¿Cómo debe configurar sus políticas de seguridad para sus empleados que trabajan desde casa? ¿Cuáles son los posibles culpables de una fuerza de trabajo remota? ¿Este modelo de trabajo pone a su organización en riesgo innecesario de una violación de datos? A algunos les encanta y otros lo odian, pero no sirve de nada ignorar el aumento masivo en la cantidad de empleados que trabajan desde casa.
Desde que el Covid puso el mundo patas arriba en 2020, trabajar de forma remota se convirtió en la norma... y en una nueva amenaza para la seguridad de los datos. El Covid-19 envió a los empleados a llevar sus oficinas al hogar. En todo el mundo, los trabajadores han estado trabajando desde casa, pero no todas las empresas han logrado mantenerse al día con el departamento de políticas de seguridad.
Según el Informe de investigaciones de violación de datos de Verizon de 2022 , el 82% de todas las violaciones de datos involucran al elemento humano. Probablemente ya sabe bien lo difícil que es mantener a los trabajadores bajo control (en cuanto a la seguridad), incluso si están todos en el mismo edificio. ¿Pero asegurarse de que todos estén seguros cuando están fuera de la vista? ¿Está seguro de que sus pautas de trabajo desde el hogar para empleados están actualizadas?
Con 8 de cada 10 personas trabajando en un entorno totalmente remoto o híbrido (y se espera que las cifras aumenten, según un estudio de AT&T de 2022), descubrir y mantener una política de trabajo desde casa no solo es importante; es fundamental para la seguridad de cualquier organización.
Estas son las principales cosas que debe tener en cuenta si su organización emplea trabajadores remotos:
¿Cuáles son los riesgos de seguridad de trabajar desde casa?
En primer lugar, aclaremos una cosa: se llama "trabajo desde casa", pero a menos que restrinja específicamente que sus empleados trabajen fuera de su residencia, podrían estar en todas partes: desde un café en el centro, hasta una playa al otro lado del mundo.
Eso requiere una planificación más inteligente, políticas más sólidas y una mejor comunicación con los empleados de su parte.
El trabajo remoto plantea una amplia variedad de riesgos de ciberseguridad debido a todos los posibles escenarios y versiones del trabajo remoto. Algunas posibles consideraciones:
- Sin un departamento de TI en la oficina de al lado, su trabajador remoto puede tener dificultades con sus limitadas habilidades de TI.
- ¿A qué tipo de redes se conectan sus empleados? ¿Están usando wifi público?
- ¿Está proporcionando hardware para trabajadores remotos o están usando sus propios dispositivos?
- ¿Su infraestructura está basada en la nube para permitir una solución de trabajo desde casa más funcional?
- ¿Cuáles son los hábitos de trabajo de sus empleados? ¿Podrían estar poniendo en peligro sus datos con su comportamiento?
La pregunta es: ¿Cómo puedo proteger mi organización de ciberataques externos y la negligencia de los empleados sin dificultar la tarea de sus empleados?
Porque si es difícil, difícil de entender y tedioso, sus empleados no cumplirán con sus políticas de seguridad.
Las políticas de seguridad más importantes para trabajar desde casa
La seguridad que configure para su organización dependerá de sus circunstancias específicas. Pero no es necesario reinventar la rueda.
Ya existen numerosas regulaciones que su organización puede necesitar o no cumplir y que ya especifican las políticas de trabajo remoto más importantes.
También puede utilizar la norma ISO 27001, una directriz importante para el establecimiento de un sistema de gestión de seguridad de la información eficaz, para establecer la mejor política de seguridad de datos posible para su organización. Más información sobre ISO 27001
Algunas áreas que siempre deberán abordarse son:
Proteger las redes
Puede ser tan simple como asegurarse de que el enrutador wifi doméstico de sus empleados no tenga aún la contraseña predeterminada e insistir en que nunca usen wifi público cuando se conecten a los sistemas de su organización a menos que usen la VPN de su organización (una red privada virtual).
Una VPN encriptará los datos que se envían y reciben, evitando fugas de datos. Es como un disfraz para la identidad en línea de sus empleados y sus datos confidenciales.
Autenticación multifactor
Haga cumplir una política de contraseñas seguras y exija cambiar las contraseñas periódicamente, pero no se detenga allí. Haga que sus empleados usen la autenticación de dos factores para iniciar sesión en los sistemas de su organización como una capa adicional de protección.
Esto puede ser cualquier cosa, desde utilizar contraseñas de un solo uso hasta usar datos biométricos.
La autenticación de dos factores puede reducir drásticamente el éxito de los ataques de phishing y malware, ya que a menudo se basan en el robo de información, como contraseñas, para infiltrarse en un sistema.
¿Has oído hablar de la Confianza Cero? El enfoque Zero Trust es un modelo de protección contra la pérdida de datos en evolución basado en la necesidad de autenticar y autorizar cualquier acceso a la red porque no se asume la confianza incluso si ya se ha otorgado. Es una gran herramienta que puede ayudarlo a configurar sus requisitos de autenticación.
Cifrado
Cifrado significa que los datos de correos electrónicos y documentos están codificados, y solo las partes autorizadas pueden acceder y descifrarlos.
Claro, cada dispositivo tiene una opción de encriptación (pero, ¿está activada?), pero también puede implementar un software de encriptación de datos para proteger su organización. El cifrado también se utiliza para proteger los datos confidenciales que se transfieren entre los dispositivos de los empleados y los servidores de la empresa.
El uso de una VPN cifrará los datos que van y vienen de su trabajador remoto a través de Internet.
Software y sistemas de seguridad actualizados.
Asegúrese de que todos sus empleados que trabajan desde casa tengan firewalls, software y sistemas de seguridad actualizados en todos sus dispositivos. Desea que todos los parches de seguridad se activen tan pronto como se publiquen para que se gestionen las vulnerabilidades del sistema.
Esto puede ser más difícil de lograr en el modelo BYOD (traiga su propio dispositivo). Más sobre eso está abajo.
Comunicación y apoyo
Proporcionar canales claros de comunicación. Instruya a sus empleados sobre cómo denunciar cualquier actividad sospechosa en línea. Indíqueles cómo detectar un intento de phishing o una brecha de seguridad. ¿Sus empleados que trabajan desde casa saben con quién hablar en caso de que surja un problema de seguridad? Haga que alguien dentro de cada equipo actúe como el contacto de referencia y brinde pautas sobre qué tipos de problemas deben informarse.
Comportamiento seguro
Hable con sus empleados sobre el comportamiento seguro: ¿Están trabajando en un entorno donde las personas pueden ver fácilmente sus pantallas? ¿Saben que no deben compartir información confidencial a través de sistemas de mensajería o redes sociales? ¿Están haciendo lo suficiente para evitar el robo de hardware?
Sistemas DLP dedicados
Los sistemas DLP (prevención de pérdida de datos) dedicados, como las soluciones de Safetica, utilizan un sistema centralizado y automatizado para monitorear e informar sobre todo lo que sucede en el panorama de ciberseguridad de una organización, en el sitio o fuera de él. Se sentirá más seguro sabiendo que, sin importar dónde se encuentren sus empleados, los datos confidenciales de su organización permanecerán seguros.
DLP dedicado frente a DLP integrado: ¿cuál tiene sentido para su organización?
Cómo explicar y hacer cumplir las pautas de seguridad
Para los empleados internos, puede usar elementos como carteles y elementos visuales LED para difundir mensajes de seguridad en la oficina. También es más probable que vea un comportamiento cuestionable o que note la necesidad de distribuir ese nuevo folleto de seguridad que tardó demasiado en preparar.
Para los empleados que trabajan desde casa, estar fuera de la vista y literalmente fuera del sitio significa menos posibilidades de tener algún efecto físico en las personas con las que trabaja. Tendrá que pensar fuera de la caja y recordar que es mucho más fácil olvidarse de las pólizas (incluso si es por accidente) cuando no está en la oficina.
Obtenga más información en inglés sobre cómo educar a sus empleados sobre la seguridad de los datos.
En pocas palabras, para mantener la conciencia, debe mantener sus políticas fáciles de entender, fáciles de implementar y fáciles de recordar. Y para los trabajadores remotos también es fácil de encontrar en primer lugar.
Dado que la práctica hace al maestro, todos en la organización pueden beneficiarse de un recordatorio amistoso de vez en cuando. ¿Puede planificar una campaña de correo electrónico para explicar una regla de seguridad cada dos semanas simplemente? Haga que los líderes de los equipos lideren con el ejemplo (¡eso también significa una gestión más alta!) y haga de la seguridad de los datos un tema en las reuniones periódicas.
¡Para hacer correr la voz, hágase personal y KISS! Los correos electrónicos y los mensajes pasivos son excelentes para refrescarse, pero sus empleados realmente lo escucharán y no solo escanearán la lista de verificación de seguridad que les envía; necesitan escucharlo de la boca del caballo.
Todas las políticas se ven muy bien en papel (incluso las digitales), pero tienen un impacto mucho mayor durante una presentación de video en vivo por parte del director de TI o incluso del director ejecutivo: está permitiendo que sus empleados que trabajan desde casa asistan a reuniones importantes en línea, ¿verdad? Si es solo George, el técnico de TI que los acosa con otro mensaje de Slack, apenas lo escucharán.
Así que sea breve y simple (¡BÉSATE!), pero haz que valga la pena.
Detalles de BYOD (Bring Your Own Device) cuando se trabaja desde casa
Si sus empleados remotos usan computadoras y otros dispositivos que su organización les proporciona, puede asegurarse de que todo el equipo y el software cumplan con los estándares y las políticas de la empresa.
Pero, ¿qué pasa con BYOD? Si los empleados usan sus propios dispositivos, sus pautas de trabajo desde el hogar para empleados deberán:
- Especificar dispositivos aprobados
- Separar los datos personales y de la empresa
- Planifique el mantenimiento continuo y las actualizaciones de todos los dispositivos
- Establecer restricciones sobre lo que se puede y no se puede instalar en el dispositivo
- Considere posibles problemas legales/recuperación de datos difícil
- Explicar las expectativas y los procedimientos de propiedad sobre la terminación de un empleado.
Si bien BYOD tiene ventajas obvias, como costos reducidos y una movilidad potencialmente mayor, también representa un mayor riesgo de seguridad para su organización.
Hablemos de seguridad de datos
