Políticas de seguridad cibernética para el trabajo a distancia

Las empresas estadounidenses han tenido que cambiar su forma de operar y la de sus empleados en medio de la pandemia de coronavirus. Esto ha creado oportunidades únicas para los piratas informáticos y serios dolores de cabeza para los profesionales de seguridad cibernética y TI.

Con el auge del trabajo a distancia, se han incrementado las vulnerabilidades a medida que se introducen dispositivos adicionales en los ecosistemas de datos de las empresas, y nuevas modalidades de phishing que van desde actualizaciones falsas de COVID-19 hasta solicitudes “de emergencia” de información confidencial que se aprovechan de los temores y la confusión asociados a la pandemia.

En este contexto, es fundamental que los profesionales especialistas en riesgos ayuden a su empresa a inculcar una cultura de concienciación sobre seguridad. Deben revisar las mejores prácticas para la seguridad de los datos y capacitar a los empleados sobre cómo estar atentos, tanto en línea como fuera de línea. Los profesionales especialistas en riesgos también pueden ayudar a su organización a mirar con nuevos ojos cómo definen y analizan su ecosistema de datos para aprovechar las nuevas medidas de salvaguardia, algunas de las cuales están fácilmente disponibles en las plataformas existentes.

Para muchas empresas, “la oficina” ahora es una habitación en la casa de un empleado, y los profesionales especialistas en riesgos suelen saber muy poco sobre la configuración y el perfil de seguridad de la información que los empleados utilizan. Esto puede ser peligroso. Por ejemplo, casi todas las empresas tienen sofisticados requisitos de contraseña para que un empleado pueda iniciar sesión en su sistema. Pero la fortaleza construida alrededor del sistema de una empresa no sirve de mucho si la contraseña de Wi-Fi en la casa de un empleado es “contraseña”.

Las empresas también deberían considerar de qué manera la Internet de las Cosas afecta la seguridad de la información en las oficinas en casa. ¿Las aplicaciones en el teléfono de un empleado cambian de forma predeterminada al modo de escucha cada vez que se actualizan? Los piratas informáticos ni siquiera tienen que involucrarse. Muchos de estos dispositivos toman muestras aleatorias de lo que se dice a efectos de controlar la calidad, y luego envían las grabaciones a un equipo de personas para analizar el funcionamiento del dispositivo. Si los empleados manejan información sensible, este muestreo puede suponer un riesgo.

Los profesionales del riesgo deberían ayudar a sus empresas a solucionar estos problemas y establecer restricciones sensatas para las oficinas en casa que puedan asegurar mejor los datos importantes.

El entorno de trabajo a distancia también requiere un enfoque renovado en la manera en que se transmiten y almacenan los datos. Una VPN corporativa es una mejora importante de la seguridad, pero las empresas también pueden mantener una buena higiene de los datos al asegurarse de que todos los sistemas y programas están actualizados, incluso mediante la instalación de actualizaciones en todos los dispositivos de la empresa. Las actualizaciones frecuentemente incluyen parches de seguridad importantes y debería ser algo en lo que los empleados ni siquiera tengan que pensar, deberían realizarse automáticamente.

Las empresas también deberían pedir a los empleados que mantengan sus dispositivos personales actualizados. Esto incluye los routers Wi-Fi y los altavoces inteligentes, así como cualquier cosa que se utilice para los negocios de la empresa o en relación con ellos. Considere la posibilidad de solicitar a los empleados que configuren sus dispositivos personales para que se actualicen automáticamente, al menos cuando los dispositivos ofrezcan esa opción en sus ajustes, y de bloquear el acceso a las aplicaciones y al correo electrónico de la empresa en los dispositivos propiedad de los empleados que no estén suficientemente actualizados.  Los líderes deberían hacer hincapié en que todos los empleados comparten la responsabilidad de mantener la información segura en el entorno actual.

Como parte de la actualización de las políticas, los responsables de la gestión de riesgos y de TI deberían recordar periódicamente a los empleados que deben obtener la aprobación del departamento de TI para cualquier servicio y software nuevos. Mejor aún, las empresas pueden establecer límites en cuanto a lo que los empleados pueden descargar sin la aprobación del departamento de TI y mantener una política sobre el uso de las computadoras que oriente a los empleados.

Fuente; RIMS MAGAZINE

Link:http://www.rmmagazine.com/2020/05/19/an-increased-remote-workforce-calls-for-increased-cybersecurity-protection/