5 consejos de seguridad de datos para empresas tecnológicas que trabajan en un entorno de trabajo híbrido

5 consejos de seguridad de datos para empresas tecnológicas que trabajan en un entorno de trabajo híbrido

Publicado porCristina Moldovan Publicado enData Loss Prevention Tecnología y software

La velocidad a la que el cambio llega a nuestras vidas puede ser abrumadora,
afectando a las organizaciones incluso más que a los individuos. Aunque los modelos
de trabajo híbridos o totalmente remotos estaban destinados a convertirse en «lo más»
tarde o temprano, la llegada de la pandemia en 2020 nos golpeó a todos en la espalda
con un palo caliente, y los dolores que tuvieron que soportar las empresas para hacerlo
posible son inconmensurables: para la mayoría de ellas, supuso poner su mundo patas
arriba.

Una de las mayores preocupaciones al pasar de un entorno de oficina a uno híbrido o
remoto era la seguridad en el trabajo. Antes de 2020, muchas organizaciones
dependían de redes wifi locales seguras para conectarse a los recursos locales, lo que
sigue siendo bastante habitual a pesar del continuo paso a la nube. Eso significaba que
necesitaban introducir VPN para todas las conexiones wifi públicas y asegurar todos
los portátiles de la empresa para el trabajo remoto, todo ello en un plazo de tiempo muy
corto. Esto, a su vez, significó que muchos equipos de seguridad tuvieron que cambiar
completamente el enfoque y dejar en un segundo plano otros riesgos de seguridad,
como las vulnerabilidades de las aplicaciones o las amenazas a la seguridad de los
datos.

Dado que ya hemos superado el periodo de emergencia, ahora es el momento de que
las empresas reevalúen sus prioridades de seguridad y tomen medidas para centrarse
en todo aquello que tuvo que ser relegado durante la conversión a un modelo de trabajo
diferente. He aquí 5 consejos para aquellas organizaciones que estén preparadas para
echar un vistazo en profundidad a la seguridad de sus datos en un nuevo entorno de
trabajo híbrido.

1. Aceptar que los activos de la empresa se utilicen para fines privados

El modelo de trabajo híbrido aporta muchas ventajas al empleado. Reduce en gran
medida el tiempo perdido en desplazamientos, permite conciliar mucho mejor la vida
laboral y personal, te hace sentir en confianza y animado a tomar iniciativas y mucho
más. Sin embargo, desde un punto de vista práctico, a menudo significa tener que
encajar otro ordenador más en el entorno doméstico actual. Muchos empleados
deciden que es poco práctico o demasiado caro tener dos ordenadores, uno para el
trabajo y otro para fines privados y acaban renunciando a sus propios dispositivos,
utilizando la misma configuración para ambos.

Un empleador puede limitar el uso del ordenador de trabajo como dispositivo personal
imponiendo un control estricto, limitando el acceso a los sitios de redes sociales,
etcétera. Sin embargo, en algunos casos, el acceso a las redes sociales también es
necesario por motivos de trabajo, y un control exhaustivo supone una gran carga de
trabajo para el ya de por sí sobrecargado departamento de TI. Un control tan exhaustivo
de los puntos finales de confianza cero también hace infelices a los empleados. Por lo
tanto, la mayoría de las empresas aceptan el hecho de que el dispositivo de trabajo
también se utilice para acceder a recursos privados después (o incluso durante) las
horas de trabajo.

Desde el punto de vista de la ciberseguridad, la mayoría de las organizaciones protegen
los activos de la empresa limitando la capacidad de instalación de software: los
usuarios no pueden instalar nada por su cuenta ni disponer de una biblioteca de
software aprobada por el empleador. El ordenador también está protegido mediante
software antivirus y antimalware y se conecta a los activos de la empresa mediante una
red privada virtual de confianza. Sin embargo, muchas empresas olvidan que ninguna
de estas medidas tiene efecto alguno sobre la protección de los datos sensibles.
En un modelo de trabajo híbrido o remoto, es muy probable que el usuario copie
información sensible perteneciente a la organización y la pegue accidentalmente
mientras utiliza las redes sociales, provocando una violación de datos que puede
acarrear enormes multas. Los usuarios también pueden guardar información de la
empresa en archivos de texto y luego adjuntar el archivo de texto equivocado a un
correo electrónico personal. Por eso, en un modelo de trabajo híbrido es absolutamente
necesaria una solución de punto final que evite estos percances.

Consejo 2. No caiga en la falsa sensación de seguridad de la nube

Los actuales entornos de trabajo híbridos hacen que el atractivo de las nubes sea aún
mayor que antes. Trasladar los activos y las aplicaciones de la empresa a la nube
significa que ya no es necesario mantener una presencia continua de TI en su propia
sala de servidores en las oficinas de la empresa, no hay necesidad de gestionar
conexiones VPN entre los trabajadores remotos y la infraestructura de la empresa y se
puede ahorrar mucho en costes de mantenimiento de hardware, seguridad de la red y
mucho más.

Sin embargo, el paso a la nube también tiene sus inconvenientes. Por ejemplo, a
menudo hace creer a las organizaciones que el proveedor de la nube protegerá sus
datos y sistemas, lo que provoca una falsa sensación de seguridad. En la mayoría de
los casos, las nubes proporcionan sólo la infraestructura para las aplicaciones de la
empresa y las medidas de seguridad relacionadas únicamente con esta infraestructura.

Esto significa que, cuando se trata de proteger sus datos, el traslado a la nube no suele
mejorar su seguridad y, potencialmente, tiene el efecto contrario de adormecer sus
sentidos.

Si su usuario trabaja a distancia y accede a datos de la empresa almacenados en la
nube, lo más probable es que necesite utilizar estos datos en otra aplicación en la nube.
Aunque todas las aplicaciones en la nube son accesibles a través del navegador, rara
vez están interconectadas para facilitar el intercambio de datos. Esto significa que los
buenos y viejos CTRL+C y CTRL+V se utilizan mucho, lo que es un accidente inevitable.
Cuanto más necesiten los usuarios mover datos entre aplicaciones, más probable es
que estos datos acaben en algún lugar donde no deberían estar. Una vez más, esto
requiere una solución de punto final que sea capaz de detectar los datos sensibles y
evitar que se compartan fuera de las aplicaciones dedicadas.

Consejo 3. No subestimes el uso de las memorias USB

Para muchos de nosotros, las memorias USB ya parecen «cosa de la década anterior».
Las nuevas generaciones reaccionan ante esta tecnología igual que ante los disquetes
o los CD-ROM, percibiéndola como algo anticuado. Los pendrives parecen incluso
menos necesarios que nunca con el paso a la nube y con un entorno híbrido en el que la
plantilla híbrida puede llevar el portátil entre la oficina de la empresa y su despacho en
casa.

Sin embargo, en muchos entornos, las memorias USB siguen utilizándose mucho, sobre
todo cuando hay que transferir grandes cantidades de datos entre ordenadores finales.
Incluso en la oficina, simplemente no hay una manera fácil para que Jane envíe un
archivo grande con información de clientes a John, a menos que sea a través de algún
tipo de plataforma de intercambio de archivos como Google Drive o Microsoft OneDrive,
que no siempre están en uso en la empresa. En estos casos, los empleados acaban
enviando archivos grandes a través de servicios como WeTransfer, que muy
probablemente no están aprobados desde el punto de vista de la seguridad, o
simplemente poniéndolos en una memoria USB y llevándolos encima.
La combinación de este uso de las memorias USB con el uso privado de las mismas
memorias USB debido a la difuminación de las líneas entre los entornos laboral y
doméstico supone una receta para el desastre. Es probable que el usuario coja una
memoria USB que contenga información sensible de la empresa y ponga en ella
algunos archivos privados, para luego, por ejemplo, dársela a un familiar. Sólo las
soluciones de seguridad específicas para puntos finales pueden evitarlo, ya sea
detectando los datos sensibles e impidiendo que se copien en la memoria USB, ya sea
aplicando el cifrado de dichos datos antes de que se transfieran a esos soportes.

Consejo 4. Desconfíe de las amenazas internas

Una de las mayores ventajas de un entorno de trabajo híbrido o totalmente remoto es la
libertad. Los empleados están mucho menos estresados trabajando sin un jefe
respirándoles en la nuca y los nuevos modelos de trabajo promueven estilos de gestión
que se basan más en el liderazgo que en el control. Sin embargo, todo tiene un precio, y
en este caso, el precio es que un menor control sobre la mano de obra remota significa
una mayor amenaza de que se produzca un incidente interno, ya sea involuntaria o
voluntariamente.

Cuando los empleados trabajan desde la comodidad de sus casas, o incluso más desde
la comodidad de una elegante cafetería de Lisboa, es más probable que se descuiden.
Además, esos raros casos de empleados poco éticos tienen más probabilidades de
tener suficiente libertad para hacer más daño que si estuvieran trabajando desde la
oficina – por la misma razón los empleados éticos se sienten mejor, debido a un menor
control.

Esto significa que su empresa tiene que estar más preparada que nunca para todo tipo
de amenazas internas, y amenazas internas especialmente intencionadas: es mucho
más probable que se produzcan comportamientos poco éticos, competidores desleales
o simples mezquindades cuando el delincuente está lejos de la oficina y rodeado de
nadie o de personas que no tienen nada que ver con el trabajo.

Una forma de reducir estos riesgos es aumentar el control digital, por ejemplo,
supervisando todas las actividades del usuario en su ordenador portátil. Sin embargo,
esto afecta negativamente a los empleados justos y éticos, que se sienten
desconfiados y vigilados. Por eso, una forma mejor es asegurarse de que, aunque el
usuario tenga intenciones poco éticas, no pueda perjudicar a la empresa, por ejemplo,
compartiendo información sensible con un competidor o vendiéndola en un mercado
negro. Este tipo de protección sólo puede lograrse utilizando soluciones DLP para
puntos finales.

Consejo 5. Prepárese para un aumento de los ciberataques a empleados

La reducción del control y la vigilancia mencionados en el consejo anterior tienen otra
consecuencia: los hackers malintencionados también son conscientes de ello y se
aprovechan del hecho de que los empleados situados fuera de la oficina son un
objetivo mucho más fácil. Un empleado que trabaja en una oficina suele estar detrás de
varios cortafuegos con equipos de TI que vigilan cualquier actividad sospechosa. Y en
la oficina, también es menos probable que un empleado utilice su ordenador para
acceder a recursos privados, como cuentas de correo electrónico privadas. Esto

significa que en un modelo híbrido o remoto las oportunidades de phishing son
mayores.

Mientras trabaja fuera de la oficina, es más probable que un empleado haga clic en un
correo electrónico de phishing sin antes pedir consejo a un «informático» cercano o
incluso a un compañero sentado en la mesa de al lado. Si ese intento de phishing tiene
éxito, es probable que el autor consiga acceder a información sensible perteneciente a
una empresa y ubicada en el mismo ordenador. Además de la protección antivirus,
antiphishing y contra el ransomware, los equipos de los usuarios finales necesitan una
protección adecuada contra los malos actores, y una solución DLP para puntos finales
proporciona dicha protección.

El híbrido no se va a ninguna parte, así que replantéese la seguridad de sus datos

La mayoría de los empleados no quieren volver a la oficina y la mayoría prefiere un
modelo híbrido en el que puedan visitar la oficina cuando sea necesario y cuando lo
deseen, pero tienen la misma libertad para trabajar desde casa o en cualquier otra parte
del mundo. Especialmente en la UE, con la facilidad de viajar dentro de la zona
Schengen y con muchos países como Malta y Portugal que son muy atractivos e
introducen visados para nómadas digitales, muchos jóvenes prefieren permanecer en
diferentes lugares durante algún tiempo mientras trabajan para el mismo empleador.
Las empresas que intentan recuperar el modelo de oficina sufren una gran reacción de
la comunidad y pierden mano de obra valiosa.

Si no ha reconsiderado sus políticas de seguridad de datos en esta nueva realidad, es
un buen momento para hacerlo. Aunque el sector se ve muy afectado desde el punto de
vista económico y muchas empresas se dan cuenta de que tienen que reducir el
número de empleados, algunas amenazas tienen más probabilidades de ser un
problema ahora que nunca, por ejemplo, las amenazas internas de trabajadores que
creen que es probable que los despidan. Aunque una solución DLP para puntos finales
como Endpoint Protector siempre debe formar parte de un entorno de ciberseguridad
integral junto con una formación de concienciación sobre seguridad, es un primer paso
asequible y muy eficaz para eliminar la mayoría de los problemas de seguridad de los
datos provocados por estos cambios vertiginosos en la organización del trabajo.

Artículos Relacionados:

OBTENGA UNA DEMO
* No compartimos su información personal con nadie. Consulte nuestra Política de privacidad para más información.

De confianza para