Cambios en las modalidades de trabajo

Como resultado de la propagación imperante del coronavirus, las directrices del gobierno cambian rápidamente. En muchos países se está pidiendo por primera vez a las personas sanas que eviten cualquier exposición pública innecesaria, por ejemplo, en grandes reuniones, en el transporte público y en el lugar de trabajo.

Como consecuencia, muchas empresas de todo el mundo están preparando o implementando activamente un modelo de negocio que involucra a muchos más trabajadores remotos de los que nunca hubieran imaginado. Los equipos de TI y de gestión están trabajando arduamente en la infraestructura y en la organización para hacerlo posible. En esta carrera por mantener el funcionamiento de los negocios, existe un riesgo notable de que la seguridad no se planifique correctamente.

Las buenas prácticas de seguridad cibernética empresarial en cualquier circunstancia, deberían tener en cuenta los siguientes aspectos:

¿Están protegidas la tecnología y la infraestructura implementadas frente a cualquier agente malintencionado, fuera y dentro de la organización?

¿Disponen todos los empleados, subcontratistas y terceros relevantes de la empresa de instrucciones y una guía clara sobre cómo realizar su trabajo de manera segura?

¿Alguna de las medidas de seguridad implementadas impide que los empleados realicen su trabajo de manera eficiente?

Si dispone del nivel adecuado de seguridad, su empresa estará en buena disposición para esquivar cualquier amenaza a la seguridad cibernética. Si no se alcanza ese nivel, su empresa será vulnerable. Demasiada seguridad aplicada de forma incorrecta puede significar que sus empleados se desesperen y busquen soluciones alternativas que en última instancia abran la puerta a vulnerabilidades para su empresa.

Asesoramiento de seguridad esencial para generar capacidad remota

Con estos argumentos en mente, S-RM resume en la siguiente lista algunas de las áreas principales que hay que tener en cuenta para la planificación o la implementación de las capacidades del trabajo remoto.

Protección de los dispositivos

Un aspecto clave para los trabajadores remotos es que dispongan de computadoras portátiles, teléfonos móviles, tablets u otros dispositivos desde los cuales trabajar. Muchas empresas proporcionan ya equipos adicionales a sus trabajadores que les permiten trabajar a pleno rendimiento fuera de la oficina. No obstante, tenga en cuenta lo siguiente:

Asegúrese de disponer de una gestión de activos eficaz. Asegúrese de disponer de una gestión de activos eficaz. Sepa qué dispositivos tienen acceso a su red y sus datos, planifique cualquier cambio y bloquee o elimine los equipos obsoletos de su red antes de que se conviertan en un punto débil para la seguridad.

Todos los dispositivos de la empresa, especialmente aquellos que se sacan de la oficina, deberían estar cifrados para proteger los datos en caso de pérdida o robo.

Utilice BitLocker o una solución de terceros adecuada para dispositivos Windows.

Asegúrese de que los dispositivos Apple tengan el cifrado activado (normalmente lo tienen).

Asegúrese de que el resto de dispositivos móviles disponen de un cifrado adecuado.

Si permite a sus empleados utilizar sus dispositivos personales, plantéese si sus datos corporativos están bien protegidos. Las soluciones de gestión de dispositivos móviles pueden facilitarle la protección de datos en estos dispositivos, o puede que necesite limitar desde el primer momento el acceso de los empleados a ciertos datos.

¡No se olvide de los equipos que se quedan en la oficina! Considerando que los empleados trabajan desde su casa, ¿existe la suficiente seguridad física en sus instalaciones para proteger servidores, computadoras de escritorio y otros elementos de su red frente a agentes malintencionados?

Los desplazamientos de dispositivos, empleados y cuentas de usuario no deberían hacerle olvidar otros preparativos de seguridad diarios: las contraseñas seguras, las cuentas de administrador local protegidas y adecuadas, y el control sobre las aplicaciones y los servicios de su red, por nombrar solo algunos aspectos, siguen siendo igualmente importantes.

El acceso a su red debería resultar sencillo para los usuarios legítimos, pero imposible (o al menos muy difícil) para cualquier otra persona.

Protección de las redes

Si tanto sus terminales como sus servidores están bien protegidos, es importante garantizar que puedan conectarse entre sí. El acceso a su red debería resultar sencillo para los usuarios legítimos, pero imposible (o al menos muy difícil) para cualquier otra persona. Tenga en cuenta lo siguiente:

Método de conexión. Los clientes VPN bien configurados en todos los dispositivos de los empleados permiten un acceso seguro a la red a través de un acceso privado. Otras soluciones de acceso seguro estarán disponibles para casos de uso particulares. Si necesita que sus empleados puedan acceder desde la red abierta de Internet, ¿se conectarán a un cortafuegos externo en particular o a un servicio en la nube bien gestionado, como Office 365? Al planificar el acceso de los usuarios, intente limitar al máximo posible la exposición de áreas adicionales de su red a Internet y sus muchas amenazas.

Restricción del acceso. Se pueden configurar muchos tipos de conexiones para protegerlas aún mejor frente a agentes malintencionados. Si utiliza un servicio en la nube como Office 365, piense en la posibilidad de restringir el acceso siempre que sea posible a determinados dispositivos, determinados rangos de IP o a un tipo determinado de conexiones. Los cortafuegos y otros servicios ofrecen muchas opciones parecidas para gestionar cuidadosamente las normas de acceso. Piense también en restricciones dentro de su red: evitar que las conexiones o las cuentas de usuario traspasen determinadas áreas reducirá el riesgo que supone un empleado no seguro o una vulnerabilidad imprevista.

Autenticación sólida.  El siguiente paso para proteger cualquier acceso es garantizar la utilización de políticas de contraseñas seguras y autenticación multifactor. La implementación de políticas de contraseñas seguras es imprescindible para cualquier servicio, no solo para los de acceso público. La autenticación multifactor debe utilizarse en la medida en que resulte práctica para su empresa. Recuerde que hay muchos tipos de autenticación. Los mensajes de texto pueden resultar una ruta con poca resistencia. Si tiene tiempo para configurar una aplicación de autenticación, su empresa estará mucho más protegida. La autenticación basada en dispositivos, por otra parte, puede ser adecuada para reducir la frustración de los empleados.

Piense en todo. Para proteger una red tiene que tener en cuenta todas las formas diferentes de acceder a ella. ¿Cómo acceden sus empleados al correo desde sus dispositivos móviles? ¿Necesitan conectarse a tecnología operativa, como equipos de fabricación? (y, ¿es seguro permitirlo?) ¿Cómo se estructura el acceso al escritorio remoto en su red? Si falla la seguridad en estos puntos, estará creando vulnerabilidades. Si no los facilita, impedirá el trabajo de sus empleados.

Protección de las conexiones de los empleados

Es posible que la red esté bien protegida en su lado, pero que los datos provengan de otra parte. Cuando los empleados se encuentran fuera de su entorno seguro, a menudo depende de ellos asegurarse de que están actuando adecuadamente. Usted puede ayudar proporcionándoles una guía adecuada (como se describe más adelante) sobre temas como:

Configuración de wifi doméstica. Los usuarios domésticos ordinarios suelen pasar por alto la seguridad básica al configurar sus entornos domésticos. Puede ayudar a sus empleados con un sencillo asesoramiento respaldado por los líderes sénior. Aspectos básicos como cambiar el nombre de la red y las credenciales de acceso y de administrador son fundamentales, y los empleados deberían asegurarse también de disponer de un cifrado de red adecuado, de tener el acceso remoto deshabilitado y su software actualizado.

Acceso a otras redes.  Puede que le interese ofrecer una guía a sus empleados sobre cómo usar (o no) una wifi pública, sobre cómo se pueden falsificar los nombres de red y sobre la multitud de ataques de intermediarios (“man-in-the-middle”) que pueden producirse en las redes wifi públicas. Muchas de las directrices sobre cómo usar la wifi con fines empresariales son muy parecidas, pero al establecer sus propias normas y guías específicas podrá asegurarse de que sus empleados comprendan perfectamente la práctica recomendada. No se olvide de mencionar los otros riesgos de trabajar en lugares públicos; por ejemplo, en relación con las conexiones Bluetooth o, simplemente, con las miradas por encima del hombro.

Canales de comunicación. Asegúrese de que sus empleados comprendan perfectamente cómo deben comunicarse con usted, con terceros y entre sí. Deje claro que los correos electrónicos de trabajo deben limitarse a las cuentas de trabajo y qué servicios de mensajería deben usar (¿dispone de una solución empresarial específica o utilizan WhatsApp?). Si no se asegura de ofrecer líneas de comunicación claras, es muy posible que en poco tiempo sus empleados comiencen a pasarse contraseñas o nombres de clientes por mensajes de texto, con los consiguientes riesgos. Si proporciona soluciones claras podrá supervisar su actividad de forma efectiva en relación con cualquier amenaza potencial, movimientos de datos inadecuados o con otros fines empresariales.

Suplantación de identidad con el coronavirus Como ha ocurrido con otros eventos de importancia, el brote de COVID-19 representa una oportunidad para los agentes malintencionados, desde simples estafadores hasta grupos de hackers respaldados por gobiernos. Personas y empresas de todo el mundo son el objetivo de campañas de phishing (fraude electrónico) diseñadas para aprovechar el miedo al virus y la falta de información confiable sobre el brote. Todos debemos prestar una especial atención en relación con cualquier comunicación, enlace, archivo adjunto o solicitud de información sobre el coronavirus. Advierta a sus empleados sobre esta circunstancia con el objetivo de reducir la amenaza para ellos y para usted.

Información para los empleados

Todos los puntos mencionados anteriormente son áreas relevantes en las que puede ofrecer una guía para sus empleados, pero la comunicación clara y eficaz es, en realidad, uno de los pasos más importantes que deben tenerse en cuenta en cualquier área. Aunque disponga de un plan claro y una infraestructura segura, sin una información clara los empleados cometerán errores, o incluso darán por hecho que no dispone de un plan y empezarán a tomar medidas por su cuenta (potencialmente no seguras o contraproducentes).

Asegúrese de que sus empleados estén bien informados al menos con una semana de antelación, si es posible, sobre los dispositivos que pueden usar, los servicios a los que pueden acceder y cómo deben hacerlo. Manténgales al tanto de cualquier cambio. Es posible que algunos empleados no dispongan del acceso que necesitan; tendrá que encontrar una solución antes de que lo hagan ellos. Si aún no se dispone de acceso, los empleados deberían saber cuándo está prevista la implementación para que puedan actuar en consecuencia y, si es posible, deberían conocer las alternativas de las que disponen mientras tanto.

Las comunicaciones de este tipo no solo incumben a los equipos técnicos de TI o seguridad cibernética. La comunicación con los empleados en relación con el acceso remoto debe ser supervisada a nivel de la gestión ejecutiva. Aunque los equipos técnicos pueden proporcionar las soluciones y guías adecuadas que necesitan los empleados, es imprescindible preparar y presentar esta información de forma efectiva para ofrecerla con un lenguaje sencillo y claro, a través de un método apropiado y en los plazos apropiados. Es muy importante que la guía o la política esté claramente respaldada por los líderes sénior de la organización, a fin de disponer de la autoridad y la claridad necesarias que convenzan a los empleados de que sigan los consejos que se les den.

En la medida de lo posible, asegúrese de ofrecer suficiente información también a terceros, incluidos los clientes que tengan que acceder a su red. Tendrán que saber también cómo ponerse en contacto con usted, cómo acceder a los servicios e infraestructuras relevantes y qué se les pide en cuanto a su propia seguridad. Asegúrese de tener listos sus planes y requisitos y, a continuación, hágales saber de una forma clara y decidida lo que busca. Si la situación cambia, piense en el mejor momento para comunicarles los cambios.

Prepararse para lo peor

Cualquier profesional de seguridad cibernética sabe que nadie está totalmente a salvo de un ataque malintencionado. El aumento de exposición que conlleva el trabajo remoto, combinado con la confusión y los plazos ajustados para responder a la cambiante situación del coronavirus, no hacen sino incrementar ese riesgo.

Si ya dispone de una respuesta efectiva ante incidentes cibernéticos, planes de gestión de crisis o de recuperación del negocio, es importante que los revise a la luz de este nuevo entorno operativo. ¿Puede acceder a todos los equipos que necesitará probar o reiniciar? ¿Se sigue haciendo una copia de seguridad de sus datos en un lugar seguro? ¿Sus usuarios pueden seguir notificando de forma efectiva ataques de phishing u otros indicadores de incidentes cibernéticos? ¿Cómo prevé mantener la comunicación entre los gestores clave de las crisis si todos los portátiles y móviles se cifran tras un ataque del tipo “rescate” (ransomware)? Si aún no ha puesto a prueba su plan, puede que no sea el momento de empezar, pero, como mínimo, trate de que todo el personal relevante comprenda claramente el plan y cómo se ha visto afectado por la situación actual.

Si no dispone de estos planes, es muy posible que no tenga tiempo de diseñarlos ahora, pero tenga en cuenta al menos los aspectos básicos. ¿Sabe dónde se guardan sus datos clave? ¿Sabe qué servicios son esenciales para la supervivencia de su empresa? ¿Dispone de canales de comunicación de respaldo, independientes de la red? ¿Dispone igualmente de copias de seguridad de los datos independientes y actualizadas periódicamente?

Y, sobre todo, en su situación actual, ¿Quién es imprescindible para responder ante una crisis? ¿A quién más debe informarse? ¿Cómo van a coordinarse y quién los sustituirá cuando tengan que descansar?

Evolución

Como se ha indicado anteriormente, la situación global y las medidas de los gobiernos cambian rápidamente. Conforme pase el tiempo, es posible que las empresas dispongan de un plazo más amplio para implementar medidas adicionales y adaptarse mejor a la nueva situación, o puede que los nuevos eventos las fuercen a seguir reaccionando. En cualquiera de los casos, tenga en cuenta lo siguiente:

La seguridad cibernética debería ser una parte de su planificación de TI y empresarial, no un añadido al final, cuando resulte ineficaz, o un estorbo.

Tenga siempre la mirada puesta en los datos, activos y servicios clave que necesitan protección.

Piense siempre en toda su red u organización; preste atención a no dejar huecos en sus defensas ni a bloquear por error necesidades empresariales legales.

Comuníquese con sus empleados: utilice mensajes claros y sencillos, asegúrese de que la información suministrada esté bien fundamentada y tenga autoridad, y explíqueles cómo deben actuar para hacer bien su trabajo.

John Coletti es Director de Suscripción y Jefe de Asuntos Cibernéticos y Tecnológicos en Norteamérica de AXA XL.

Photo by Andrew Neel on Unsplash