teletrabajo
Los empleados son el eslabón más débil de cualquier sistema de seguridad corporativa. Cualquier persona cuyo trabajo sea proteger los sistemas de la información puede confirmarlo: no importa cuán avanzada esté una tecnología de seguridad, un empleado descuidado o despistado siempre puede cometer un error de ciberseguridad que ponga la infraestructura en riesgo. Si recientemente enviaste a tus empleados a trabajar desde casa (como actualmente casi la mitad de la humanidad), el alcance de los errores ahora es de una magnitud mucho mayor.
Cuando las personas trabajan en la oficina, los sistemas de protección y el personal de TI están ahí para asumir parte de la carga. Esto no garantiza una perfecta seguridad de la información corporativa, por supuesto, pero por lo menos la solución de antivirus de la empresa bloqueará los sitios de phishing y el equipo de seguridad de la información puede detectar las anomalías en el tráfico de un equipo infectado. El equipo de TI instala actualizaciones para parchar las vulnerabilidades más recientes.
Y los empleados enviados a trabajar en casa ahora tienen que gestionar todas esas cosas y más. Aquí es donde la conciencia de seguridad comienza a desempeñar un papel mucho más importante.
Si eres tu propio administrador de TI
¿Qué dispositivos usan tus empleados para trabajar desde casa? ¿Una computadora laptop de la oficina que cumple con las políticas corporativas? Excelente, pero no es suficiente. Esa computadora laptop ahora está conectada a una red doméstica desconocida. ¿Qué otros dispositivos están conectados con el enrutador (router)? ¿Qué tipo de enrutador es? ¿Qué tan segura es su contraseña, quién configuró el dispositivo y de qué modo? Si el empleado está utilizando una computadora personal doméstica en vez de una de la empresa, no sabes quién más tiene acceso a ella, qué solución de seguridad tiene instalada o si alguien se toma la molestia de actualizar el sistema operativo.
No estamos sugiriendo que todos deberían convertirse en un administrador de sistemas computacionales de la noche a la mañana, pero la capacidad de identificar amenazas y puntos débiles para la seguridad de la información corporativa debería ser una prioridad para todos. Esto causaría que las personas dejaran de conectarse a las bases de datos corporativas de modo directo si la empresa tiene un filtro VPN disponible, instalar “actualizaciones de flash player” y permitir que “expertos” externos jueguen con las configuraciones.
Si eres tu propio responsable de la protección de datos
¿Qué datos usan tus empleados en su trabajo diario? ¿Saben lo que en realidad significa “información confidencial” y qué datos son un secreto corporativo? En un mundo perfecto, habrían aprendido esto el primer día, cuando estaban en la oficina. Sin embargo, para un empleado, una cosa es trabajar con una lista de clientes de la UE en una subred aislada de la oficina, y una muy distinta es tener acceso a dichos archivos desde casa.
Después de todo, cuando se realiza teletrabajo, puede resultar muy tentador usar herramientas de colaboración no oficiales y sin supervisión. Todos necesitan saber con claridad qué datos se pueden enviar en canales no oficiales y cuáles nunca deben abandonar las redes de trabajo por ningún motivo.
Si eres tu propio experto en ciberseguridad
Tanto los trabajadores remotos como los expertos en TI necesitan entender de igual modo que la pandemia actual es favorable para los cibercriminales. Hemos visto gran cantidad de phishing de COVID-19, ya sean iniciativas masivas o ciberataques contra empresas. Algunos cibercriminales intentan ataques BEC, con la esperanza de que sus mensajes de phishing lograrán infiltrarse debido a la ola creciente de correspondencia generada por el teletrabajo. Nuestras tecnologías de seguridad han detectado que las infraestructuras corporativas se han visto sometidas a constantes escaneos del exterior en busca de puertos RDP abiertos para realizar ataques dirigidos. Esa es razón suficiente para redoblar la vigilancia para garantizar la seguridad de la información durante el teletrabajo.
Cómo capacitar a los empleados en este ambiente
Comienza por transmitir la idea a tus empleados de que ahora son más responsables de la seguridad de la información que antes. Esto puede parecerte obvio, pero no a todos les cruza por la cabeza ese pensamiento. A continuación, aumenta su nivel de conciencia de seguridad. Por supuesto, de momento no hay sesiones presenciales de capacitación en ciberseguridad, pero nuestros programas de aprendizaje a distancia lo compensan sobremanera. Y constantemente los estamos actualizando y mejorando.
La manera más fácil de disponer de una capacitación a distancia en ciberseguridad es con nuestra plataforma Kaspersky Automated Security Awareness. No solamente mantiene informados a los empleados acerca de las amenazas más recientes, sino que les enseña a defenderse de esas amenazas que pueden poner en peligro la seguridad de la información corporativa. Además, el administrador ha perdido control sobre el proceso y puede programar a distancia la capacitación sobre ciberseguridad corporativa. Especialistas en el campo de la educación y la psicología crearon las lecciones, quienes han hecho el material llamativo y memorable.
Y recientemente, nuestros expertos añadieron dos módulos de capacitación con los temas urgentes: datos confidenciales y GDPR. El primero es para los empleados que trabajan con datos personales, secretos comerciales o documentos internos. El segundo está destinado a empresas cuyos clientes o empleados sean ciudadanos de la UE.
Además, nuestros expertos, junto con Area9 Lyceum, hemos creado un módulo complementario que se compone de dos grandes partes. En la primera se enseña a los participantes a organizar un ambiente seguro de teletrabajo. El segundo no trata sobre la seguridad de la información, sino cómo reducir al mínimo el riesgo de contraer COVID-19. El módulo está disponible aquí.
Consejos