Cómo asegurar la ciberseguridad cuando los empleados trabajan de forma remota

Cómo el trabajo remoto impacta la ciberseguridad

Por supuesto, el trabajo a distancia no es un fenómeno nuevo. Incluso antes de que la pandemia de COVID-19 instigara lo que el director ejecutivo de Censornet, Ed Macnair, denominó «la primera migración masiva del mundo de empleados de oficina al trabajo remoto», más de la mitad de los empleados del mundo ya trabajaban fuera de la sede de su oficina principal durante al menos 2,5 días a la semana, según una encuesta de 2019 del proveedor de espacio de oficina International Workplace Group.

Pero la imposición del trabajo en casa debido a COVID-19 representó un desafío extraordinario para las organizaciones y los empleados que no están acostumbrados a usar los sistemas de TI de esta manera. El cambio repentino y generalizado al trabajo remoto tuvo que manejarse con rapidez, a escala y en medio de una crisis global de gran alcance que aumentó drásticamente el nivel de actividad ciberdelincuente oportunista.

Desafíos comunes de ciberseguridad del trabajo remoto amplificados por COVID-19

Los riesgos de ciberseguridad del trabajo remoto exacerbados por la pandemia incluyen una potente combinación de desafíos técnicos y humanos:

• una superficie de ataque ampliada de dispositivos y conexiones adicionales, muchos de los cuales no están optimizados para la seguridad (dispositivos personales como computadoras, tabletas y teléfonos domésticos o equipos de redes para consumidores);
• un aumento masivo de objetivos y ubicaciones de objetivos (datos de la empresa en los hogares de los empleados o personal de la empresa designado como defensores de facto de primera línea del sistema de información);
• una serie de impactos grandes pero desiguales en el negocio, que podrían reducir o desviar el presupuesto y los recursos de ciberseguridad, incluso cuando la necesidad de esos recursos aumentaba; y
• un clima profundamente criminógeno de miedo, incertidumbre, duda y urgencia (ingresos familiares amenazados, reducidos o perdidos; riesgos elevados para la salud familiar; clima político y social conflictivo; circunstancias, reglas, regulaciones y consejos que cambian rápidamente).

Un número sin precedentes de personas es ahora susceptible a los tipos de errores y juicios erróneos que permiten muchas formas de ciberdelito. Al mismo tiempo, es probable que el delito cibernético sea más atractivo para un grupo más amplio de personas, un grupo que puede incluir a algunos de los empleados actuales o recientemente liberados de una organización. ¿Cómo deberían las organizaciones abordar el nuevo panorama de amenazas?

Formas de abordar los problemas de ciberseguridad del trabajo remoto

Las respuestas necesarias para abordar estos riesgos de seguridad también son una combinación de técnicas y humanas. Un buen lugar para comenzar es donde el usuario final se encuentra con los puntos finales de una infraestructura de TI.

• Si tiene suerte, su organización tiene un historial de habilitar el trabajo remoto seguro para un porcentaje significativo de empleados. Por lo tanto, ya implementó una política de «no trabajar en computadoras que no pertenecen a la empresa» al otorgar a los empleados computadoras portátiles, tabletas y teléfonos protegidos por autenticación multifactor (MFA) configurados por la empresa, administrados de forma remota, todos protegidos por terminales y vinculados de forma segura a la red de la corporación a través de tecnologías como VPN y perímetro definido por software (SDP). Si su organización es particularmente afortunada y/o está bien administrada, los empleados habrán sido capacitados para usar, aceptar y apoyar este régimen.
• ¿Qué pasa con los empleados que, antes de 2020, solo trabajaban en computadoras de escritorio de la empresa ancladas a escritorios de la empresa? Una vez más, algunas organizaciones ya habían virtualizado esos sistemas con algún tipo de infraestructura de escritorio virtual. Si los empleados de la oficina ya están utilizando máquinas virtuales, trasladarlas a un entorno doméstico desde el que puedan utilizar una conexión remota dedicada y cifrada a la red de la empresa es una opción viable.
• Entonces, ¿qué pasa con las organizaciones menos afortunadas, aquellas que ingresaron a 2020 con pocos conocimientos prácticos de acceso remoto y conceptos como virtualización de escritorio, MFA, confianza cero, VPN y SDP? Claramente, se han enfrentado a una curva de aprendizaje empinada y una gran demanda de recursos de TI. Si hay buenas noticias aquí, es la gran cantidad de opciones bien establecidas que se pueden implementar, ya sean máquinas virtuales en los servidores corporativos, a las que se accede a través de una VPN protegida por MFA, o una solución basada en la nube que combina SaaS e IaaS.

Algunas respuestas menos técnicas, pero de vital importancia para el cambio de 2020 al trabajo desde casa, son aplicables a un amplio espectro de organizaciones, no solo a los principiantes del acceso remoto; estos incluyen capacitación, respuesta a incidentes y auditorías de seguridad.

Capacitación en conciencia de seguridad adaptada al trabajo remoto en el hogar

Para las organizaciones que introducen nuevas tecnologías, procedimientos y políticas para manejar el trabajo desde casa de manera segura, la necesidad de capacitación en seguridad para los empleados parecería obvia. Sin embargo, encuestas realizadas por ESET y CompTIA hace unos años encontraron que más del 30 % de los empleados no habían recibido capacitación en ciberseguridad en su organización y solo la mitad de las empresas realizaban capacitación de manera continua. En el Reino Unido, la empresa de software Specops descubrió recientemente que, en 11 sectores comerciales diferentes, el 42 % de los empleados no habían recibido ninguna capacitación adicional desde que trabajaban desde casa.

Suponiendo que tiene el respaldo y los recursos para brindar a los empleados capacitación en concientización sobre seguridad en el trabajo desde casa, asegúrese de que el contenido aborde los problemas específicos del trabajo en el hogar, que es bastante diferente de trabajar en una habitación de hotel, instalaciones para clientes o cafeterías. Por ejemplo, si bien todavía se aplican los consejos sobre cómo evitar el Wi-Fi público, los protocolos de seguridad deben reforzarse para otros riesgos, incluidos los siguientes:

• configuración del Wi-Fi doméstico;
• reglas sobre el bloqueo de dispositivos desatendidos;
• no compartir dispositivos con otros miembros de la familia; y
• proteger los dispositivos contra robos.

Hay varias buenas razones para asegurarse de que las personas que trabajan desde casa sigan siendo administradas y monitoreadas, entre ellas la posibilidad real de que un entorno menos estructurado pueda tentar a algunos empleados a adoptar un enfoque más relajado de las políticas de seguridad. Preste atención a la moral y trate de brindar el mayor apoyo y la actitud positiva que pueda, teniendo en cuenta que estos son tiempos profundamente estresantes para las familias y las comunidades, incluso si su organización en particular lo está haciendo bien.

Actualice su plan de respuesta a incidentes, seguro contra riesgos cibernéticos y auditoría de seguridad

Lamentablemente, incluso si su organización hace un buen trabajo, tanto en el lado técnico como en el humano del desafío de la ciberseguridad del trabajo remoto, la posibilidad de un incidente de seguridad permanece. Esto significa que debe asegurarse de que su plan de respuesta a incidentes y su libro de jugadas se hayan actualizado para hacer frente a los cambios impuestos por la pandemia; por ejemplo, «reunir un equipo de respuesta a crisis en la sala de conferencias del tercer piso» puede no ser físicamente factible en este momento).

Si bien muchas organizaciones se han acostumbrado a las herramientas de reuniones remotas, como Zoom y Microsoft Teams, ahora podría ser un buen momento para presentar algunos escenarios de su libro de estrategias de respuesta a incidentes bajo las «nuevas condiciones normales» para asegurarse de que todos los procesos críticos sean factibles. Ahora también sería un buen momento para revisar su seguro contra riesgos cibernéticos para asegurarse de que no se excluyan los riesgos del trabajo desde casa.

¿Y qué tal una auditoría de seguridad para asegurarse de que los cambios provocados por la necesidad de trabajar desde casa se hayan realizado de forma segura? Evite posponer esta y otras acciones porque «pronto volveremos a la normalidad». Es muy probable que, como dijo Rich Mogull en su artículo de SearchSecurity sobre ciberseguridad para trabajadores remotos: «Tenemos que aceptar que nuestros planes actuales no son medidas provisionales, sino nuestro nuevo modelo operativo central para el futuro previsible».