Ciberseguridad: los riesgos del trabajo en remoto

Autor: Joe Galvin
Joe Galvin es director de investigación de Vistage Worldwide. 

Los ciberataques son una amenaza de peso en las economías ya en circunstancias normales. Pueden hacer que tu negocio se detenga por completo en un santiamén. Y en el mundo del COVID-19, la seguridad cibernética se ha vuelto aún más crítica ya que, de repente, los trabajadores remotos se exponen, sin quererlo, a los ciberdelincuentes.

Nuestros datos muestran que solo el 46% de las pequeñas y medianas empresas (PYMES) tienen una estrategia de ciberseguridad activa y actualizada. Sin embargo, incluso las tecnologías y estrategias cibernéticas más avanzadas no pueden proteger a la empresa contra el eslabón más débil: sus empleados en remoto. Las personas siempre han sido el eslabón más débil de una estrategia de seguridad cibernética en capas de personas, procesos y tecnología en tiempos normales. Con los trabajadores que funcionan de forma remota desde las oficinas en sus casas, la amenaza y la exposición son aún mayores.

Los trabajadores remotos están trabajando en sus redes personales, fuera de las VPN y más allá de los firewalls, lo que aumenta su riesgo y abre la puerta a ciberdelincuentes cada vez más astutos. Además de los problemas y desafíos comerciales de funcionar en el mundo COVID, ¿cuál sería el impacto para tu negocio de tener todos sus datos como rehenes? ¿Cómo afectaría un ataque masivo de ransomware y el pago de los ciberdelincuentes a tu flujo de caja, especialmente si eres una del 33% de las pymes que tienen cinco meses o menos de efectivo disponible?

Estado de ciberseguridad

La buena noticia de la encuesta del Índice de confianza del CEO de Vistage Global del cuarto trimestre de 2019, que obtuvo respuestas de 1.604 líderes de pequeñas y medianas empresas, fue que la conciencia de la seguridad cibernética estaba en aumento. ¿Las malas noticias? También lo fueron los incidentes cibernéticos.

En esa encuesta, casi un tercio (32%) de los directores ejecutivos indicaron que habían sido víctimas de un ciberataque en los últimos 12 meses, un aumento del 27% del año anterior y del 24% que reportaron ataques hace dos años. Ese número está aumentando por dos razones, la primera porque los ciberataques van en aumento, pero lo más significativo es que las empresas son más conscientes de estos esfuerzos de los ciberdelincuentes y los malos actores debido a la creciente prioridad en proteger los datos de su empresa.

Pero la mejor noticia fue que el 46% de los directores ejecutivos informaron tener un plan cibernético activo y actualizado, lo que representa un aumento del 43% en 2018 y el 38% en 2017. Los que estaban completamente desprotegidos disminuyeron; solo el 22% informó no tener un plan en absoluto, frente al 25% en 2018 y el 27% en la encuesta del cuarto trimestre de 2017. Las proyecciones para 2020 es que estas cifras han seguido aumentando y las pymes tienen un mayor nivel de protección que nunca. Aprenderemos más cuando hagamos una encuesta a nuestra comunidad de directores ejecutivos en diciembre de 2020.

A medida que las empresas aumentan su conciencia cibernética, “los malos” también aumentan sus esfuerzos criminales. Es necesaria una revisión anual del plan de ciberseguridad, revisando cada uno de los tres componentes de personas, procesos y tecnología. Pero, de lejos, el mayor enfoque debería ser el eslabón más débil: las personas.

Abordar el eslabón más débil

Concientizar y capacitar a los empleados es fundamental para abordar las vulnerabilidades causadas por las personas. Dado que tres cuartas partes de todos los ciberataques o violaciones de datos comienzan con un intento de phishing o un error que ocurre a nivel de usuario, capacitar a tus empleados en ciberseguridad contribuirá en gran medida a mitigar el riesgo de un ataque.

Hay muchas formas de abordar la capacitación y muchas soluciones económicas que cuestan menos de 100€ por empleado. Esto es lo que recomiendan los expertos:

  • Capacita a los empleados para que cumplan los principios básicos de seguridad. Establezce prácticas de seguridad básicas, como el uso de contraseñas seguras, el uso adecuado de Internet y el manejo de la información y los datos del cliente con cuidado.
  • Desarrolla una conciencia de seguridad. Considera el uso de simulaciones de phishing internas para enseñar a las personas cómo detectar los signos comunes de un ataque.
  • Invierte en un paquete de prueba de existencias. De manera similar a la herramienta de simulación, esta capacitación enseñará a los empleados cómo detectar estafas por correo electrónico y evaluar si un enlace es sospechoso.
  • Practica Cross-training. Brinda a los empleados la oportunidad de seguir al personal de IT para que puedan crear un equipo de gerentes de IT adjuntos no oficiales. Esto también crea más redundancia en su seguridad al distribuir la responsabilidad.
  • Comunica por qué es importante la seguridad. Ayude a sus empleados a comprender por qué esta formación es importante y qué está en juego para la empresa. Supere el lenguaje legal y hágalo personal.
  • Contrata a un CIO fraccional. Si tienes un presupuesto limitado, utiliza un modelo fraccional (por contrato o proveedor de servicios de terceros) para obtener expertos en IT cuando los necesites.

Cómo mitigar el riesgo de la fuerza laboral remota

El fenómeno del “trabajo desde casa” (WfH) se apoderó rápidamente de las organizaciones que luchaban por adaptarse a la pandemia. En nuestra encuesta de abril, el 91,8% de las organizaciones había implementado alguna forma de WfH. Si bien el 42% de las pymes han comenzado a regresar al trabajo, según nuestra encuesta más reciente en octubre, el 17% no espera regresar hasta algún momento de 2021 y otro 11% no está seguro de cuándo volverán.

Está claro que está surgiendo un modelo híbrido para WfH, lo que permite flexibilidad para quienes pueden hacerlo. Casi el 5% ya era una organización virtual o planea permanecer remoto como una solución permanente. Para muchos Millennials y Gen Xers en la fuerza laboral, WfH no es una ventaja, sino un requisito, ya que buscan alinear e integrar su vida laboral y personal.

Los trabajadores remotos crean un panorama de amenazas más amplio para las pequeñas y medianas empresas. Están aislados y también vulnerables a los intentos de los malos actores. “Es importante que los empleados remotos comprendan los riesgos y también cómo pueden mantener segura la empresa”, dice Carla Stone, directora ejecutiva de Tech Guard. “Se debe esperar que los empleados sigan las pautas de contraseña, inicien sesión usando una VPN y se aseguren de que su WiFi sea seguro”. Otros comportamientos que deberían ser necesarios se encuentran en esta lista de verificación de seguridad remota publicada por TechGuard. Muchos de estos requieren procesos implementados por un esfuerzo de IT centralizado.

La protección de la fuerza laboral remota conlleva riesgos adicionales que deben mitigarse. La formación y la concienciación cibernéticas deben volver a formarse y reforzarse para quienes ahora se encuentran en un entorno de FMH. Los protocolos de contraseña son más importantes que nunca, ya que la seguridad de la red doméstica no es tan sólida como las redes corporativas. Considera la posibilidad de implementar redes VPN, si aún no las tienes, para reforzar la seguridad y el cumplimiento. Asegúrate de que todo el software esté actualizado. Elimina los dispositivos personales si es posible y asegúrate de que la copia de seguridad de los datos se realice con regularidad. Piensa en agregar un seguro cibernético. No detendrá los ataques, pero proporcionará una capa de protección financiera en caso de que un ataque de ransomware elimine tus datos.

Una vez que la pandemia haya pasado, surgirá un modelo híbrido para muchas empresas que permitirá flexibilidad a los empleados en la WfH o en la oficina. Los avances en las aplicaciones de colaboración e intercambio de videos han hecho posible la distribución de personal. Los rápidos cambios de comportamiento, las transformaciones y la aceptación del trabajo en remoto han derribado las barreras generacionales y emocionales de este estilo de trabajo. Los beneficios y la flexibilidad de WfH solo son posibles si los datos y las comunicaciones que lo habilitan están completamente protegidos.

Este artículo se publicó primero en Vistage US, puedes leer la versión original en inglés aquí.