10 consejos sobre ciberseguridad y protección de datos para el regreso a la oficina

Con el retorno a las actividades y el regreso de los empleados a las oficinas, las organizaciones están examinando actualmente directrices tales como la planificación de sistemas unidireccionales, la aplicación de horarios de inicio y finalización escalonados, el examen de la eficacia de los controles y medidas de seguridad y la adopción de medidas inmediatas para mejorar los que no son eficaces.

Desde la perspectiva de la seguridad cibernética esto incluye reevaluar las redes de sistemas, revisar la actividad de shadow IT, o el uso de los dispositivos personales de los usuarios (BYOD). Mientras que, para la protección de datos, el enfoque se centrará en los cambios en las estaciones de trabajo, los datos de salud de los empleados, las evaluaciones del impacto de la protección de datos (DPIA) y la transparencia.

Stephen O’Boyle, director de la práctica global de Riesgos Cibernéticos de BSI, explica: "Los últimos meses han puesto a prueba a muchas organizaciones de todas las formas y tamaños en todo el mundo. Muchas necesitaban adaptarse rápidamente a las restricciones para garantizar la seguridad y el bienestar de sus empleados y clientes, activando el trabajo a distancia, probando y reconfigurando los sistemas informáticos para que siguieran siendo eficaces."

Pero, agrega el ejecutivo de BSI, esta contingencia sanitaria también brindó a las organizaciones la oportunidad de personalizar, examinar, actualizar y mejorar su planificación de la respuesta y perfeccionar sus planes de continuidad de las actividades para prepararse para la reapertura gradual. "La atención se centra ahora en la apertura de forma segura y una de las principales prioridades es la seguridad cibernética y las necesidades de gobernanza de datos, para que las empresas operen de manera más segura, sostenible, confiable y resistente, protegiendo a su personal, su información y su reputación."

Con el objetivo de apoyar a las empresas de todos los sectores de la industria a planificar su reapertura y desarrollar una metodología sostenible para trabajar en la “nueva normalidad”, BSI ha delineado los siguientes 10 puntos esenciales de ciberseguridad y protección de datos:

1. Seguridad física – asegúrense de que los controles de seguridad física, la identificación de los empleados y los medios físicos están todos actualizados y son totalmente operables.
2. Control de acceso – asegúrense de que las credenciales como la autenticación multifactorial (MFA) y la expiración y restablecimiento de la contraseña estén todas actualizadas.
3. Protección de datos y privacidad – soliciten el asesoramiento de su Oficial de Protección de Datos o de su Oficial de Privacidad sobre el impacto de los cambios realizados en los procesos existentes o en los nuevos procesos en los que se registran y cotejan datos. Realicen evaluaciones del impacto sobre la privacidad (PIAs) cuando sea pertinente.
4. Gestión de activos – reevalúen las políticas de traer su propio dispositivo y asegúrense de que todos los activos no inventariados se registran correctamente.
5. Seguridad de la red – el acceso remoto sigue siendo importante durante la vuelta al trabajo, por lo que hay que mantener los servicios de red como las redes privadas virtuales (VPN) disponibles y seguros.
6. Gestión de la vulnerabilidad – la aplicación de parches es un desafío incluso para una organización con resiliencia a la información. Al regresar a la oficina, las organizaciones deben evaluar su postura sobre los parches, y decidir las acciones a seguir cuando se detecte que no se pueden priorizar los parches.
7. Seguridad de las operaciones – las organizaciones deben reevaluar cualquier configuración que hayan hecho durante el período de trabajo desde casa para asegurarse de que siguen siendo las más eficaces.
8. Continuidad del negocio – ahora es el momento de aprender de las actividades recientes -el paradigma de trabajo a distancia- y aplicar los conocimientos adquiridos para mejorar la preparación del plan de continuidad del negocio.
9. Gestión de incidentes – la respuesta a incidentes representa la última línea de defensa en caso de que se materialice un ataque. Asegúrense de que su organización está preparada para prepararse y responder a una violación de datos.
10. Gobernanza de la seguridad – los registros de riesgos deben ser reevaluados dado el panorama de amenazas y el plano de control recientemente reestructurado.

BSI ha elaborado un cuestionario de autoevaluación para las organizaciones que se centran en consideraciones de seguridad cibernética para la reapertura de la oficina. Al completar la encuesta, el destinatario recibirá un informe de BSI en el que se indica su disposición a reabrir la oficina centrada en la seguridad cibernética y en las implicaciones de la gobernanza de los datos.