Seguridad: Cómo proteger los datos trabajando de forma remota
A medida que el Coronavirus está alterando la vida cotidiana de miles de millones de personas en todo el mundo, las empresas se encuentran en el medio de lo que muchos han descrito como «experimento más grande del mundo para trabajar desde casa».
Prácticamente de la noche a la mañana, muchas compañías se han visto obligadas a ajustar sus operaciones al trasladar a millones de trabajadores de sus oficinas a sus hogares. Si bien esta funcionalidad es crítica para los objetivos marcados a priori, ya que permite que los empleados sigan siendo productivos y que las empresas permanezcan operativas incluso cuando las oficinas están cerradas, también conlleva importantes riesgos de ciberseguridad. Los ciberdelincuentes están siempre preparados para aprovechar una crisis y han creado y distribuido una auténtica avalancha de correos electrónicos «tóxicos», llamados «phishing Covid-19», lo que ha llevado a muchos gobiernos a dar la voz de alarma ante este riesgo cibernético. La seguridad de muchos entornos digitales está en riesgo.
En España también se ha dado, aunque en menor medida, dado que el teletrabajo no ha logrado -de momento- una consolodación tan grande como en otros países, lo cual no quiere decir que todavía haya muchas empresas que opten por esta forma de dirigir a sus empleados, con lo cual el riesgo también existe. Bancos, aseguradoras, instituciones gubernamentales, despachos profesionales, etcétera, parecen dispuestos a implantar el teletrabajo a largo plazo.
Debido a esto, los empleados que trabajan en dispositivos personales o redes inalámbricas no seguras pueden poner en riesgo la información crítica la empresa para la que trabajan. Además, todo, desde el fraude de acceso remoto hasta las amenazas internas, se vuelve más potente durante una crisis, donde los equipos domésticos carecen de la supervisión y la infraestructura que generalmente acompaña a un entorno de TI en el trabajo.
En pocas palabras, los trabajadores remotos expanden exponencialmente el riesgo de ataque potencial de su empresa, aumentando la probabilidad de una violación de datos o de la privacidad. Sin embargo, en este momento sin precedentes, la mayoría de las empresas no tienen otra opción. Por lo tanto, cuando trabajes de forma remota, aquí hay unos consejos para proteger, dentro de lo que cabe, los valiosos datos de tu empresa. La seguridad no tiene excusa alguna.
# 1 Crear y comunicar estándares de seguridad específicos en la gestión de datos del trabajo remoto
De manera inexplicable, en 2020, y a pesar de que las regulaciones de privacidad continúa sucediendo que muchas compañías aún no tienen una política coherente de gestión de datos que puedan transmitir a sus empleados. Como resultado, muchos de ellos no están seguros de la eficacia al usar dispositivos personales, compartir información del cliente o implementar tácticas defensivas.
A medida que se desarrolla este gran descubrimiento que es el trabajo desde casa, incluso las organizaciones con políticas establecidas de gestión de datos y seguridad deben reevaluar y reiterar sus estándares a los empleados que ahora trabajan en un entorno digital. Si bien cada empresa tiene su propia idiosincrasia en relación a estas políticas, cada una de ellas debería abordar lo siguiente:
- Normas de contraseña de cuenta. El uso de contraseñas seguras y únicas en todas las cuentas es una medida básica de ciberseguridad que todo empleado debe seguir. Por ejemplo, el aumento significativo en los inicios de sesión de trabajo remoto son una invitación para los ladrones de credenciales, que tienen por finalidad acceder al entorno TI de la empresa sin ser detectado. Solo las contraseñas seguras y únicas pueden evitar que esto se concierta en un problema generalizado.
- Autenticación de dos factores. Por regla general, los empleados y usuarios tienen alergia a la autenticación de dos factores, pero esta característica simple puede mantener seguras las cuentas de la empresa, incluso si estas se ven comprometidas.
- Integración VPN. Toda organización necesita identificar, distribuir y actualizar rutinariamente un servicio VPN -Red Privada Virtual- confiable. Si bien este software necesita recorrer un largo recorrido hasta conseguir la protección de datos de la empresa y los clientes, también han surgido múltiples estafas que promocionan servicios VPN que parecen legítimos y que albergan malware en las estaciones de los usuarios. Al mismo tiempo, los investigadores de ciberseguridad han identificado numerosos fallos en los servicios VPN obsoletos que podrían comprometer la seguridad de la cuenta. La alternatitva evidente para un servicio VPN es un servidor porxy, del cual hablamos en este artículo.
- Uso de dispositivos personales. Los empleados a menudo usan dispositivos personales en la oficina, y muchos más probablemente tendrán la tentación de acceder a las redes de la empresa de forma remota o completar tareas de trabajo en estas máquinas mientras trabajan desde casa. Hasta que en España haya una legislación al respecto, los usuarios que desarrollan teletrabajo han de hacerlo con su hardware particular.
- Compartir datos. Las empresas deben describir claramente las técnicas aceptables para compartir datos mientras trabajan desde casa. Los empleados acostumbrados a colaborar en la oficina tienen más probabilidades de comprometer los datos a medida que comunican información confidencial desde su casa. En este sentido, un poco de orientación puede ser de gran ayuda para asegurar los datos críticos.
# 2 Preparar a los empleados para identificar estafas de phishing y otros intentos de fraude
Incluso antes de la COVID-19, los empleados que respondían a estafas de phishing eran una vulnerabilidad de seguridad cibernética a tener muy en cuenta. Se estima que se envían más de un billón de estafas phishing cada año. Estos son cada vez más sofisticados, incluyendo datos personales de los destinatarios y otras características de autenticidad.
Por desgracia, un solo empleado solo necesita responder a uno de estos mensajes maliciosos para causar una violación de datos, lo que hace que la identificación de estafas de phishing sea un componente crítico de la estrategia defensiva de cualquier empresa. Estas iniciativas deben actualizarse para la empresa y para los trabajadores remotos que reciben mensajes durante y tras la pandemia de COVID-19, ya que los ciberdelincuentes están explotando muy «profesionalmente» una sensación de miedo, urgencia e inquietud para alentar el compromiso con sus ataques.
Al mismo tiempo, hay una avalancha de otros intentos de fraude que representan un riesgo significativo durante este tiempo singular. A colación de esto, es importante que los empleados conozcan los siguientes tipos de estafas:
- estafas de tratamiento
- estafas de suministro
- estafas de proveedores
- estafas de caridad
- estafas de phishing
- estafas de aplicaciones
- estafas de inversión.
Los «amigos de lo ajeno» están ansiosos por aprovechar nuestra vulnerabilidad colectiva durante este periodo de inseguridad y las empersas tienen la responsabilidad y una buena razón para ayudar a sus empleados a navegar por este panorama digital.
# 3 Monitorear la actividad de los empleados
El monitoreo de los empleados se ha convertido en un elemento crítico de las estrategias de ciberseguridad de muchas empresas. Dado que las amenazas internas representan un porcentaje cada vez más importante para la seguridad de los datos, esta supervisión digital protege dichos datos de clientes y empresas contra el uso indebido accidental y malicioso.
Ahora, con miles de empleados que operan fuera del ámbito de la empresa en España y millones en el resto del mundo, las empresas deben multiplicar sus iniciativas de monitoreo para garantizar que los trabajadores sigan siendo productivos, comprometidos y, lo más importante, seguros.
En particular, el software de monitoreo de empleados es la herramienta que permite a las empresas responsabilizar a los trabajadores por los estándares de gestión de datos que ayudarán a mantener la seguridad durante este tiempo sin precedentes. Por ejemplo, monitorear los dispositivos de la compañía permitirá a los responsables identificar a los empleados que pueden estar trabajando desde dispositivos personales para acceder y transmitir datos de la empresa. Del mismo modo, el monitoreo de los empleados puede identificar a los que son susceptibles de ser «seducidos» por estafas.
Al mismo tiempo, un software de análisis de comportamiento de usuarios y entidades (UEBA) puede rastrear a los empleados en busca de signos de estrés u otras anormalidades. En última instancia, es una forma de compromiso que puede fomentar la productividad y el bienestar al tiempo que mitiga los riesgos de seguridad de datos que plantea el teletrabajo.
# 4 Restringir el acceso a datos críticos
Si bien el acceso a los datos críticos de la empresa siempre debe ser una de las primeras directivas que hay que dar a conocer, esto es especialmente cierto cuando hablamos de teletrabajo. Al mismo tiempo, los administradores de TI deben considerar limitar la capacidad de los empleados para guardar, descargar o extraer datos de la empresa.
A medida que los usuarios de teletrabajo se conectan a las redes de la empresa desde entornos no controlados, el panorama de amenazas aumenta exponencialmente. En respuesta, restringir el acceso a los datos limita la posible exposición y disminuye el riesgo de una violación de los mismos.
# 5 Practicar el distanciamiento social digital
Este año, el término «distanciamiento social» ha entrado en nuestra lengua vernácula como un elefante en una cacharrería, y sin duda definirá este tiempo turbulento. A medida que los empleados practican el distanciamiento social trabajando desde casa, practicar simultáneamente el distanciamiento social digital es una forma crítica de mantener segura la información. Es un símil curioso pero que no deja de tener su imporancia.
Por ejemplo, es importante limitar la información personal publicada online que podría comprometer las cuentas o hacer que los usuarios sean vulnerables a campañas altamente sofisticadas de phishing. Limita la difusión de mala información teniendo en cuenta lo que compartes online, y asegúrate de que tus trabajadores siempre estén trabajando con la mejor información para evitar un incidente de ciberseguridad.
En este extraño momento, donde las empresas están entrando en escenarios desconocidos, será imposible dar cuenta de cada amenaza en este entorno en constante evolución.
Sin embargo, eso no significa que sean impotentes ni capaces de hacer frente a estas amenazas. Muchos ciberdelincuentes no están inventando nuevas metodologías de ataque. En cambio, se dirigen a organizaciones que no pueden o no se mantendrán al día con las mejores prácticas, explotando su ineficacia para su propio beneficio. Al adoptar las mejores estrategias relacionadas con el teletrabajo, cada empresa puede reducir significativamente su exposición, lo cual es fundamental para mantener el negocio en funcionamiento mientras permanecemos en el Estado de Alarma.