teletrabajo
Los empleados son el eslabón más débil de cualquier sistema de seguridad corporativa. Cualquier persona cuyo trabajo sea proteger los sistemas de la información puede confirmarlo: no importa lo avanzada que pueda estar una tecnología de seguridad, un empleado descuidado o despistado siempre puede cometer un error que ponga la infraestructura en riesgo. Si has enviado a tus empleados a trabajar desde casa (como casi la mitad de la humanidad), el margen de error es ahora mucho mayor.
Cuando los empleados trabajan en la oficina, los sistemas de protección y el personal informático están ahí para asumir parte de la carga. Esto no garantiza una perfecta seguridad, por supuesto, pero por lo menos la solución de antivirus de la empresa bloqueará los sitios de phishing y el equipo de seguridad de la información puede detectar las anomalías en el tráfico de un equipo infectado. El equipo informático instala actualizaciones para parchear las vulnerabilidades más recientes.
Y los empleados enviados a casa a trabajar ahora tienen que gestionar todas esas cosas y más. Aquí es donde la sensibilización en materia de seguridad comienza a desempeñar un papel mucho más importante.
Si eres tu propio administrador informático
¿Qué dispositivos usan tus empleados para trabajar desde casa? ¿Un portátil de la oficina que cumple con las políticas corporativas? Excelente, pero no es suficiente. Ese portátil ahora está conectado a una red doméstica desconocida. ¿Qué otros dispositivos están conectados al router? ¿Qué tipo de router es? ¿Es segura la contraseña, quién configuró el dispositivo y cómo? Si el empleado está utilizando un ordenador personal doméstico en vez de uno de la empresa, no sabes quién más tiene acceso a él, qué solución de seguridad tiene instalada o si alguien se toma la molestia de actualizar el sistema operativo.
No estamos sugiriendo que todos tus empleados deban convertirse en administradores de sistemas de la noche a la mañana, pero la capacidad de identificar amenazas y puntos débiles debería ser una prioridad para todos. Esto podría provocar que los empleados dejaran de conectarse a las bases de datos corporativas de modo directo si la empresa tiene una VPN disponible, instalar “actualizaciones de Flash Player” y permitir que “expertos” externos jueguen con las configuraciones.
Si eres tu propio responsable de la protección de datos
¿Qué datos usan tus empleados en su trabajo diario? ¿Saben lo que en realidad significa “información confidencial” y qué datos son un secreto corporativo? En un mundo perfecto, habrían aprendido esto el primer día, cuando estaban en la oficina. Sin embargo, para un empleado, una cosa es trabajar con una lista de clientes de la UE en una subred aislada de la oficina, y otra muy distinta es tener acceso a dichos archivos desde casa.
Después de todo, cuando se realiza el trabajo remoto, puede resultar muy tentador usar herramientas de colaboración no oficiales y sin supervisión. Todos necesitan saber con claridad qué datos se pueden enviar en canales no oficiales y cuáles nunca deben abandonar las redes de trabajo por ningún motivo.
Si eres tu propio experto en ciberseguridad
Tanto los trabajadores en remoto como los expertos informáticos deben comprender que la pandemia actual favorece a los ciberdelincuentes. Nos hemos encontrado ya con una gran cantidad de phishing de COVID-19, ya sean iniciativas masivas o aquellas dirigidas contra sectores específicos. Algunos ciberdelincuentes intentan ataques BEC, con la esperanza de que sus mensajes lograran infiltrarse debido a la ola creciente de correspondencia generada por el teletrabajo. Nuestras tecnologías de seguridad han detectado que las infraestructuras corporativas se han visto sometidas a análisis constantes del exterior en busca de puertos RDP abiertos. Y esa es razón más que suficiente para doblegar la vigilancia.
Cómo formar a los empleados en este ambiente
Comienza por transmitir la idea a tus empleados de que ahora son más responsables de la seguridad de la información que antes. Esto puede parecerte obvio, pero no a todos se les pasa por la cabeza ese pensamiento. A continuación, aumenta su nivel de conciencia de seguridad. Por supuesto, de momento no hay sesiones presenciales sobre ciberseguridad, pero nuestros programas de aprendizaje a distancia lo compensan notablemente. Además, los estamos actualizamos y mejoramos de forma constante.
La forma más fácil de establecer una formación a distancia en ciberseguridad es con nuestra plataforma Kaspersky Automated Security Awareness Platform. No solamente mantiene informados a los empleados acerca de las amenazas más recientes, sino que les enseña a defenderse de esas amenazas. Además, el administrador controla el proceso y puede programar a distancia la formación. Una serie de especialistas en el campo de la educación y la psicología han sido los encargados de crear estas las lecciones, un material llamativo y memorable.
Y recientemente, nuestros expertos añadieron dos módulos de formación sobre dos temas muy importantes: los datos confidenciales y RGPD. El primero es para los empleados que trabajan con datos personales, secretos comerciales o documentos internos. El segundo está destinado a empresas cuyos clientes o empleados sean ciudadanos de la UE.
Además, nuestros expertos, junto con Area9 Lyceum, han creado un módulo complementario que se compone de dos grandes partes. La primera se enseña a los participantes a organizar un ambiente seguro de trabajo en casa. Y la segunda no trata sobre la seguridad de la información, sino sobre cómo reducir al mínimo el riesgo de contraer COVID-19. El módulo se encuentra disponible aquí (en inglés).
Consejos