Mejorando la ciberseguridad en escenarios de trabajo remoto
Para cualquier empresa, trasladar a los empleados a un entorno de trabajo total o parcialmente remoto es un desafío. En medio de toda la confusión, garantizar la seguridad de los empleados, las operaciones comerciales y los datos es una prioridad absoluta. A continuación, se ofrecen algunas sugerencias sobre cómo mantener la información y los empleados seguros mientras trabajan de forma remota.
Revise su política
Si bien es posible que muchas empresas ya cuenten con una política de trabajadores remotos, la creación de una política o la actualización de su política actual para abordar nuevos riesgos y tendencias es el primer paso para organizar e instituir prácticas seguras. Las empresas que tienen estructuras remotas o que trabajan desde el hogar suelen hacer que los empleados firmen un acuerdo que describe la política de la empresa para la conducta y el comportamiento mientras trabajan fuera de la oficina. Esto permite a las empresas establecer estándares y responsabilizar a los empleados de seguir las políticas, los procedimientos y los protocolos para la seguridad de la información y las transferencias de datos mientras acceden a los sistemas o datos de la empresa mientras trabajan de forma remota. Esta política debe comunicarse a todos los empleados lo antes posible y debe ser un punto de énfasis.
Implementar las mejores prácticas para la seguridad de TI
Establecer medidas de seguridad sólidas es fundamental para mantener la seguridad de la red y los datos mientras los empleados trabajan de forma remota. Los siguientes controles deben incorporarse a su protocolo básico de seguridad de TI:
Utilice contraseñas seguras y autenticación multifactor (MFA) en computadoras portátiles y aplicaciones de trabajo que se utilizan para las actividades diarias.
Utilice una red privada virtual (VPN), que crea seguridad adicional alrededor de una conexión a Internet para proteger los datos que los empleados transmiten electrónicamente.
Recuerde a los empleados que instalen actualizaciones, parches y software antivirus a intervalos regulares o cuando se le solicite.
Exigir a los empleados que utilicen una red Wi-Fi segura y desalentar el uso de Wi-Fi público o gratuito, como en una cafetería. Las redes privadas y protegidas con contraseña son las más seguras. Incluso puede sugerir el uso de una conexión cableada si es posible para garantizar la seguridad.
Recuerde a los empleados que realicen copias de seguridad de la información en unidades de red. De esta manera, si la información se pierde, los dispositivos o se dañan, o si un empleado es víctima de una estafa, todos los datos se pueden recuperar y hacer una copia de seguridad en el almacenamiento de la empresa.
Esté atento a la seguridad del correo electrónico
Ahora más que nunca es importante animar a los empleados a que conozcan mejor la seguridad del correo electrónico. Las estafas y la desinformación se han convertido en una preocupación creciente durante la pandemia de COVID-19.
Resaltar la importancia del pensamiento crítico al revisar los correos electrónicos (y sus enlaces y / o archivos adjuntos en particular) es un método probado y verdadero para minimizar el riesgo cibernético. Es fácil que los empleados pierdan la concentración y se olviden de revisar los correos electrónicos críticamente mientras trabajan desde casa. Una forma de educar a los empleados sobre prácticas seguras es distribuir una lista de verificación de suplantación de identidad por correo electrónico o una guía de referencia de algún tipo para ayudarlos a identificar mejor las estafas y los correos electrónicos de suplantación de identidad. Algunos consejos clave para incluir son:
Un recordatorio de que los piratas informáticos prestan atención a lo que es normal o que forma parte del entorno de trabajo del “día a día” de los empleados y tratan de imitarlo lo mejor que pueden para engañar a los empleados.
Revise todas las direcciones de correo electrónico para asegurarse de que el nombre del remitente y la dirección de correo electrónico coincidan (y que la dirección de correo electrónico no sea de un dominio diferente al de la empresa del remitente, etc.).
Coloque el cursor sobre todas las direcciones web e hipervínculos dentro del correo electrónico antes de hacer clic en ellos para asegurarse de que sean legítimos y coincidan con el enlace / destino / sitio web esperado.
Verifique que la marca y los logotipos, la ortografía, la información de contacto, la gramática, etc. sean precisos y apropiados, ya que estos son signos reveladores de una estafa.
Reconozca las solicitudes “fuera de lo común”. Por lo general, la información personal o de la cuenta no se le envía por correo electrónico, y nunca se le debe pedir que comparta los números de cuenta por correo electrónico. En caso de duda, siempre llame y confirme primero.
Identificar cualquier lenguaje agresivo, venta agresiva o sentido de urgencia; estos también pueden ser indicadores de una estafa.
Si los empleados están conectados a una VPN, la mayoría de los correos electrónicos y la información están seguros. Sin embargo, al enviar información sensible o confidencial, como información de identificación personal (PII), los empleados deben asegurarse de que esta información esté encriptada y enviada por correo electrónico seguro o utilizar un protocolo de transferencia de archivos seguro (SFTP).
Consideraciones de seguridad física
Si bien la seguridad física a menudo la maneja un empleador en la oficina, parte de esa responsabilidad se traslada a los empleados en situaciones de trabajo remoto. Anime a su equipo a evaluar su entorno de trabajo en casa y los controles de seguridad física que tienen, y tome las siguientes precauciones adicionales:
Bloquea las computadoras cuando te alejes, incluso de las personas en tu propia casa, para que otros no puedan acceder a la información confidencial. La mayoría de los empleados manejan información sensible y confidencial que debe protegerse incluso de compañeros de cuarto y miembros de la familia.
Evalúe la seguridad física de sus dispositivos. No deje el equipo junto a las ventanas, alrededor de alimentos o mascotas y, si está de viaje, bloquee los dispositivos en el maletero de un vehículo o llévelos consigo.
Las empresas pueden implementar controles de compensación o mitigación y ser la alternativa configurando:
Las computadoras se bloquean automáticamente después de que haya transcurrido cierto tiempo sin actividad.
Aplicaciones, específicamente aquellas que se usan comúnmente para contabilidad, ventas o recursos humanos (por ejemplo, Oracle, Concur, Salesforce, etc.), hasta que se agoten el tiempo de espera si no se usan o están inactivas durante un período de tiempo.
Pensamientos finales
La creación de una cultura educativa, colaborativa y de apoyo en torno a la ciberseguridad ayudará a generar conciencia entre los empleados y, en consecuencia, producirá una defensa sólida contra los ciberataques, con los empleados y la gerencia trabajando juntos hacia un objetivo común. Su organización debe comunicarse sobre el tema de la ciberseguridad diariamente, o con la mayor frecuencia posible y necesaria, durante la pandemia de COVID-19, ya que esto actúa como un recordatorio para los empleados de que estén atentos durante este momento turbulento.
Independientemente del escenario en el que estemos operando, su organización también debe alentar a los empleados a informar cualquier incidente de seguridad o posibles violaciones a su equipo de TI lo antes posible. Es mejor detectar este tipo de cosas temprano y ser demasiado cauteloso que esperar, lo que en última instancia podría resultar en un resultado mucho más grande e impactante. Tener prácticas y educación sólidas ayudará a crear conciencia y a mantener a raya los riesgos mientras las personas navegan por estas nuevas aguas.
Fuente: https://www.cbiz.com