TIC

Recomendaciones para que los empleados puedan trabajar en cualquier lugar sin que ello afecte a la seguridad de las empresas


La reciente pandemia de coronavirus ha afectado a las empresas de todo el mundo, obligando a sus empleados a trabajar de forma remota, siempre que fuese posible. Debido a este cambio, ha quedado tristemente claro que no todas las compañías están preparadas para que sus empleados empiecen a teletrabajar de un día para otro. La verdad es que hay muchas razones por las cuales una empresa puede necesitar que sus empleados puedan trabajar desde su casa con poca antelación. Por ejemplo, una tormenta de nieve o un huracán, amenazas terroristas que limiten los desplazamientos o incluso huelgas de los trabajadores del transporte público. En estos casos, algunas compañías pueden necesitar que sus empleados continúen trabajando, mediante el uso de equipos corporativos o con los ordenadores portátiles y teléfonos móviles personales de los trabajadores. Aunque el acceso remoto incrementa enormemente la productividad, si las empresas no disponen de las herramientas de seguridad adecuadas, se exponen a diversas amenazas.

Bitglass, la compañía de seguridad en la nube de próxima generación, ha establecido las siguientes recomendaciones para garantizar que sus empleados trabajen de manera segura desde cualquier ubicación, sin importar las dificultades que puedan surgir.

Cómo las empresas pueden prepararse para lo impensable

Las empresas que envían a sus empleados a casa les ofrecen la posibilidad de trabajar a través de redes privadas virtuales (VPN) y acceder a la red corporativa y los recursos en la nube desde dispositivos gestionados mediante agentes de software, como por ejemplo las soluciones de gestión de dispositivos móviles. Este enfoque puede provocar problemas de latencia que dificultan la implementación y el seguimiento de todo el tráfico web generado en los dispositivos de los usuarios, incluidas sus aplicaciones personales. Además, se trata de un planteamiento obsoleto porque invade la privacidad de los empleados y viola los marcos de cumplimiento normativo, como el Reglamento General de Protección de Datos (RGPD).

Las empresas que no contaban con la tecnología adecuada deben analizar cómo pueden adaptarse para afrontar cualquier circunstancia futura en la que los empleados no puedan acceder físicamente a la oficina. Las políticas de uso de dispositivos personales en el trabajo (BYOD) permiten a los empleados trabajar con sus propios dispositivos, como teléfonos móviles, y hacerlo de forma remota. Gracias al BYOD, las compañías pueden tener la certeza de que los empleados podrán hacer su trabajo con independencia de los imprevistos que surjan.

Qué debe incluir una solución de ciberseguridad para empresas

Cuando los empleados pueden descargar y compartir información corporativa desde dispositivos personales, ubicaciones remotas y redes no seguras, se incrementa el riesgo de una posible exposición de los datos. Por tanto, es esencial contar con los siguientes controles de seguridad en el momento en el que las empresas implementan el BYOD y permiten a los empleados trabajar de forma remota.

Visibilidad y control de los datos

Es fundamental que las empresas puedan tener visibilidad y control sobre los datos a los que se accede desde dispositivos no gestionados. Si carecen de la capacidad de ver y controlar la actividad de los usuarios en los puntos finales personales, las empresas se enfrentan a riesgos como el acceso no autorizado a los datos, el intercambio externo de información con fines maliciosos y la incapacidad de proteger los datos descargados si los empleados sufren la pérdida o el robo de sus dispositivos. Además, las empresas deben usar herramientas de prevención de pérdida de datos (DLP) que eviten las fugas de información, mediante la identificación y control de los datos confidenciales que están almacenados y que se transmiten. Con una adecuada visibilidad y control, las empresas pueden garantizar que los datos no acaben en las manos equivocadas y ocurra una infracción de seguridad o una posible revelación de información confidencial.

Gestión de identidad y acceso

Es necesario utilizar soluciones de gestión de identidad y acceso, como la autenticación de múltiples factores (AMF) o el análisis de comportamiento de usuarios y entidades (UEBA), porque permiten detectar las actividades anormales y responder a las amenazas de seguridad móvil. La AMF requiere una segunda forma de verificación de identidad que autentique las credenciales para garantizar que los usuarios son quienes dicen ser. Después de introducir sus contraseñas, se solicita a los usuarios que verifiquen sus identidades de nuevo a través de un token enviado mediante correo electrónico o mensaje de texto (SMS). Por su parte, la UEBA aprende del comportamiento de los usuarios y recopila un informe detallado sobre sus patrones de uso para identificar cualquier actividad sospechosa. Por ejemplo, si un usuario generalmente inicia sesión desde Nueva York, pero de repente inicia sesión desde San Francisco (especialmente ahora que existen restricciones estrictas para los viajes), una solución de UEBA envía una alerta para verificar que la cuenta del usuario no se haya visto expuesta. Otro requisito mínimo es la implementación del inicio de sesión único (SSO), que permite autenticar de forma segura a los usuarios en todas las aplicaciones en la nube de una empresa.

Seguridad sin agentes

Un último elemento necesario para la protección de los datos corporativos a los que se accede desde los dispositivos personales es la seguridad sin agentes. Las herramientas basadas en agentes, que requieren la instalación de software en los dispositivos personales, violan la privacidad de los usuarios y afectan a la funcionalidad de los dispositivos. Por ejemplo, las soluciones de gestión de dispositivos móviles (MDM) recopilan más datos de los que piensan los empleados, incluidas las credenciales de inicio de sesión en texto sin formato. Además, cuando es necesario utilizar las capacidades de borrado de las soluciones MDM para eliminar datos corporativos, también se borra el resto de la información que contiene el dispositivo, incluidas las imágenes, contactos y otros datos personales. En cambio, las herramientas sin agentes permiten al departamento de tecnologías de la información (TI) garantizar el nivel de seguridad y cumplimiento necesarios sin que el usuario sienta que se invade su privacidad. Las empresas que no estaban preparadas de antemano para cambiar abruptamente al teletrabajo, pueden implementar la seguridad sin agentes en cualquier momento, ya que no requiere ningún tipo de instalación en los dispositivos finales, que sería imposible realizar en las actuales condiciones de cuarentena.

Ante tanta incertidumbre, las empresas deben estar preparadas para que sus empleados trabajen de forma remota en cualquier momento. Imprevistos como los fenómenos climáticos extremos o las pandemias globales escapan al control de cualquiera. Por tanto, es necesario contar con planes de seguridad y continuidad del trabajo en caso de emergencia, para proteger a las empresas de las amenazas maliciosas y evitar las interrupciones de su actividad. Disponer de personal capaz de teletrabajar de forma segura mediante el BYOD ofrece una importante ventaja competitiva, especialmente cuando sucede lo impensable.


Leave a Comment

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.