMES todavía tienen demasiadas reparaciones que hacer en poco tiempo.

Existe una posibilidad real de que los empresarios no se hayan dado cuenta de que la responsabilidad de garantizar las redes domésticas de sus empleados recae en ellos, lo cual es comprensible teniendo en cuenta todo lo demás con lo que han tenido que lidiar este año. Pero hacemos un llamado para que todas las organizaciones analicen lo que se debe hacer para garantizar su seguridad e integridad de datos para cubrir todas las bases. Mostrar a los órganos de gobierno que está tomando medidas en la dirección correcta contribuirá en gran medida a mantener la certificación y reforzará las redes de trabajadores a domicilio, lo que le dará tranquilidad.

El autor

Richard Hughes, director de seguridad cibernética técnica de A&O IT Group.

Este contenido se publicó originalmente aquí.