A medida que la pandemia de COVID-19 continúa obligando a muchos empleados a trabajar desde casa, tanto ahora como en el futuro, es crucial que las empresas tomen precauciones para proteger los datos confidenciales de las vulnerabilidades de los ciberataques introducidas por esta nueva «normalidad». Eso significa establecer políticas de seguridad de datos para toda la organización que tengan en cuenta a los trabajadores remotos y les informen sobre los riesgos y cómo evitarlos. A continuación, se incluyen tres consejos para mantener seguros los datos de su organización durante la era del trabajo desde casa:
1. Tenga cuidado con las redes Wi-Fi públicas y abiertas
Los empleados probablemente no configuraron sus redes Wi-Fi domésticas esperando pasar meses trabajando y viendo archivos confidenciales de la empresa desde casa. Es posible que algunos no tengan acceso a Wi-Fi en casa, lo que les obliga a utilizar redes públicas y puntos de acceso. En cualquier caso, las empresas pueden proteger los datos corporativos con algunas medidas simples:
Encriptar las sesiones de los empleados con redes privadas virtuales (VPN): una VPN crea una conexión segura a través de una red pública o no segura al encriptar los datos que fluyen hacia y desde el dispositivo. Los líderes de la empresa deben establecer una política que requiera que todos los empleados remotos utilicen una VPN. Tenga en cuenta que es probable que las políticas de trabajo desde casa se vuelvan más populares en el futuro. Ahora que las empresas han establecido capacidades de trabajo remoto debido a la pandemia, los empleados pueden esperar continuar con esa práctica mucho después de que la pandemia haya pasado, por lo que es aconsejable establecer protocolos ahora.
Use un disco Wi-Fi personal: si los líderes de la empresa no confían en la seguridad de la red doméstica de sus empleados, los empleados también pueden usar un dispositivo de punto de acceso Wi-Fi personal y seguro, también llamado disco. Este dispositivo está disponible a través de los principales proveedores de telefonía móvil y actúa como un punto de acceso que se conecta a través de un dispositivo móvil. Más caro que una VPN, pero es pequeño (del tamaño de una llave USB) y portátil. Estos dispositivos pueden resultar esenciales para evitar ataques de suplantación de identidad, que es cuando un mal actor se hace pasar por un servicio o dispositivo para acceder a sus datos, y ataques de intermediario, cuando un pirata informático intercepta (y posiblemente incluso altera) información entre dos partes.
Utilice la autenticación multifactor (MFA): la autenticación multifactor garantiza que el acceso se otorgue solo después de que una persona presente al menos dos piezas de «prueba» de que es quien dice ser. El proceso de validación requiere cumplir al menos dos de las tres categorías: algo que saben, algo que tienen y algo que son. Por ejemplo, puede requerir una contraseña y un código de texto o huella digital. Es una medida de seguridad simple que su empresa debe tener implementada ya sea que los empleados estén remotos o no, pero si aún no la tiene implementada, ahora es el momento de hacerlo. Considere el uso de aplicaciones o sistemas de autenticación que envían códigos de acceso por mensaje de texto para minimizar el riesgo de que los ciberdelincuentes roben datos confidenciales.
2. Establecer políticas de dispositivos personales
Es probable que muchas personas usen sus dispositivos personales para trabajar desde casa durante la pandemia. Si bien esto puede no parecer un problema, considere dónde irán esos dispositivos cuando termine la necesidad u obligación de quedarse en casa: cafeterías, hoteles y más. Sin las medidas de seguridad adecuadas, todos los datos a los que se accede en estos dispositivos (incluidos correos electrónicos, archivos y la nube) son susceptibles a violaciones de datos. Con tantos empleados remotos, es aconsejable crear políticas para toda la empresa que:
Requiera protocolos de seguridad estándar: las organizaciones deben requerir autenticación multifactor, tiempos de espera de seguridad y complejidad de contraseña para cualquier empleado que utilice dispositivos personales para asuntos comerciales. Las contraseñas deben contener letras mayúsculas y minúsculas, números y caracteres, ninguno de los cuales se puede adivinar fácilmente. Tampoco deben usar la misma contraseña para varias cuentas. Sugiera que utilicen un administrador de contraseñas que genere y almacene información de inicio de sesión para garantizar que las contraseñas sean complejas y variadas (sin depender de la memoria).
Utilice una base de conocimiento: otorgue acceso a archivos y sistemas confidenciales solo a aquellos cuyas funciones y responsabilidades dependen de ellos. También puede limitar los privilegios, como las funciones de editor y administrador, si es necesario. Opte por el acceso de «solo lectura» para tantos empleados como sea posible para evitar que los actores malintencionados vean, alteren o eliminen archivos críticos o confidenciales.
Describa el derecho de la empresa a acceder a los dispositivos: cree un contrato para que lo firmen todos los empleados en el que se indique que la empresa posee y controla todos los datos corporativos. El contrato debe permitir a la organización borrar de forma remota incluso los dispositivos personales de un empleado si se pierden o son robados y contienen datos corporativos. Las plataformas de administración de dispositivos móviles se pueden programar para borrar solo los datos de la empresa y dejar intactos los datos personales, por lo que el empleado no perderá nada si se da este paso.
3. Eduque a los empleados sobre las amenazas
Una fuerza laboral educada es la mejor defensa contra los ciberataques. Muchas organizaciones ahora llevan a cabo sesiones de formación periódicas sobre las mejores prácticas de seguridad cibernética, independientemente de que los empleados trabajen desde casa o no. Debido al reciente aumento de los intentos de phishing y malware, los gerentes deben comunicarse con más frecuencia con los empleados, compartir consejos, actualizaciones y otra información para combatir las amenazas. Una vez que los trabajadores están de regreso en la oficina y el nivel de riesgo vuelve a la normalidad, esta capacitación puede ser parte de la incorporación de empleados y las reuniones de planificación anuales de toda la empresa. El programa debe abordar:
Tipos comunes de amenazas de datos internas y externas
Nuevas tecnologías que ayudan en la piratería
Cómo responder si su dispositivo ha sido violado
Defensas contra ataques, como contraseñas seguras y autenticación multifactor
Usar el sentido común mientras está en línea y mantener la seguridad como una prioridad
Ciertamente, nunca antes habíamos experimentado algo como esta pandemia, pero afortunadamente contamos con tecnología avanzada que nos permite a muchos de nosotros continuar con nuestro trabajo de la misma manera que lo haríamos en una oficina. Al tomar estas precauciones de ciberseguridad, puede mantener seguros los datos de su organización durante la pandemia y estará preparado para lo que suceda a continuación.
Traducción libre y condensado del Artículo de Brian Schrader publicado en la Risk Management Magazine, Julio 2020.
