Cultura de seguridad en tiempos de teletrabajo

Cultura de seguridad en tiempos de teletrabajo

El teletrabajo, que antes parecía un privilegio para los trabajadores más favorecidos, se ha convertido en una práctica habitual a raíz de la pandemia de COVID-19.

Trabajar desde ubicaciones distribuidas se ha convertido en necesidad y norma para muchas empresas que quieren mantenerse a flote y ser productivas. Esta tendencia está ganando gran impulso en el mundo empresarial ya que una de las mayores ventajas del teletrabajo es que proporciona a los empleados flexibilidad, permitiéndoles trabajar desde cualquier ubicación y maximizando la eficiencia.

Sin embargo, esta flexibilidad conlleva una mayor preocupación por la seguridad de la información puesto que no existe la garantía de que los datos confidenciales se guarden y transmitan de forma segura como ocurre al hacerse a través de la red propia de la organización. Esta problemática está siendo aprovechada por los cibercriminales para realizar campañas de robo de información o de su secuestro mediante ransomware debido al incremento de uso de soluciones cloud, aplicaciones de videoconferencia, etc.

Este nuevo escenario de trabajo proporciona una nueva relación empresa/trabajador, pero supone también nuevos riesgos para la información de la empresa requiriendo de medidas adicionales para evitar posibles brechas de seguridad, ya que los nuevos perímetros de la compañía pasan a ser los hogares de los empleados y la seguridad con la que se cuenta es aquella que dispongan las redes domésticas de estos y sus dispositivos que, por lo general, carecen de controles sobre los errores de configuración, el uso de redes no seguras o las actualizaciones de software.

La forma en que se desarrolle el teletrabajo, bien con dispositivos corporativos que ya cuentan con políticas de seguridad o con dispositivos personales cuyas medidas de seguridad se desconocen, supone un reto que toda organización está obligada a superar. Además, la política de teletrabajo debe documentar el acceso remoto aceptable, incluidos los protocolos de seguridad de los dispositivos, el acceso restringido a los datos sensibles y las responsabilidades de los empleados para mantener la seguridad mientras se trabaja a distancia.

Los datos son la base sobre la que se construyen las organizaciones empresariales hoy en día y, por tanto, su posesión más preciada, por lo que su seguridad no debe tomarse a la ligera ya que la responsabilidad de la protección de los datos recae tanto en el empleado como en los responsables de la organización. Por este motivo, es necesario que todos los empleados estén concienciados sobre los riesgos a los que están expuestos y las consecuencias que puede sufrir su empresa ante la materialización de un ciberataque como puede ser el robo de credenciales mediante phishing o el cifrado de la información por ransomware. Por tanto, desde el empresario y todo su equipo directivo hasta el último de los empleados, deben tener claro que la seguridad de los datos es prioritaria, sobre todo cuando nos encontramos en ambientes hostiles para la seguridad como es el teletrabajo.

No obstante, las empresas no pueden dar por sentado que sus empleados conocen sus responsabilidades en el mantenimiento de la ciberseguridad, por lo que han de realizarse; por un lado, cybercoaching para equipos directivos donde aprendan a identificar de manera coordinada lo que es una crisis de seguridad y cómo actuar de la manera más eficaz y eficiente ante estas situaciones y, por otro, campañas de cyberawareness para los empleados donde aprendan las principales amenazas a las que están expuestos. Es decir que, como mínimo, una compañía debe disponer de protocolos de seguridad que deben ser cumplidos todos y cada uno de los empleados, pero sin olvidar que deben recibir una formación al respecto y apoyarles en su cumplimiento.

Si bien esta situación es la ideal para las organizaciones, no todas disponen de los mismos recursos ni capacidades, por lo que realizar campañas de concienciación en ciberseguridad para todos los empleados puede ser una tarea ardua y compleja, bien por desconocimiento o bien por falta de preparación o tiempo.

Ante estas situaciones, existe la posibilidad de externalizar estos trabajos en profesionales experimentados que diseñen campañas de formación adaptadas a la necesidad de cada organización.

Lo recomendable es comenzar por un plan de formación a Alta Dirección donde se aprenda a identificar los impactos estratégicos de los principales ciber riesgos que conllevan actividades como el teletrabajo y que ayuden a identificar aspectos susceptibles de mejora en gestión de crisis en cuanto a organización, tecnología y procesos. Concienciar a la Alta Dirección hará que la compañía se dé cuenta de lo importante que es estar preparados ante las amenazas y ciber incidentes a las que se está expuesto al teletrabajar, así como avanzar a una segunda fase donde se realicen sesiones formativas a empleados mediante herramientas de training que aporten visibilidad a la compañía sobre la madurez en materia de ciberseguridad de los empleados, y donde hacer foco para reforzar su cultura en este ámbito, con la ayuda de campañas continuas apoyadas en este tipo de soluciones junto con píldoras, vídeos, charlas o auditorías de ingeniería social.

En definitiva, el usuario es el eslabón más importante y débil de la cadena de la seguridad y, en situaciones adversas como en el teletrabajo, ha de reforzarse la cultura en seguridad de cada miembro de la organización para que tengan conocimiento de lo importante que es estar protegido ante las amenazas, conocer los medios para mitigarlas y saber cómo actuar cuando se materializan en incidentes reales.

Artículo publicado en la revista Cuadernos de Seguridad.

Consulta otros artículos: