A fondo
Fernando Sevillano Director de Consultoría en Ciberriesgos
WILLIS TOWERS WAT S O N
Seguridad y acceso remoto Informe sobre compañías medianas
En una situación tan anómala y desconocida como la que estamos pasando, muchos de los equipos de Sistemas y Ciberseguridad se han reinventado para cumplir con los nuevos niveles de servicio. Han tenido que diseñar,
willistowerswatson.com
activar, desplegar, mantener y administrar —en un tiempo récord— sistemas y arquitecturas que facilitan a los empleados diferentes capacidades de acceso remoto seguro, así como la posibilidad de interactuar y trabajar de forma colaborativa accediendo a sistemas de información on-premise y cloud.
*
42 //
Uno de los resultados de la pandemia ha sido el incremento
lo general, han sido las que han obtenido mejores puntuacio-
exponencial del teletrabajo y la consiguiente concurrencia
nes. Por el contrario, aquellas en las que el núcleo del negocio
masiva en remoto de usuarios a los sistemas corporativos.
está ligado a una actividad industrial concreta son las que tie-
Tras la declaración del estado de alarma, y fruto del contacto
nen un mayor margen de mejora.
directo con nuestros clientes, diseñamos un marco de traba-
Además, se ha comprobado que el factor humano (por omi-
jo que permitía que estos autoevaluaran su nivel de madurez
sión, error, negligencia, mala fe…) está detrás de un 60% de
respecto al acceso remoto seguro. Más de setenta compañías
los incidentes de ciberseguridad. Pese a ello, cuestiones como
medianas españolas de diversos sectores, con una facturación
el diseño de políticas y procedimientos, o la formación, resul-
media de 180 millones de euros, ya lo han utilizado, lo que nos
tan fundamentales para disminuir la incidencia de ese factor.
permite extraer conclusiones y obtener una pequeña radio-
Por otro lado, hemos constatado también que las compañías
grafía de cuán preparadas están ante esta nueva forma de
analizadas invierten la mayor parte de los recursos en tener
trabajar, que puede haber llegado para quedarse.
listos y funcionales sus sistemas y arquitecturas para el acceso remoto seguro frente a estas cuestiones.
Las empresas están llevando a cabo buena parte de las actividades y los controles para el acceso remoto seguro a sus activos
SISTEMAS Uno de los subdominios analizados está relacionado con el tipo de tecnología que se utilizaba para el acceso a los sistemas on-premise (servidores VPN, servicios RDP, etc.) y a los que son consumidos como servicio (SaaS, IaaS o PaaS). En este último punto estudiamos la utilización de sistemas tipo PAM (privileged access management) o CASB (cloud access security management), que normalmente se integran por delante de los
Este estudio se ha basado en la autoevaluación de veinte
diferentes servicios que proporcionan los proveedores cloud y
controles, agrupados en cuatro grandes subdominios relacio-
que aseguran que las políticas de identificación, autenticación,
nados con el acceso remoto seguro: sistemas, arquitectura,
autorización y auditabilidad (IAAA) se lleven a cabo correcta-
políticas y procedimientos internos, y formación. Según los
mente. Es decir, que el acceso a recursos no propietarios (en
resultados, las empresas españolas están llevando a cabo
este caso, siempre remoto), se ejecute de forma segura.
buena parte de las actividades y los controles para realizar
En esta área, el nivel de madurez medio obtenido ha sido del
un acceso remoto seguro a sus activos, obteniendo un 65% en
74%. En cualquier caso, el tiempo transcurrido desde el inicio
cuanto al nivel de madurez. Las de servicios profesionales, por
del estado de alarma hasta la actualidad ha sido aprovechado
JULIO 2020
