Saktanong - stock.adobe.com
Las empresas requieren servicios de mensajería corporativa, no apps de chat
Aunque la mensajería instantánea impulsa el modelo de trabajo distribuido, las empresas requieren servicios de comunicación seguros, que protejan los datos y cumplan las normativas de privacidad.
La mensajería instantánea nos encanta. Es flexible, fácil de usar, permite la colaboración y las notificaciones son prácticamente instantáneas, por lo que se ha convertido en uno de los canales de comunicación más populares en el ámbito laboral (y personal). Una app de mensajería instantánea permite a los colaboradores, en múltiples niveles de la organización, intercambiar información al instante y reaccionar con rapidez, algo que es particularmente útil cuando la empresa atraviesa un momento de crisis o urgencia en su operación, especialmente en industrias en donde la información tiene un alto nivel de criticidad como en minería, energía y gas, seguridad pública, etc.
Sin embargo, la delincuencia cibernética sigue en auge y no todos los servicios de mensajería cumplen con las exigencias de seguridad necesarias para la comunicación corporativa. Muchos tampoco cumplen con algún marco legal vigente de respaldo para la protección de datos.
Actualmente, hay cada vez más directivas para mejorar la seguridad cibernética de las empresas. Por ejemplo, la Unión Europea ahora cuenta con regulaciones contundentes como la Directiva NIS2, que establece principalmente obligaciones de ciberseguridad para los Estados; el Reglamento de Resiliencia Operacional Digital o DORA; y la Directiva de Entidades Críticas o CER con la intención de proteger totalmente la gestión de riesgos de ciberseguridad y obligaciones en cuanto al intercambio y supervisión de información para las organizaciones empresariales y gobiernos.
En este panorama, México aún tiene mucho camino que recorrer. Por ello, enlisto algunos parámetros para que las organizaciones evalúen y planteen optar por alternativas de comunicación dedicadas y con parámetros de seguridad exhaustivos.
1. Proteger la información sensible. La omnipresencia de los teléfonos móviles ha convertido a las apps de mensajería en un canal muy atractivo para la comunicación empresarial. No obstante, tanto smartphones como aplicaciones de mensajería pueden ser los blancos idóneos para todo tipo de ataques cibernéticos – como fraude a CEO, phishing, pérdida de propiedad intelectual, espionaje, ataque de intermediario (MITM, por sus siglas en inglés), secuestro de datos (ransomware)– y, por tanto, suponer una grave amenaza para las empresas. Las empresas necesitan proteger los datos sensibles utilizando la restricción de los metadatos en todo momento.
2. Prevenir y evitar estafas y otros ataques de phishing. El “fraude del CEO” es un tipo especial de phishing en el que el atacante intenta hacerse pasar por el director o por un alto ejecutivo de la empresa. Los delincuentes suelen utilizar información de acceso público en las redes sociales, instando a los empleados a transferir dinero a una cuenta bancaria externa para evitar la publicación de datos potencialmente sensibles. Entre los indicios reveladores de un posible fraude están un estilo/lenguaje de escritura inusual, peticiones inusitadas, una impresión de urgencia y la exigencia de confidencialidad por parte del remitente. En este contexto, la verificación de los contactos es esencial, ya que ayuda a asegurarse de que la persona que está al otro lado es realmente quien dice ser. Igualmente, las comunicaciones a través de servicios pueden restringirse a los miembros de un determinado grupo de usuarios (por ejemplo, los empleados de la empresa). Al descartar cualquier posibilidad de que personas externas accedan a un grupo cerrado de usuarios, el fraude del CEO se imposibilita de raíz.
También existen soluciones de mensajería locales, como Threema OnPrem, que resultan convenientes para reforzar la privacidad y la seguridad de los datos. La combinación de la arquitectura de seguridad consolidada y la propiedad absoluta de los datos proporcionan un entorno local y de autoalojamiento que asegura el control sobre los datos, el servidor y el software específico, en tanto la información confidencial y los datos personales individuales y grupales se protegen frente a terceros a través de una comunicación autónoma. Esto garantiza una sólida protección contra el espionaje industrial, el malware, el fraude ejecutivo, el phishing, el ransomware, etc.
3. Aumentar la resiliencia cibernética. Las nuevas normativas de la Unión Europea (NIS2, DORA y CER) ayudarán a reforzar la seguridad informática y darán mejores prácticas a más mercados internacionales. Las directivas exigen comprobaciones sistemáticas de la resiliencia cibernética, la aplicación de políticas que garanticen la continuidad de la actividad y canales de comunicación de emergencia seguros, por citar algunos ejemplos. Un servicio de mensajería empresarial segura permite eludir las cuentas de correo electrónico secuestradas y transmitir rápidamente mensajes a personas clave de la organización a través de listas de distribución de emergencia predefinidas. Establecer un canal de comunicación seguro de antemano es fundamental.
4. Cumplir con la reglamentación vigente de protección de datos (RGPD o similar). A menudo, las empresas parecen ignorar los riesgos que entrañan los servicios de mensajería instantánea populares, que no protegen suficientemente la información confidencial, en particular si los empleados se comunican a través de apps privadas con una configuración de seguridad incompleta e incluso sin el conocimiento de la empresa. Esta práctica puede exponer a la empresa al riesgo de mal uso de su información y graves crisis reputacionales. Una app de mensajería diseñada para el uso profesional y empresarial incluye todas las ventajas habituales de la mensajería instantánea, pero ofrece además una cabina de gestión que da a la empresa el control de todos los ajustes de seguridad, además de permitir la eliminación automática de los usuarios que ya no forman parte del equipo. En el caso de México, debe cumplir con la Ley General de Protección de Datos Personales en Posesión de Sujetos Obligados (LGPDPPSO) y para empresas que hagan negocios con clientes o entidades en el mercado europeo, la normativa europea RGPD.
5. Separación estricta entre trabajo y ocio. Con los contactos de trabajo y privados en la misma aplicación, es fácil caer en la trampa de enviar información de la empresa a personas externas. Una app de mensajería segura para la comunicación corporativa permite etiquetar los contactos internos de la empresa como tales y evitar confusiones. A pesar de que, en la actualidad, México no cuenta con legislación aprobada y oficial en materia de ciberseguridad, esto ha llevado a que múltiples instituciones gubernamentales, así como también empresas privadas y personas naturales, no tengan clara la pauta y sean víctimas de la creciente ola de ciberataques de la que es parte la región latinoamericana.
Este octubre, mes de la ciberseguridad, es un excelente momento para revisar qué otros puntos dentro de las organizaciones pueden ser evaluados, así como adoptar mejores prácticas y prevenir riesgos que forman parte inherente de nuestro mundo digital cada vez más dinámico.
Nota del editor: Esta columna fue editada por razones de estilo editorial.
Sobre el autor: Miguel Rodríguez es Chief Revenue Officer y miembro del consejo ejecutivo de Threema, compañía con sede en Suiza propietaria del servicio de mensajería instantánea segura del mismo nombre. Es responsable por la expansión internacional de la empresa y del departamento de ventas y gestión de éxito de los clientes de Threema Work, la solución de mensajería instantánea para corporaciones. Desde 2015, ejerce de mentor empresarial en la Swiss Startup Factory de Zürich con experiencia en la industria de soluciones de tecnología, AR e IA. Es de origen español, licenciado en Administración de Empresas por la HSO Wirtschaftsschule de Suiza.