Afortunadamente, la pandemia de 2020 ya pasó, pero trabajar desde casa llegó para quedarse, incluso adoptando su propio acrónimo, WFM (Workforce Management, por sus siglas en inglés). Aunque cuando se implementa a gran escala este tipo de trabajo remoto, puede generar una serie de riesgos y desafíos de ciberseguridad. Entendamos por qué.
1. Los trabajadores remotos son presa fácil
Cuando los empleados trabajan desde la oficina, normalmente están protegidos detrás de un perímetro corporativo seguro. Cuando trabajan desde casa, apenas existe ese perímetro. El Wi-Fi de casa no compite con el Wi-Fi corporativo. Los empleados de oficina utilizan obligatoriamente dispositivos informáticos propiedad de la empresa; sin embargo, en casa, pueden utilizar dispositivos personales para acceder a recursos corporativos y, en ocasiones, utilizan dispositivos de la empresa para artículos personales. Estos diferentes escenarios hacen que los trabajadores remotos sean un objetivo más fácil en comparación con los trabajadores en la oficina.
2. El trabajo remoto es ideal para la ingeniería social
Cuando los trabajadores operan de forma remota, dependen únicamente de las comunicaciones digitales y las interacciones virtuales. Como resultado, se acostumbran a recibir solicitudes comerciales por correo electrónico y mensajería instantánea. Esto crea el entorno perfecto para que los ciberdelincuentes lancen campañas de phishing avanzadas y muy específicas. Los estudios muestran que los trabajadores solitarios son más susceptibles a ataques de phishing y de ingeniería social en comparación con los de oficina.
3. Es menos probable que los trabajadores remotos sigan las mejores prácticas de seguridad
4. Los trabajadores remotos se distraen
El trabajo remoto desdibuja los límites entre la vida profesional y personal. Los trabajadores tienen muchas distracciones relacionadas con los compromisos familiares y los asuntos domésticos. Además, hay una lluvia constante de correos electrónicos, notificaciones y mensajes, combinado con interrupciones de visitantes, entregas, niños, mascotas, etc., y de las redes sociales . Los estafadores y ciberdelincuentes aprovechan estas situaciones sobre las víctimas de ingenieros sociales, roban datos o credenciales y obtienen acceso al entorno del objetivo.
5. Los trabajadores remotos toman atajos con la seguridad
La mayoría de los trabajadores quieren ser productivos y hacer las cosas. Sin embargo, cuando se está a distancia, pasar por los canales oficiales puede ser un proceso laborioso y frustrante, especialmente si uno necesita pasar por múltiples obstáculos, eliminar trámites burocráticos y buscar aprobaciones para utilizar una herramienta o software en particular.
En consecuencia, los empleados pueden tomar atajos y descargar o utilizar software y aplicaciones no autorizados. Los ciberdelincuentes pueden engañar a los usuarios para que descarguen software descifrado, que normalmente contiene malware.
SE NECESITA UNA CULTURA QUE DÉ PRIORIDAD A LA SEGURIDAD PARA SUPERAR ESTOS RIESGOS
Si la tecnología fuera una panacea para todos los problemas de ciberseguridad, entonces sería demasiado fácil para las grandes corporaciones con mucho dinero implementar controles técnicos de seguridad y dar por terminada la situación. Desafortunadamente, ese no es el caso. La mayoría de los problemas de ciberseguridad se deben a errores humanos , no a deficiencias de la tecnología de seguridad.
La cultura ayuda a moldear los comportamientos, razón por la cual los equipos de recursos humanos que trabajan en conjunto con los profesionales de la ciberseguridad deben tomar la iniciativa para construir una cultura que dé prioridad a la seguridad. A continuación se presentan recomendaciones que pueden ayudar.
1. Capacitar a los empleados para que adopten una mentalidad de seguridad
Los trabajadores remotos carecen de conocimientos y comprensión adecuados sobre la ciberseguridad. A través de iniciativas de concientización sobre la seguridad y ejercicios de simulación de phishing, el personal puede desarrollar hábitos e instintos de seguridad y adquirir confianza en las mejores prácticas de ciberseguridad que se extienden al trabajo remoto.
2. Proporcionar herramientas para estar seguro y tener éxito
Tenga en cuenta las necesidades de seguridad de los empleados. Apóyelos con herramientas para operaciones seguras. Por ejemplo, capacítese sobre el uso regular de administradores de contraseñas que pueden almacenar y generar automáticamente contraseñas complejas y únicas. La organización debe habilitar la autenticación multifactor (MFA) resistente al phishing para proteger a los empleados del robo de identidad y la recolección de credenciales.
3. Establecer políticas y expectativas claras
Como administradores y formuladores de políticas, los equipos de seguridad y recursos humanos deben establecer pautas y políticas claras en torno al comportamiento de seguridad esperado y las consecuencias del incumplimiento. Asegúrese de que los empleados conozcan estos protocolos y ofrezca actualizaciones, consejos y capacitación, enfatizando la importancia de la seguridad en la organización.
4. Centrarse en mejorar el equilibrio entre la vida personal y laboral
Aunque no es evidente, existe una conexión directa entre el estrés mental y el desempeño en ciberseguridad. Cuando los empleados se sienten relajados y saludables, tienden a estar más comprometidos y alerta, y se sienten orgullosos cuando se respetan los estándares de seguridad.
Los equipos de recursos humanos pueden ofrecer recursos de salud mental y técnicas de manejo del estrés. Pueden fomentar una cultura de apoyo en la que las personas se sientan apreciadas, apoyadas y empoderadas para gestionar las amenazas cibernéticas de forma eficaz.
5. Reforzar las medidas de acceso y seguridad
Los trabajadores remotos que gestionan datos confidenciales a veces desconocen los riesgos a los que están expuestos. Por lo tanto, se debe limitar el acceso a sistemas y datos confidenciales y se deben actualizar las medidas de seguridad para reducir el riesgo de infiltración, exposición o compromiso. A medida que evolucionan los requisitos de acceso, los privilegios deben revisarse, modificarse o revocarse.
6. Promover y celebrar la seguridad internamente
El autor de libros de negocios John R. Childress dice: “Obtienes la cultura que ignoras”. En otras palabras, debe haber un esfuerzo intencional por parte de RR.HH. y el equipo de liderazgo para construir, promover y reforzar los valores de seguridad corporativa. Deben predicar con el ejemplo porque la cultura es contagiosa y se impulsa desde arriba hacia abajo. Deben reconocer y recompensar a las personas siempre que la oportunidad lo permita (a través de boletines internos, eventos de la empresa, todos los participantes, etc.) y celebrar el comportamiento positivo en materia de seguridad y las contribuciones realizadas por los empleados.
Un entorno de trabajo remoto seguro necesita algo más que tecnología de seguridad. Necesita empleados con una mentalidad de seguridad y una cultura y un entorno transparentes, dignos de confianza, inclusivos y solidarios. Los equipos de ciberseguridad, por supuesto, harán lo que puedan, pero al final, la seguridad es responsabilidad de todos.