Cómo mantener la seguridad cibernética de su organización y proteger la propiedad intelectual en un entorno de trabajo remoto.
Para muchas organizaciones, el cambio impulsado por la pandemia a trabajar desde casa resultó ser un éxito; tanto es así que el 82% de los empleados piensa convertir el trabajo remoto en algo permanente y habitual, según una encuesta de 2020 de Gartner. Sin embargo, esto no sucedió sin presentar desafíos. El cambio abrupto a los entornos virtuales dio lugar a un oscuro renacimiento de amenazas y vulnerabilidades cibernéticas contra las que muchos líderes sénior están trabajando continuamente para combatir. Tras el COVID-19, los ataques de ransomware (cibersecuestro de datos) aumentaron en un 148% en un mes y los ataques de fraude electrónico aumentaron en un 600% en siete meses. Quizás como era de esperarse, los ataques a los trabajadores remotos fueron cinco veces más altos que en 2020.
Antes de la pandemia, pocas organizaciones habían hecho planes para enfrentarse a dicho desafío en su seguridad cibernética o planes de continuidad comercial. Claramente, muchas compañías no estaban lo suficientemente preparadas para adaptar roles y procesos designados para entornos de oficinas seguras a entornos remotos menos seguros. A medida que las herramientas virtuales se vuelven más predominantes, los estafadores igualmente sofisticados siguen aprovechando las debilidades comunes de tecnología e infraestructura, especialmente en sus esfuerzos por llegar a corporaciones, gobiernos e infraestructura importante.
La protección contra estos ataques se enfoca tanto en los procesos como en las personas. Primero, los líderes deben entender dónde se originan estos nuevos riesgos para abordar las vulnerabilidades en la seguridad. Luego, necesitan potenciar una cultura de la seguridad, en la que todos, desde ejecutivos hasta empleados júnior, tengan las herramientas y los recursos que necesitan para evitar una violación de datos.
Abordar riesgos clave
Mientras una multitud de factores puede contribuir a una seguridad cibernética deficiente y en consecuencia a un aumento en los ataques cibernéticos, un estudio de Deloitte apunta a varios factores clave que han hecho más vulnerables a las organizaciones durante este período:
- Entornos de trabajo no seguros. Desde una privacidad comprometida hasta conexiones inalámbricas no seguras, el trabajo remoto puede presentar una variedad de riesgos de seguridad de datos. Por ejemplo, entornos en casa en que hay múltiples dispositivos conectados a Internet pueden presentar problemas únicos en relación con la confidencialidad y la protección de la propiedad intelectual, especialmente cuando a los empleados no les queda otra opción que trabajar en presencia de otras personas.
- Adopción rápida de nuevas herramientas comerciales. A medida que el uso de plataformas de videoconferencia (VTC), sistemas de comunicación basados en la nube, VoIP y redes inalámbricas no seguras se vuelve más predominante, lo mismo sucede con los ataques cibernéticos. La rápida transición al trabajo remoto impidió que muchas organizaciones pudieran investigar adecuadamente las nuevas herramientas comerciales, lo que hizo que no estuvieran lo suficientemente preparadas para abordar estas vulnerabilidades. Por ejemplo, durante los primeros días de la pandemia, se dispararon los informes de apropiación de VTC. Los delincuentes cibernéticos también aprovecharon la rápida adopción de dichas plataformas al registrarse con dominios similares para usar para ataques de fraude electrónico (mediante la imitación de Zoom con un URL como su compañía-zoom.com, por ejemplo).
- Procesos ad hoc. Aunque la mayoría de los puestos y responsabilidades pudieron hacer una transición prácticamente sin interrupciones a un entorno de trabajo remoto, algunas organizaciones, especialmente aquellas responsables de procesar datos confidenciales, cuentan con ciertos roles y procesos que fueron diseñados exclusivamente para un entorno de trabajo seguro en la oficina. En la prisa por adaptar estos procesos a un entorno de trabajo remoto, muchos se convirtieron en blancos principales de los delincuentes cibernéticos.
- Mayor uso de dispositivos personales. Actualmente, la flexibilidad del trabajo ha desdibujado la distinción entre la oficina y el hogar, lo que lleva a muchos empleados remotos a depender aún más de sus dispositivos personales. Sin embargo, debido a que los dispositivos personales a menudo son la primera forma a través de la cual los estafadores intentan obtener acceso a su sistema, incluso estas pequeñas transgresiones pueden conllevar riesgos masivos.
Implementar protocolos adecuados
Independientemente de la manera en que se presente una amenaza, la prevención y las iniciativas de concientización siguen siendo las mejores precauciones. Incluso aquellas organizaciones con protocolos cibernéticos exigentes deberían realizar una auditoría y actualizar su plan de seguridad cibernética para trabajadores remotos. Además, después de pasar meses lejos de una oficina formal, es probable que los buenos hábitos se hayan quedado a medio camino, lo que hace que este sea el momento de reafirmar conceptos básicos de la seguridad cibernética entre todos los empleados. Los conceptos básicos incluyen:
- Asegurarse de que se hagan copias de seguridad de los datos de manera regular y segura y que los dispositivos de la compañía tengan tanto software como protección contra virus actualizados
- Exigir a todos los empleados que utilicen contraseñas complejas, de al menos 12 caracteres con una combinación de números, símbolos y letras mayúsculas y minúsculas
- Promover el uso de autenticación de dos factores cuando se encuentre disponible
- Aconsejar a todos los empleados que se conecten a sus redes domésticas con cifrado WPA-2 y que utilicen acceso cifrado (como VPN) al iniciar sesión de manera remota
- Capacitar a todos los empleados en cuanto a cómo acceder de manera segura a información confidencial al trabajar remotamente
- Enseñar a todos los empleados cómo proteger el hardware del empleado, por ejemplo a través de la protección con contraseñas y no dejar el equipo sin supervisión
Mantener un ecosistema controlado de las comunicaciones y la información de una organización básicamente puede ayudar a reducir numerosos riesgos de seguridad cibernética. Como consecuencia, muchas organizaciones eligen ahora brindar a sus empleados hardware seguro proporcionado por la compañía. Aunque los costos por adelantado de las computadoras o smartphones entregados pueden ser considerables, la protección adicional de los equipos de la red hace que valga la pena la inversión. Del mismo modo, si se produjera un ataque cibernético, los equipos podrán rastrear las transferencias de datos ágilmente, identificar potenciales problemas de seguridad de manera efectiva y solucionar rápidamente dichos problemas.
Proteger la propiedad intelectual
Además del aumento de ataques de fraude electrónico y ransomware (cibersecuestro de datos), el robo de IP se está volviendo cada vez más frecuente. Aunque la tecnología y la investigación médica suelen ser los blancos más comunes de las amenazas privadas y patrocinadas por el estado, todas las organizaciones independientemente de la industria deben tener presente el hecho de que en un entorno de trabajo remoto, la información confidencial o con derechos de autor corre un alto riesgo de exposición.
En primer lugar, para abordar los riesgos de IP y las amenazas a la confidencialidad, las organizaciones deberían trabajar con su asesor legal a fin de desarrollar documentación clara que contenga reglas relacionadas con todo aquello que tenga que ver con el uso de marcas registradas y contenido con derechos de autor, además de identificar, usar o compartir cualquier tipo de información que se considere un secreto comercial. Particularmente, las organizaciones deberían considerar ofrecer pautas relacionadas con estos problemas comunes:
- La discusión o el uso compartido de información de propiedad exclusiva de la compañía en medios sociales
- Protocolos para participar en reuniones confidenciales al trabajar de manera remota
- Obtener acceso a documentos confidenciales a través de dispositivos personales
Al revisar los acuerdos de confidencialidad de los empleados, también sería prudente consultar con su asesor legal para revisar los contratos de empleados de tiempo completo y contratados. ¿Cómo afectarán las nuevas condiciones de trabajo remoto el lenguaje y la posible consecuencia de algunos de estos documentos? ¿Actualmente está contratando más trabajadores independientes o contratados? ¿Sus cláusulas de no competencia y de IP están actualizadas y son relevantes? Responder estas preguntas puede ofrecer una importante protección para el futuro.
Por supuesto que los documentos no protegen las organizaciones, las personas sí. Al igual que con la seguridad de datos, las organizaciones deben incorporar reglas y procedimientos establecidos en programas de capacitación constante y garantizar que todos lean, entiendan y sigan esto.
Construir una cultura de la seguridad cibernética
Aunque el técnico o ejecutivo de TI de una organización puede tener asignadas importantes iniciativas de seguridad cibernética, dejar la totalidad de una iniciativa de seguridad exclusivamente en sus manos podría ser un error fatal. En vez de eso, las mejores prácticas de seguridad cibernética efectiva se deben promover desde el departamento de TI hasta el nivel de gerencia, lo que significa cambiar no sólo los procesos sino también las mentalidades.
Convocar a cada uno de los líderes sénior para unificar criterios es fundamental para garantizar que todos los que se encuentren dentro de una organización dispersa estén capacitados y preparados. Considere las siguientes preguntas:
- ¿Su equipo ejecutivo o junta corporativa se actualiza regularmente con respecto a amenazas cibernéticas actuales y emergentes?
- ¿Sus líderes comerciales comprenden los aspectos básicos de una buena higiene de seguridad remota?
- ¿Todos los líderes de los departamentos tienen acceso a los recursos e información que necesitarán para transmitir de manera efectiva protocolos de seguridad cibernética a sus equipos?
- ¿Se ha implementado un proceso formalizado de capacitación para educar tanto a líderes como a empleados en mejores prácticas de seguridad cibernética?
- ¿Su plan de continuidad comercial tiene en cuenta los riesgos más comunes de seguridad cibernética?
- ¿Su organización tiene implementado un plan de respuesta ante la filtración de información ?
Hasta las organizaciones más capacitadas fallan si los empleados no se sienten cómodos al encender la alarma o tomar medidas. Las organizaciones deberían educar a todos los miembros del personal a fin de informar actividades sospechosas y darles el poder para hacer esto de manera cómoda, incluso en aquellos casos en los que el mismo empleado cometió el error.
A fin de reducir un poco la presión relacionada con informar actividades sospechosas, para muchas compañías es muy útil dedicar líneas para denuncias o buzones en los que los empleados pueden dejar su denuncia de fraude sin exponer su identidad.
Cualquier iniciativa interna o transformación organizativa requiere de un trabajo constante para ayudarla a crecer. Construir una cultura remota de seguridad cibernética no es diferente, especialmente con una fuerza laboral dispersa. Llegar a estos empleados y evaluar si están siguiendo o no las mejores prácticas se torna aún más difícil cuando la supervisión es limitada. Por este motivo, cualquier cambio o iniciativa interna en torno a la seguridad cibernética debería apuntar a eliminar las barreras de la adopción y reforzar las buenas prácticas.
Para obtener más información sobre seguridad cibernética, explore nuestros recursos para prevenir fraudes corporativos.