A medida que el Coronavirus interrumpió la vida cotidiana de miles de millones de personas en todo el mundo durante los últimos meses, las empresas están en medio de lo que se describe como el "experimento más grande del mundo para trabajar desde casa".
Prácticamente de la noche a la mañana, muchas empresas se vieron obligadas a ajustar sus operaciones al trasladar a millones de trabajadores de sus oficinas a sus hogares. Si bien esta funcionalidad es crítica para la organización, ya que, permite que los empleados sigan siendo productivos y que las empresas permanezcan operativas incluso cuando las oficinas están cerradas, también conlleva importantes riesgos de ciberseguridad.
Los ciberdelincuentes, siempre listos para aprovechar una crisis, han creado y distribuido una avalancha de correos electrónicos de phishing utilizando el COVID-19 como señuelo, provocando que los Estados Unidos , el Reino Unido y otros gobiernos centrales generen advertencias sobre estas estafas y otros crecientes riesgos cibernéticos.
Mientras tanto, los empleados que trabajan en dispositivos personales o redes inalámbricas no seguras pueden poner en riesgo la información crítica. Además, ahora el fraude de acceso remoto y las amenazas internas, se convierten en amenazas más peligrosas durante una crisis, debido a que los equipos distribuidos carecen de la supervisión y la infraestructura que generalmente acompaña a un entorno de TI en el trabajo.
En pocas palabras, los trabajadores remotos expanden la superficie de ataque potencial de su empresa, aumentando la probabilidad de una violación de datos o una violación de la privacidad. Sin embargo, en este momento sin precedentes, la mayoría de las empresas no tienen otra opción. Por lo tanto, cuando trabajes de forma remota toma en cuenta estas cinco mejores prácticas para proteger los datos de tu empresa.
# 1. Crear y comunicar estándares específicos de gestión de datos de trabajo remoto.
Increíblemente, en 2020, a pesar de que las regulaciones de privacidad continúan surgiendo, muchas compañías aún no tienen una política coherente de gestión de datos que puedan transmitir a sus empleados. Como resultado, muchos empleados no están seguros de la eficacia de usar dispositivos personales, compartir información del cliente o implementar tácticas defensivas.
A medida que se desarrolla este gran experimento de trabajo desde el hogar, incluso las organizaciones con políticas establecidas de gestión de datos deben revaluar y reiterar sus estándares a los empleados que ahora trabajan en un entorno digital. Si bien estas políticas se verán diferentes para cada empresa, cada organización debe abordar:
- Normas de contraseña seguras. El uso de contraseñas seguras y únicas en todas las cuentas es una medida básica de ciberseguridad que todo empleado debe seguir. Por ejemplo, el aumento significativo en los inicios de sesión de trabajo remoto da cobertura a los malos actores para usar credenciales robadas para acceder a TI de la empresa sin ser detectados. Las contraseñas seguras y únicas pueden evitar que esto se convierta en un problema generalizado.
- Autenticación de dos factores. Los empleados tienen un desdén bien documentado para la autenticación de dos factores, pero esta característica simple puede mantener seguras las cuentas de la empresa, incluso cuando las credenciales están en peligro.
- Integración VPN. Toda organización necesita identificar, distribuir y actualizar rutinariamente un servicio VPN confiable. Si bien este software puede recorrer un largo camino hacia la protección de los datos de la empresa y los clientes, han surgido múltiples estafas que promocionan servicios VPN de aspecto legítimo que instalan malware en las computadoras de los usuarios. Al mismo tiempo, los investigadores de ciberseguridad han identificado numerosas fallas en los servicios VPN obsoletos que podrían comprometer la seguridad de la cuenta.
- Uso de dispositivos personales. Los empleados a menudo usan dispositivos personales en la oficina, y muchos más probablemente se verán tentados a acceder a las redes de la empresa de forma remota o completar tareas de trabajo en estas máquinas mientras trabajan desde casa.
- Compartir datos. Las empresas deben describir claramente las técnicas aceptables para compartir datos mientras trabajan desde casa. Los empleados acostumbrados a colaborar en la oficina tienen más probabilidades de comprometer los datos a medida que comunican información confidencial desde el hogar. En este sentido, un poco de orientación puede ser de gran ayuda para asegurar los datos críticos.
# 2. Preparar a los empleados para identificar estafas de phishing y otros intentos de fraude.
Incluso antes de COVID-19, los empleados que respondían a estafas de phishing eran una vulnerabilidad de seguridad cibernética significativa. Se estima que cada año se envían más de un billón de estafas de phishing, y estos mensajes son cada vez más sofisticados, llegando a incluir incluso los datos personales de los destinatarios y otras características de autenticidad.
Desafortunadamente, con que un solo empleado responda a uno de estos mensajes maliciosos puede causar una violación de datos, lo que hace que la identificación de estafas de phishing sea un componente crítico dentro de la postura de seguridad de cualquier empresa. Estas iniciativas deben actualizarse para los trabajadores remotos que reciben mensajes durante la pandemia de COVID-19, ya que, los ciberdelincuentes están explotando el miedo, urgencia e inquietud para alentar la participación de sus víctimas en sus ataques de phishing.
Al mismo tiempo, hay una avalancha de otros intentos de fraude que representan un riesgo significativo durante este tiempo inusual. De acuerdo con el Departamento de Justicia de EE. UU., los empleados deben poder reconocer los siguientes tipos de estafas:
- estafas de tratamiento
- estafas de suministros
- estafas de proveedores
- estafas de caridad
- estafas de phishing
- estafas de aplicaciones
- estafas de inversión.
Los malos actores están ansiosos por aprovechar tu vulnerabilidad colectiva durante este tiempo, y las organizaciones tienen la responsabilidad y una buena razón para ayudar a sus empleados a navegar dentro de este panorama digital.
# 3. Monitorear la actividad de los empleados.
El monitoreo de los empleados se ha convertido en un elemento crítico de las estrategias de seguridad cibernética de muchas empresas. Dado que las amenazas internas representan una amenaza cada vez más importante para la seguridad de los datos, esta supervisión digital protege los datos de los clientes y de la empresa del mal uso accidental y malicioso.
Ahora, con millones de empleados que operan fuera del ámbito local de la empresa, los empleadores deben duplicar sus iniciativas de monitoreo para garantizar que los trabajadores sigan siendo productivos, comprometidos y, lo más importante, estén seguros.
En particular, el software de monitoreo de empleados es la herramienta que permite a los empleadores responsabilizar a los trabajadores por los estándares de gestión de datos que ayudarán a mantener sus datos seguros durante este tiempo sin precedentes. Por ejemplo, monitorear los dispositivos de la compañía permitirá a los empleadores identificar a los empleados que pueden estar trabajando desde dispositivos personales para acceder y transmitir datos de la compañía. Del mismo modo, el monitoreo de los empleados puede identificar a los empleados que pueden tener dificultades con el compromiso o están siendo inundados con estafas de phishing.
Al mismo tiempo, un software de análisis de comportamiento de usuarios y entidades (UEBA) puede rastrear a los empleados en busca de signos de estrés u otras anormalidades. En última instancia, es una forma de compromiso que puede fomentar la productividad y el bienestar al tiempo que mitiga los riesgos de seguridad de datos que representan los empleados remotos.
# 4. Restringir el acceso a datos críticos.
Si bien el acceso a los datos críticos de la empresa siempre debe ser bajo una directiva de necesidad de conocer, los administradores de TI deben considerar limitar la capacidad de los empleados para guardar, descargar o extraer datos de la empresa.
A medida que los empleados se conectan a las redes de la empresa desde entornos no controlados, el panorama de amenazas necesariamente se expande. En respuesta, restringir el acceso a los datos limita la posible exposición y disminuye el riesgo de una violación de datos.
# 5. Practicar el distanciamiento social digital.Este año, el término "distanciamiento social" ha entrado en nuestro vocabulario y sin duda definirá este tiempo turbulento. A medida que los empleados practican el distanciamiento social trabajando desde casa, practicar simultáneamente el distanciamiento social digital es una forma crítica de mantener segura la información.
Por ejemplo, es importante limitar la información personal publicada en línea que podría comprometer las cuentas o hacer que los usuarios sean vulnerables a campañas altamente sofisticadas de phishing. Limita la difusión de mala información teniendo en cuenta lo que comparten en línea, y asegúrate de que tus empleados siempre estén trabajando con la mejor información y de forma segura para evitar un incidente de ciberseguridad.
En este extraño momento, donde las empresas están entrando en aguas desconocidas en la forma del mayor experimento de home office de la historia, por lo que, será imposible dar cuenta de cada amenaza en este paisaje en constante evolución.
Sin embargo, eso no significa que estés indefenso ante las amenazas actuales, muchos cibercriminales no están inventando nuevas metodologías de ataque. En cambio, se dirigen a organizaciones que no pueden o no se mantendrán al día con las mejores prácticas, explotando sus vulnerabilidades e ineficiencias para obtener beneficios. Al adoptar las mejores prácticas de trabajo desde el hogar, cada organización puede reducir significativamente su exposición, lo cual es fundamental para mantener el negocio en funcionamiento mientras todos permanecemos en casa.
Ahora que ya conoces más a fondo sobre las importancia de aplicar las mejores prácticas en tu organización, deberías considerar utilizar una herramienta de monitoreo de empleados para aumentar la productividad de tu organización.
Si necesitas ayuda especial o tienes dudas, agenda con nosotros una sesión de consultoría breve, ya sea remota o presencial para identificar cómo podemos ayudarte a asegurar tus activos en esta situación de crisis.