De repente, el teletrabajo… pero con seguridad

Autor: José Battat, director general de Trend Micro Iberia

… Y de repente tienes un montón de personal trabajando a distancia. El teletrabajo no es nuevo y un buen porcentaje de trabajadores ya lo ejerce, aunque en unos países más que en otros. Pero las empresas que tienen una fuerza de trabajo distribuida tuvieron tiempo para planearlo, y para hacerlo con seguridad.

Un montón de nuevos teletrabajadores a la vez

Este acontecimiento no se puede tratar como un despliegue rápido de una aplicación: hay impactos en el negocio, la infraestructura y la seguridad de los clientes. Habrá un aumento de trabajo para los servicios de asistencia y soporte al cliente a medida que los nuevos teletrabajadores luchan con el trabajo remoto.

Además, no complique más el problema. Circulan consejos para restablecer todas las contraseñas de los trabajadores remotos. Esto abre la puerta a una mayor ingeniería social para intentar atraer al personal del servicio de soporte, que está sobrecargado de trabajo, para que restablezca las contraseñas que no cumplen con la política. Establecer expectativas para el personal de que se deben cumplir las políticas, y esperar algunos retrasos mientras el equipo de soporte está sobrecargado.

Surgirán problemas de continuidad de negocio ya que la planificación limitada para los trabajadores remotos podría maximizar las licencias de VPN, la capacidad del firewall y los tiempos de espera de las aplicaciones, ya que muchas personas intentan utilizar las mismas aplicaciones a través de una canalización de red más estrecha.

Ayudar al personal a tener una oficina en el hogar más segura

En el mejor de los casos, los trabajadores a distancia a menudo son abandonados a su suerte para asegurar su experiencia de trabajo en casa. Las oficinas domésticas ya suelen ser mucho menos seguras que las oficinas corporativas: routers débiles, PC sin gestionar y múltiples usuarios hacen que las oficinas domésticas se conviertan en una vía de ataque más fácil para la empresa.

No tiene sentido que los trabajadores operen en un entorno menos seguro en este contexto. Hay que darles las herramientas operativas y de seguridad necesarias para hacer su tarea. Es probable que los teletrabajadores, incluso con un dispositivo de la empresa, trabajen en múltiples dispositivos domésticos. Ponga a disposición de la empresa herramientas de almacenamiento y uso compartido con licencia, para que los empleados no tengan que recurrir a opciones «incompletas» o débiles cuando superen los límites de almacenamiento gratuito en Dropbox o en otros servicios relacionados.

Un Gateway Web Seguro como servicio es una opción útil, teniendo en cuenta que los teletrabajadores que utilizan una VPN probablemente seguirán haciendo “split tunneling” (es decir, no pasarán por los dispositivos de seguridad de la empresa cuando naveguen por sitios no corporativos, etc.), a diferencia de cuando están en la oficina de la empresa y todas las conexiones están desinfectadas. Esto es especialmente importante en los casos en los que un router doméstico débil se ve comprometido y es necesario detectar cualquier exfiltración u otro tráfico «telefónico doméstico» de malware.

Una forma sencilla de hacer llegar esta información a los empleados es añadir consejos de seguridad para el trabajo a distancia a cualquier extensión ejecutiva que se realice con regularidad.

Cuestiones operativas

Dado que la gran mayoría de las empresas cambian a un modelo de trabajo desde casa, con menos énfasis en las reuniones en persona, también prevemos que los actores maliciosos comenzarán a suplantar herramientas digitales, como los servicios «gratuitos» de conferencias a distancia y otros programas de computación en la nube.

Tener una política de respeto a la privacidad del teletrabajo es un buen paso preventivo para minimizar el riesgo de que este tipo de ataque tenga éxito. Los trabajadores a distancia pueden estar preocupados por su privacidad digital cuando trabajan desde casa, por lo que cualquier forma de informarles sobre los posibles métodos de ataque puede ayudar.

Cualquier medida para evitar que el personal intente evadir las medidas de seguridad debido a una preocupación por la privacidad es probablemente una buena inversión.

Riesgos específicos de la crisis

Durante cualquier acontecimiento o crisis importante, los ataques de ingeniería social y el phishing aumentarán. La ingeniería humana significa usar cualquier palanca para facilitar que los objetivos hagan clic en un enlace.

Estamos viendo ataques dirigidos de correo electrónico que están aprovechando esto. Es probable que algunos utilicen tácticas como los archivos adjuntos llamados «adjunto su tarjeta de permiso para trabajar en casa”, directrices corporativas falsas o documentos de recursos humanos.

Lamentablemente, esperamos que los hospitales y las administraciones locales vean un aumento del ransomware debido a la expectativa de que los pagos sean más probables durante una emergencia.

Pero espera… no todo son malas noticias

La buena noticia es que ninguno de estos ataques es nuevo y ya tenemos manuales para defendernos de ellos. Recuerde a todo el personal durante este período que debe ser más cauteloso con el phishing, pero no dependa demasiado de la educación del usuario, sino que respáldelo con medidas tecnológicas de seguridad. Aquí hay algunas formas de hacerlo.

.- Proporcione a sus trabajadores remotos las herramientas de seguridad y productividad que necesitan para protegerse a sí mismos y a los recursos informáticos no corporativos.
.- Incluya una cuenta de almacenamiento en la nube gestionada por la empresa para los documentos de trabajo, de modo que los empleados no encuentren o no tengan que recurrir a versiones gratuitas que puedan no ser seguras.
.- Permita que los clientes y los partners de la cadena de suministro, que también puedan estar teletrabajando, puedan interactuar con usted de forma segura.

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

*

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.