Recursos & Herramientas

Cambio en los modelos de trabajo

Con la actual propagación del coronavirus están cambiando rápidamente las directrices gubernamentales. En muchos países se está pidiendo por primera vez a las personas sanas que eviten cualquier exposición pública innecesaria, por ejemplo, en grandes reuniones, en el transporte público... y en el lugar de trabajo.

Como consecuencia, muchas empresas de todo el mundo están preparando o implementando activamente un modelo de negocio que involucra a muchos más trabajadores remotos de los que nunca hubieran imaginado. Los equipos de TI y de gestión están trabajando con ahínco en la infraestructura y en la organización para hacerlo posible. En esta carrera por mantener el funcionamiento de los negocios, existe un riesgo notable de que la seguridad no se planifique correctamente.

Las buenas prácticas de ciberseguridad empresarial deberían tener en cuenta los siguientes aspectos en todo momento:

  • ¿Están protegidas la tecnología y la infraestructura implementadas frente a cualquier agente malintencionado, fuera y dentro de la organización?
  • ¿Disponen todos los empleados, subcontratistas y terceros relevantes de la empresa de instrucciones y una guía clara sobre cómo realizar su trabajo de manera segura?
  • ¿Alguna de las medidas de seguridad implementadas impide que los empleados realicen su trabajo de manera eficiente?

Si dispone del nivel adecuado de seguridad, su empresa estará en buena disposición para esquivar cualquier amenaza a la ciberseguridad. Si no se alcanza ese nivel, su empresa será vulnerable. Demasiada seguridad aplicada de forma incorrecta puede significar que sus empleados se desesperen y busquen soluciones alternativas que en última instancia abran la puerta a vulnerabilidades para su empresa.

Asesoramiento de seguridad esencial para generar capacidad remota

Con estos argumentos en mente, S-RM resume en la siguiente lista algunas de las áreas principales que hay que tener en cuenta para la planificación o la implementación de las capacidades del trabajo en remoto.

Protección de los dispositivos

Un aspecto clave para los trabajadores remotos es que dispongan de portátiles, teléfonos móviles, tabletas u otros dispositivos desde los que trabajar. Muchas empresas proporcionan ya equipos adicionales a sus trabajadores que les permiten trabajar a pleno rendimiento fuera de la oficina. No obstante, tenga en cuenta lo siguiente:

Asegúrese de disponer de una gestión de activos eficaz. Sepa qué dispositivos tienen acceso a su red y sus datos, planifique cualquier cambio y bloquee o elimine los equipos obsoletos de su red antes de que se conviertan en un punto débil para la seguridad.

Todos los dispositivos de la empresa, especialmente aquellos que se sacan de la oficina, deberían estar cifrados para proteger los datos en caso de pérdida o robo.

  • Utilice BitLocker o una solución de terceros adecuada para dispositivos Windows.
  • Asegúrese de que los dispositivos Apple tengan el cifrado activado (normalmente lo tienen).
  • Asegúrese de que el resto de dispositivos móviles disponen de un cifrado adecuado.

Si permite a sus empleados utilizar sus dispositivos personales, plantéese si sus datos corporativos están bien protegidos. Las soluciones de gestión de dispositivos móviles pueden facilitarle la protección de datos en estos dispositivos, o puede que necesite limitar desde el primer momento el acceso de los empleados a ciertos datos.

¡No se olvide de los equipos que se quedan en la oficina! Con los empleados trabajando desde casa, ¿existe la suficiente seguridad física en sus centros para proteger servidores, ordenadores y otros elementos de su red frente a agentes malintencionados?

Los desplazamientos de dispositivos, empleados y cuentas de usuario no deberían hacerle olvidar otros preparativos de seguridad diarios: las contraseñas seguras, las cuentas de administrador local protegidas y adecuadas, y el control sobre las aplicaciones y servicios de su red, por nombrar solo algunos aspectos, siguen siendo igualmente importantes.

El acceso a la red debería resultar sencillo para los usuarios legítimos, pero imposible (o al menos muy difícil) para cualquier otra persona.

Protección de las redes

Si tanto los terminales como los servidores están bien protegidos, es importante garantizar que puedan conectarse entre sí. El acceso a la red debería resultar sencillo para los usuarios legítimos, pero imposible (o al menos muy difícil) para cualquier otra persona. Tenga en cuenta lo siguiente:

  • Método de conexión. Los clientes VPN bien configurados en todos los dispositivos de los empleados permiten un acceso seguro a la red a través de un túnel privado. Habrá disponibles otras opciones de acceso seguro para casos particulares. Si necesita que sus empleados puedan acceder desde la red abierta de Internet, ¿se conectarán a un cortafuegos externo en particular o a un servicio en la nube bien gestionado, como Office 365? Para planificar el acceso de los usuarios, intente limitar al máximo posible la exposición de áreas adicionales de su red a Internet y sus muchas amenazas.

  • Restricción del acceso. Se pueden configurar muchos tipos de conexiones para protegerlas aún mejor frente a agentes malintencionados. Si utiliza un servicio en la nube como Office 365, piense en la posibilidad de restringir el acceso siempre que sea posible a determinados dispositivos, determinados rangos de IP o a un tipo determinado de conexiones. Los cortafuegos y otros servicios ofrecen muchas opciones parecidas para gestionar cuidadosamente las normas de acceso. Piense también en restricciones dentro de su red: evitar que las conexiones o las cuentas de usuario traspasen determinadas áreas reducirá el riesgo que supone un empleado no seguro o una vulnerabilidad imprevista.
     
  • Autenticación sólida. El siguiente paso para proteger cualquier acceso es garantizar la utilización de políticas de contraseñas seguras y autenticación multifactor. La implementación de políticas de contraseñas seguras es imprescindible para cualquier servicio, no solo para los de acceso público. La autenticación multifactor debe utilizarse en la medida en que resulte práctica para su empresa. Recuerde que hay muchos tipos de autenticación. Los mensajes de texto pueden resultar una ruta con poca resistencia. Si tiene tiempo para configurar una aplicación de autenticación, su empresa estará mucho más protegida. La autenticación basada en dispositivos, por otra parte, puede ser adecuada para reducir la frustración de los empleados.

  • Piense en todo. Para proteger una red tiene que tener en cuenta todas las formas diferentes de acceder a ella. ¿Cómo acceden sus empleados al correo desde sus dispositivos móviles? ¿Necesitan conectarse a tecnología operativa, como equipos de fabricación? (y, ¿es seguro permitirlo?) ¿Cómo se estructura el acceso a escritorio remoto en su red? Si falla la seguridad en estos puntos, estará creando vulnerabilidades. Si no los facilita, impedirá el trabajo de sus empleados.

Protección de las conexiones de los empleados

Es posible que la red esté bien protegida en su extremo, pero que los datos provengan de otra parte. Cuando los empleados se encuentran fuera del entorno seguro, a menudo depende de ellos garantizar que se actúe correctamente. Puede ayudarles ofreciéndoles una guía adecuada (como la que se plantea a continuación) sobre temas como:

  • Configuración de wifi doméstica. Los usuarios corrientes suelen pasar por alto la seguridad básica al configurar sus entornos domésticos. Puede ayudar a sus empleados con un sencillo asesoramiento respaldado por los líderes sénior. Aspectos básicos como cambiar el nombre de la red y las credenciales de acceso y de administrador son fundamentales, y los empleados deberían asegurarse siempre de disponer de un cifrado de red adecuado, de tener el acceso remoto deshabilitado y su software actualizado.

  • Acceso a otras redes. Puede que le interese ofrecer una guía a sus empleados sobre cómo usar (o no) una wifi pública, sobre cómo se pueden falsificar los nombres de red y sobre la multitud de ataques de intermediarios («man-in-the-middle») que pueden producirse en las redes wifi públicas. Muchas de las directrices sobre cómo usar la wifi con fines empresariales son muy parecidas, pero al establecer sus propias normas y guías específicas podrá asegurarse de que sus empleados comprendan perfectamente la práctica recomendada. No se olvide de mencionar el resto de riesgos que tiene el trabajo en lugares públicos; por ejemplo, en relación con las conexiones Bluetooth o, simplemente, con las miradas por encima del hombro.

  • Canales de comunicación. Asegúrese de que sus empleados comprendan perfectamente cómo deben comunicarse con usted, con terceros y entre sí. Deje claro que los correos electrónicos de trabajo deben limitarse a las cuentas de trabajo y qué servicios de mensajería deben usar (¿dispone de una solución empresarial específica o utilizan WhatsApp?). Si no se asegura de ofrecer líneas de comunicación claras, es muy posible que en poco tiempo sus empleados comiencen a pasarse contraseñas o nombres de clientes por mensajes de texto, con los consiguientes riesgos. Si proporciona soluciones claras podrá supervisar su actividad de forma efectiva en relación con cualquier amenaza potencial, movimientos de datos inadecuados u otros fines empresariales.

  • Suplantación de identidad con el coronavirus. Como ha ocurrido con otros eventos de importancia, el brote de COVID-19 representa una oportunidad para los agentes malintencionados, desde simples estafadores hasta grupos de hackers respaldados por gobiernos. Personas y empresas de todo el mundo son el objetivo de campañas de suplantación de identidad diseñadas para aprovechar el miedo al virus y la falta de información fiable sobre el brote. Todos debemos prestar una especial atención en relación con cualquier comunicación, enlace, archivo adjunto o solicitud de información sobre el coronavirus. Advierta a sus empleados sobre esta circunstancia con el objetivo de reducir la amenaza para ellos y para usted.

Información para los empleados

Todos los puntos mencionados anteriormente son áreas relevantes en las que puede ofrecer una guía para sus empleados, pero la comunicación clara y eficaz es, en realidad, uno de los pasos más importantes que deben tenerse en cuenta en cualquier área. Aunque disponga de un plan claro y una infraestructura segura, sin una información clara los empleados cometerán errores, o incluso darán por hecho que no dispone de un plan y empezarán a tomar medidas por su cuenta (potencialmente no seguras o contraproducentes).

Asegúrese de que sus empleados estén bien informados al menos con una semana de antelación, si es posible, sobre los dispositivos que pueden usar, los servicios a los que pueden acceder y cómo deben hacerlo. Manténgales al tanto de cualquier cambio. Es posible que algunos empleados no dispongan del acceso que necesitan; tendrá que encontrar una solución antes de que lo hagan ellos. Si aún no se dispone de acceso, los empleados deberían saber cuándo está prevista la implementación para que puedan actuar en consecuencia y, si es posible, deberían conocer las alternativas de las que disponen mientras tanto.

Las comunicaciones de este tipo no solo incumben a los equipos técnicos de TI o ciberseguridad. La comunicación con los empleados en relación con el acceso remoto debe ser supervisada a nivel de la gestión ejecutiva. Aunque los equipos técnicos pueden proporcionar las soluciones y guías adecuadas que necesitan los empleados, es imprescindible preparar y presentar esta información de forma efectiva para ofrecerla con un lenguaje sencillo y claro, a través de un método apropiado y en unos plazos apropiados. Es muy importante que la guía o la política esté claramente respaldada por los líderes sénior de la organización, a fin de disponer de la autoridad y la claridad necesarias que convenzan a los empleados para llevar a cabo los consejos proporcionados.

En la medida de lo posible, asegúrese de ofrecer suficiente información también a terceros, incluidos los clientes que tengan que acceder a la red. Tendrán que saber también cómo ponerse en contacto con usted, cómo acceder a los servicios e infraestructuras relevantes y qué se les pide en cuanto a su propia seguridad. Asegúrese de tener listos sus planes y requisitos y, a continuación, hágales saber de una forma clara y decidida lo que busca. Si la situación cambia, piense en el mejor momento para comunicarles los cambios.

Prepararse para lo peor

Cualquier profesional de ciberseguridad sabe que nadie está totalmente a salvo de un ataque malintencionado. El aumento de exposición que conlleva el trabajo en remoto, combinado con la confusión y los plazos ajustados para responder a la cambiante situación del coronavirus, no hacen sino incrementar ese riesgo.

Si ya dispone de una respuesta efectiva ante incidentes cibernéticos, planes de gestión de crisis o de recuperación del negocio, es importante que los revise a la luz de este nuevo entorno operativo. ¿Puede acceder a todos los equipos que necesitará probar o reiniciar? ¿Se sigue haciendo una copia de seguridad de sus datos en un lugar seguro? ¿Sus usuarios pueden seguir notificando de forma efectiva suplantaciones de identidad u otros indicadores de incidentes cibernéticos? ¿Cómo prevé mantener la comunicación entre los gestores clave de las crisis si todos los portátiles y móviles se cifran tras un ataque de ransomware? Si aún no ha puesto a prueba su plan, puede que no sea el momento de empezar pero, como mínimo, trate de que todo el personal relevante comprenda claramente el plan y cómo se ha visto afectado por la situación actual.

Si no dispone de estos planes, es muy posible que no tenga tiempo de diseñarlos ahora, pero tenga en cuenta al menos los aspectos básicos. ¿Sabe dónde se guardan sus datos clave? ¿Sabe qué servicios son esenciales para la supervivencia de su empresa? ¿Dispone de canales de comunicación de respaldo, independientes de la red? ¿Dispone igualmente de copias de seguridad de los datos independientes y actualizadas periódicamente?

Y sobre todo, en su situación actual, ¿Quién es imprescindible para responder ante una crisis? ¿A quién más debe informarse? ¿Cómo van a coordinarse y quién los sustituirá cuando tengan que descansar?

Evolución

Como se ha indicado anteriormente, la situación global y las medidas de los gobiernos cambian rápidamente. Conforme pase el tiempo, es posible que las empresas dispongan de un plazo más amplio para implementar medidas adicionales y adaptarse mejor a la nueva situación, o puede que los nuevos eventos las fuercen a seguir reaccionando. En cualquiera de los casos, tenga en cuenta lo siguiente:

  • La ciberseguridad debería ser una parte de su planificación de TI y empresarial, no un añadido al final, cuando resulte ineficaz, o un estorbo.
  • Tenga siempre la mirada puesta en los datos, activos y servicios clave que necesitan protección.
  • Piense siempre en su red u organización al completo; preste atención a no dejar huecos en sus defensas ni a bloquear por error necesidades empresariales legales.
  • Comuníquese con sus empleados: utilice mensajes claros y sencillos, asegúrese de que la información suministrada esté bien fundamentada y tenga autoridad, y explíqueles cómo deben actuar para hacer bien su trabajo.

Encontrará una versión descargable de esta alerta de riesgo cibernético aquí.

John Coletti es Chief Underwriting Officer y Head of Cyber and Technology en Norteamérica de AXA XL, una división de AXA. Su dirección de correo electrónico es john.coletti@axaxl.com. Aaron Aanenson es Director of CyberSsecurity de S-RM. Su dirección de correo electrónico es a.aanenson@s-rminform.com.

  • Sobre el Autor
Tu nombre
Tu apellido
Selecciona tu país
Invalid email
Invalid Captcha
 

Más Artículos