Seguridad en la era del trabajo híbrido:
¿Está tu organización preparada para afrontar nuevos riesgos?

Hasta 2020, la interacción cara a cara con el personal facilitaba a los equipos de TI la solución de problemas y, de hecho, el proceso solía basarse en dicha relación. Si el personal trabajaba fuera de la oficina, la infraestructura permitía a los trabajadores acceder a sistemas internos a través de una VPN, lo que, por lo general, era rápido y seguro. Cuando se desató la pandemia, los hábitos de trabajo se transformaron por completo y, con ello, el entorno de TI. De repente, los departamentos tuvieron que adaptarse a una serie de retos de seguridad nuevos que no esperaban.

Desde un punto de vista práctico, de repente el acceso se convirtió en un gran desafío. Si bien el trabajo híbrido y remoto no es un fenómeno nuevo, el acceso VPN se diseñó para un pequeño número de personas que trabajaran desde casa, no para hacer frente a toda una plantilla que trabaja fuera de la oficina. El aumento repentino y sostenido de los usuarios que deseaban conectarse provocó un exceso de suscripción y sobrecargó la VPN.

Mientras tanto, la solución de problemas ya no podía realizarse en persona, lo que creaba dificultades para validar la identidad de la persona con la que se comunicaba el departamento de TI. Esto provocó un pico en los ataques de ingeniería social, en los que los ciberdelincuentes suplantaron la identidad de fuentes legítimas. De hecho, Verizon clasificó este tipo de ataques como el ataque malintencionado de infracción más común en su informe de 2021.

Otro problema era la mayor probabilidad de que se recurriese a shadow TI desde una plantilla remota. Si la mitad de la plantilla se encuentra en casa, resulta más difícil evitar que el personal utilice sus dispositivos y aplicaciones domésticos en lugar de los aprobados por su organización, simplemente por familiaridad. Los programas oficiales de BYOD (bring your own device) en la oficina se han formalizado y requieren que el personal cumpla unos términos de uso específicos. Sin embargo, es más difícil mantener estas prácticas con personal que teletrabaja desde casa y que a menudo percibe que las políticas de la oficina no se aplican a los entornos domésticos.

Estas inquietudes no van a desaparecer. La adopción repentina del trabajo remoto ha evolucionado hasta convertirse en un marco permanente del trabajo híbrido. Por lo tanto, también es esencial que los equipos de TI se adapten, enfocando cada nuevo entorno de trabajo por separado y como conjunto, a fin de garantizar una respuesta de seguridad ágil y flexible.

Según nuestro reciente estudio, el 77 % de los responsables de la toma de decisiones de TI afirma que el personal deja de seguir los procedimientos de seguridad fuera de las instalaciones, aunque las organizaciones ya estén aplicando una política de trabajo híbrida oficial. Si los equipos de TI van a tener un control total sobre la seguridad, es crucial establecer políticas muy concretas sobre el comportamiento laboral fuera de la oficina, desde la seguridad de los dispositivos hasta las descargas de aplicaciones, desde la conexión a redes hasta la eliminación segura de documentos impresos con trituradoras, todo lo cual no debe dejarse solo a juicio del personal.

Puesto que las investigaciones muestran que el personal puede malinterpretar los casos en los que se aplican las reglas y su importancia, la mejor manera de hacerlo es a través de seminarios web obligatorios que resalten la responsabilidad del personal al trabajar en cualquier lugar. Tanto si tienen formación como si no, los trabajadores siguen siendo vulnerables a ataques malintencionados deliberados, por lo que es posible que tu organización quiera sopesar la posibilidad de invertir en educación y formación de seguridad adecuadas para evitar que el personal sea víctima de estafas como el phishing.

Los espacios compartidos y de coworking están en auge como alternativa flexible y económica al espacio en propiedad. Sin embargo, es crucial prestar especial atención a las políticas de seguridad y los términos y condiciones a la hora de identificar un espacio de coworking, más allá de la perspectiva de costes e instalaciones. Muchas organizaciones pueden creer que los espacios de coworking son responsables de la seguridad en sus instalaciones, pero la realidad es que la empresa puede haber advertido en la letra pequeña que no asume ninguna responsabilidad.

Haga preguntas para asegurarse de que los espacios de coworking cumplan los mismos niveles de seguridad y expectativas para las propias políticas de su empresa: ¿Cómo es su seguridad física? ¿Cualquiera puede entrar? ¿Cuáles son las condiciones relativas a la pérdida o filtración de datos? ¿Quién es el responsable si ocurre algo así? Además, ¿cuáles son las políticas de seguridad con respecto a la impresión? ¿Cualquiera puede acceder a los documentos?

Es importante que el personal comprenda las amenazas de seguridad asociadas al trabajo remoto. Por ejemplo, cualquier persona puede acceder a la conexión WiFi compartida en cafeterías, por lo que es esencial que el personal acceda a los documentos de la empresa únicamente a través de la VPN para preservar la seguridad. Además, puede ser fácil que el personal exponga información físicamente a terceros, si se alejan de su portátil para tomar un café o si simplemente se sientan delante de alguien en un tren. Si tu personal normalmente viaja por negocios, los responsables de la toma de decisiones de TI deben considerar, al menos, soluciones sencillas, como pantallas de privacidad para los dispositivos.

Las organizaciones también deben entender que las personas no son perfectas, por lo que no es raro perder el teléfono de la empresa o dejarse un portátil en el tren. Teniendo esto en cuenta, es una buena idea tomar precauciones. Considere instalar BitLocker antes de que un usuario pueda acceder al sistema operativo, discos duros cifrados y la capacidad de enviar una señal al dispositivo móvil y borrarla para evitar que alguien acceda a la información de la empresa.

Las empresas de todo el mundo han tenido que adoptar el trabajo remoto e híbrido más rápido de lo que esperaban. Como resultado, los equipos de TI han tenido que trabajar muy duro para asegurarse de que la empresa pueda seguir funcionando de forma remota. Ahora que las cosas se están asentando, la seguridad debería ser un aspecto central. Con tantas nuevas fuentes de amenazas potenciales para la seguridad en un espacio de trabajo diseminado, todas las organizaciones se beneficiarían de la revisión de protocolos y políticas de seguridad. En particular, dado que tantos cambios están afectando a la vida laboral del personal, es importante comprender que podrían no ser conscientes de cómo seguir las prácticas de seguridad o cómo debe cambiar su propio comportamiento. Con los conocimientos adquiridos, además de una rigurosa formación de los empleados, su organización puede sacar el máximo partido al trabajo híbrido sin comprometer su seguridad.