Consejos de seguridad de la fuerza laboral distribuida
La adopción de la computación en la nube y las aplicaciones SaaS se ha disparado en los últimos años y ha permitido a las empresas operar de manera efectiva con una fuerza laboral distribuida. En realidad, casi las tres cuartas partes de las empresas ejecuta casi todas sus operaciones en la nube. Estas organizaciones están ansiosas por capitalizar la velocidad, la escala y la flexibilidad que la infraestructura basada en la nube puede proporcionar a sus equipos globales. Pero a medida que la computación en la nube crece en popularidad y transforma la forma en que las empresas recopilan, usan y comparten datos, también se convierte en un objetivo atractivo para los ciberdelincuentes. Al mover los datos fuera de las instalaciones de una única oficina física y a través de una red global de dispositivos y puntos de acceso, la seguridad y la gestión de activos se han convertido en un gran desafío para las empresas. en un encuesta por la empresa de seguridad Wi-Fi iPass, el 57% de los CIO informaron que sospechaban que sus trabajadores móviles habían sido pirateados o eran la causa de los problemas de seguridad. Las empresas globales con una fuerza laboral distribuida geográficamente deben tomarse en serio la seguridad de los datos e implementar un plan de seguridad integral para proteger a sus empleados y los datos confidenciales de la empresa.
Los 5 principales desafíos y soluciones de seguridad para equipos distribuidos
1. Cumplimiento del RGPD y otras leyes de protección de datos
La Reglamento General de Protección de Datos (GDPR) son las leyes de seguridad y privacidad de datos de Europa que entraron en vigor el 25 de mayo de 2018. Esta ley se ha convertido rápidamente en una prioridad importante para cualquier empresa que hace negocios en Europa, tiene clientes europeos o emplea personal o autónomos europeos. A estudio por Apricorn encontró que el 30 por ciento de las empresas que deben cumplir con GDPR sienten que sus trabajadores remotos europeos hacen que no cumplan. Además, las empresas con operaciones en América del Norte deben cumplir con las leyes de los Estados Unidos. Puede-spam ley y Legislación antispam de Canadá. El cumplimiento de esta regulación sigue siendo un gran desafío para las empresas con una fuerza laboral distribuida. Muchos empleados remotos usan su correo electrónico personal o Wi-Fi público para enviar documentos relacionados con el trabajo. Esto plantea un gran riesgo de seguridad de datos para las empresas. Los piratas informáticos están aprovechando el RGPD y otras leyes de protección de datos para extorsionar a las empresas que no cumplen a pagar una tarifa de rescate considerable en lugar de hacer frente a las multas del gobierno. Un estudio de Sophos, una empresa de software y hardware de seguridad, reveló que casi la mitad de los directores de TI del Reino Unido "definitivamente" estarían dispuestos a pagar una tarifa de rescate a los piratas informáticos para evitar denunciar una violación de datos y arriesgarse a una multa según las leyes de protección de datos de la UE.
Solución: implementar políticas y procedimientos de seguridad en toda la empresa
Para seguir cumpliendo con las leyes de protección de datos, claramente definidas, documentar y educar a los empleados sobre políticas de seguridad sobre cómo manejar los datos comerciales en todo momento. Esto incluye especificar por escrito lo que los empleados pueden y no pueden hacer con los dispositivos, la información y los documentos relacionados con el trabajo. Asegúrese de que todos los datos estén encriptados y establezca permisos sobre quién puede acceder a los datos confidenciales de la empresa. Finalmente, tenga políticas claras de trabajo remoto sobre cómo los empleados deben conectarse a la red de la empresa, así como políticas de Wi-Fi domésticas y públicas.
2. Seguimiento y gestión de activos en la nube
Las empresas empresariales con equipos distribuidos suelen ser negocios basados en tecnología con activos de TI como software, datos y otra información comercial pertinente. La mayoría de estos datos invaluables se almacenan y se accede a ellos a través de la nube. “La nube” se refiere a los servidores a los que se accede a través de Internet y al software y las bases de datos que se ejecutan en esos servidores. Los secretos comerciales, los informes confidenciales, la información de los empleados y los clientes e incluso las garantías visuales, como los logotipos y las ilustraciones de las campañas, son información patentada confidencial que se almacena en la nube y debe protegerse de todo tipo de amenazas externas. Una pequeña fuga puede interrumpir o detener las operaciones de una empresa. Peor aún, una violación importante de la seguridad o la pérdida de datos puede cerrar por completo una empresa. Una estudio descubrió que el 93 % de las empresas que perdieron sus datos durante 10 días o más se declararon en quiebra en el plazo de un año y el 50 % se declararon en quiebra inmediatamente.
Solución: utilizar herramientas de gestión y seguridad en la nube
Para mantener seguros los datos de su empresa sin interferir con el flujo de trabajo y la productividad de los empleados, utilice una solución de gestión de TI como Suite de administración de la nube de Syxsense. Esto brinda a los empleados la flexibilidad de usar de forma segura sus dispositivos de trabajo de forma remota. Para TI, Syxsense combina la administración de terminales con servicios de monitoreo y seguridad de terminales predictivos, proactivos y en tiempo real. Para mayor protección, use herramientas de monitoreo de seguridad adicionales como geofencing, monitoreo predictivo de activosy sistemas de venta de entradas para ayudar a defenderse de los ataques cibernéticos. Estas soluciones brindan al equipo de TI la capacidad de monitorear y rastrear el tráfico en la nube para garantizar que todos los empleados cumplan con las normas de seguridad de la empresa.
3. Seguridad reducida en los dispositivos personales de los empleados
Tradicionalmente, los empleados usaban dispositivos de oficina designados para el trabajo que estaban protegidos con capas de seguridad físicas y electrónicas. Hoy, con la popularidad del trabajo distribuido, muchas organizaciones están adoptando una política BYOD (traiga su propio dispositivo) que permite a los empleados usar sus propias computadoras portátiles, tabletas o teléfonos inteligentes para trabajar. Esto ahorra dinero a las empresas, ya que no tienen que comprar nueva tecnología y los empleados no tienen una curva de aprendizaje, ya que ya están familiarizados con el dispositivo. Pero con este aumento en la flexibilidad laboral viene un aumento en los riesgos de seguridad. El dispositivo personal de un empleado puede no ser seguro y representar una gran amenaza para la seguridad de los datos. Además, muchos empleados remotos se conectan a redes Wi-Fi públicas con sus dispositivos inteligentes personales, lo que puede exponer sus datos importantes a un atacante cibernético. En un estudio de iPass, el 95 por ciento de las empresas admiten que sus trabajadores móviles son un desafío para la seguridad.
Solución: cifrar y proteger todos los dispositivos
En primer lugar, los empleados deben especificar qué dispositivos utilizan para el trabajo, incluido cualquier teléfono personal, tableta o computadora, de modo que esos dispositivos puedan cifrarse y protegerse adecuadamente mediante el software antivirus y de seguridad certificado por la empresa. Herramientas de seguridad como AirWatch no solo le permite proteger los dispositivos de los empleados, sino también rastrear, ubicar o borrar dispositivos de forma remota en caso de robo. A continuación, aumente la conciencia de los empleados sobre las posibles violaciones de la seguridad de los datos y eduque a cada empleado sobre las mejores prácticas de prevención de pérdida de datos. Esto debe incluir protocolos y políticas de seguridad de trabajo remoto claros y precisos.
4. Sistemas de respaldo y recuperación inadecuados
70% de empleados tiene experiencia de pérdida de datos debido a virus, fallas del sistema o algún otro desastre. Muchas organizaciones no cuentan con un sistema adecuado de copia de seguridad y recuperación para este tipo de pérdida de datos. Para las empresas que tienen una política BYOB, este problema se vuelve aún más pronunciado. Los empleados pueden usar el mismo dispositivo inteligente o computadora portátil tanto para el trabajo como para uso personal, a menudo mezclando datos comerciales y personales, exponiéndose cada uno a las vulnerabilidades del otro. Por ejemplo, un empleado puede descargar una película para uso personal en su computadora portátil sin darse cuenta de que el archivo contiene malware. La computadora portátil falla y se pierden los datos personales y laborales del empleado. La recuperación de estos datos puede ser imposible sin un sistema de copia de seguridad y recuperación.
Solución: utilice una solución de copia de seguridad en la nube
Afortunadamente, hay varias formas de resolver este problema y garantizar una copia de seguridad y recuperación completas de los datos. Una solución simple es hacer que el empleado haga una copia de seguridad de su computadora en un disco duro local o externo. Las empresas también pueden proporcionar un programa centralizado de respaldo y recuperación de datos para todos los dispositivos en su red. Sin embargo, ambas opciones tienen limitaciones, ya que los dispositivos y servidores de respaldo de datos son propensos a fallas y piratería. La mejor opción es elegir una solución de copia de seguridad en la nube de nivel empresarial. Muchos proveedores de SaaS como CrashPlan y Veeam proporcione una solución de copia de seguridad y recuperación en la nube todo en uno para todos sus datos.
5. Fugas de comunicación y hacks
Algunas de las marcas más importantes del mundo han experimentado filtraciones y ataques de comunicación. Compañías como Apple, Microsoft, Facebook y el estudio de cine de Sony han sufrido costosas brechas de comunicación, lo que ha permitido que personas ajenas obtengan información valiosa. Muchas de estas exposiciones se deben a que los empleados envían archivos comerciales críticos y mensajes confidenciales a través de canales de comunicación que no estaban protegidos. El uso de plataformas de comunicación no cifradas para correo electrónico, mensajería instantánea, llamadas de audio y videoconferencias puede exponer su información privada y hacerlo vulnerable a los ataques. Estas brechas de seguridad son costosas para las empresas. A nivel mundial, crímenes cibernéticos los daños cuestan a las empresas 6 billones de dólares al año.
Solución: utilice soluciones de comunicación cifrada de extremo a extremo
Cuando busque un nuevo proveedor de comunicaciones o reevalúe a los proveedores actuales, la seguridad siempre debe ser un componente de alta prioridad en su búsqueda. Busque una solución que tenga un historial de mantener seguros los datos de sus clientes y que ofrezca la última tecnología de seguridad, como el cifrado de extremo a extremo. Encriptado de fin a fin (E2EE) es un sistema de comunicación segura entre usuarios que impide que terceros lean los mensajes. Los datos cifrados de extremo a extremo garantizan la privacidad entre el remitente y el destinatario, mitigando el riesgo y protegiendo los datos confidenciales. No todos los servicios de comunicación imponen seguridad y encriptación, pero Lifesize ofrece la el más alto nivel de seguridad y cifrado de extremo a extremo habilitado por defecto.
“Es preocupante que todo el bombo publicitario en torno a la ciberdelincuencia (los titulares, los avisos de incumplimiento, etc.) nos vuelva complacientes. El riesgo es muy real y no podemos permitirnos ser adormecidos por una sensación de inevitabilidad. Todos tenemos un papel que desempeñar en la forma en que protegemos nuestros negocios de la amenaza acelerada del delito cibernético”.
Robert Herjavec, fundador de la empresa de TI y seguridad informática The Herjavec Group
Mejores prácticas para garantizar la seguridad de los equipos remotos
El elemento humano puede socavar los sistemas de seguridad más fuertes del mundo. Por eso es importante que todos los empleados comprendan el riesgo de una filtración de datos y sigan estrictamente los protocolos de seguridad de toda la empresa. La capacitación en seguridad de datos debe comenzar durante el proceso de incorporación de un nuevo empleado. Enfatizar la importancia de la seguridad cibernética desde el principio ayuda a fomentar buenas prácticas de seguridad y hace que los empleados sean conscientes de sus acciones. Además, las empresas deben educar a todos los empleados sobre los nuevos protocolos, los riesgos de seguridad y las mejores prácticas de manera regular mediante la realización de capacitaciones, el envío de memorandos informativos y el uso de módulos de formación en línea. A continuación, describimos algunas de las mejores prácticas de seguridad para ayudar a mantener segura la información de sus empleados y los datos confidenciales de la empresa.
Crear y hacer cumplir una política de seguridad de trabajo remoto
Su organización debe contar con una política integral de seguridad para el trabajo remoto que ayude a protegerse contra la negligencia, las infracciones, los ataques informáticos y otras amenazas externas de los empleados. Esta política debe describir claramente lo que es y no es aceptable al enviar y recibir archivos, comunicarse con personas dentro y fuera de su organización y manejar datos confidenciales de la empresa.
Evite el uso de puntos de acceso Wi-Fi no seguros
Las redes WiFi no seguras que a menudo encuentras en espacios públicos son una mina de oro virtual para los piratas informáticos que buscan robar información privada. Por lo general, se puede acceder a una red WiFi no segura sin ningún tipo de característica de seguridad como una contraseña o inicio de sesión. Por el contrario, una red WiFi segura requiere que el usuario acepte los términos legales, registre una cuenta o ingrese una contraseña antes de conectarse. Sin embargo, incluso las redes públicas seguras pueden ser riesgosas, por lo que los empleados deben usarlas con precaución.
Evite hacer clic en enlaces de ventanas emergentes y correos electrónicos desconocidos
Cuidado con el phishing. Los phishers intentan engañar a los empleados para que hagan clic en un enlace que puede resultar en una brecha de seguridad. Los enlaces maliciosos pueden contener virus o malware incrustados en ellos. A menudo, estos enlaces aparecen en una ventana emergente, un correo electrónico de una fuente no confiable o cualquier otra forma de comunicación que no haya iniciado. Aconseje a los empleados que nunca hagan clic en enlaces sospechosos ni abran archivos adjuntos desde una dirección de correo electrónico que no reconozcan.
Crea contraseñas seguras
La contraseña débil de un empleado tiene el potencial de comprometer no solo los datos personales del empleado, sino también los datos confidenciales de toda la empresa. Todos los años, SplashData publica una lista de las 50 peores contraseñas y cada año, contraseñas como "123456" y "contraseña" encabezan la lista. Las contraseñas deben tener al menos ocho caracteres e incluir letras, números y al menos un carácter especial. Evite usar su nombre, nombres de mascotas, nombres de niños, cumpleaños de niños y cualquier cosa que las personas puedan encontrar fácilmente en su perfil de redes sociales. Por último, las contraseñas deben actualizarse cada uno o tres meses para reducir el riesgo de que su cuenta sea pirateada.
Usar autenticación multifactor
La autenticación multifactor (MFA) combina dos o más credenciales independientes para iniciar sesión en una cuenta o acceder a los datos. Esto puede incluir el nombre y la contraseña de un usuario con una verificación adicional como una huella digital, una pregunta de seguridad o un código de verificación que se envía en un mensaje de texto al teléfono celular de un empleado. MFA crea una defensa en capas que dificulta que los piratas informáticos ingresen a los dispositivos informáticos, la base de datos o la red de toda la empresa. Si un factor se ve comprometido, los ciberdelincuentes todavía tienen al menos una barrera más para violar antes de acceder con éxito a los datos privados.
Tenga cuidado con las descargas de software
Muchos empleados creen ingenuamente que una descarga de software de una marca de confianza es segura, pero Internet está lleno de sitios que ofrecen descargas de software enmascaradas como marcas conocidas. Estas descargas maliciosas pueden contener malware, troyanos, spyware, gusanos u otros tipos de virus. Tenga una política de descargas y asegúrese de que todos los empleados entiendan el protocolo para descargar software en su computadora portátil y dispositivos inteligentes. Para ayudar a reducir el riesgo, TI también puede limitar las descargas a los dispositivos de la empresa.
Bloquee virtual y físicamente dispositivos, servidores y almacenamiento de datos
Los empleados deben bloquear sus dispositivos cada vez que los dejen desatendidos, especialmente cuando trabajan en espacios públicos. Esto significa bloquear la pantalla cuando te alejas y asegurarte de que el dispositivo físico no pueda ser robado. Asegúrese de que la configuración de "bloqueo automático cuando está inactivo" de los dispositivos esté habilitada y que los programas estén configurados para agotarse agresivamente cuando no estén en uso. Además de los dispositivos relacionados con el trabajo de los empleados, las salas de servidores y las ubicaciones de almacenamiento de datos que contienen información confidencial también deben estar bajo llave.