Como el trabajo remoto se ha convertido en una práctica estándar, los empleados trabajan desde cualquier lugar y utilizan cualquier dispositivo que puedan para hacer el trabajo. Eso significa conexiones repetidas a redes Wi-Fi públicas no seguras, en una cafetería o bar de jugos, por ejemplo, y mayores riesgos de fugas de datos de dispositivos perdidos, extraviados o robados.

Piénsalo.

Supongamos que su empleado remoto usa su teléfono inteligente personal para acceder a los servicios en la nube de la compañía, donde puede ver, compartir y realizar cambios en documentos confidenciales como hojas de cálculo financieras, presentaciones y materiales de marketing. Digamos que también inicia sesión en el correo electrónico de la empresa en su dispositivo y descarga algunas copias de archivos importantes directamente en su teléfono.

Ahora, imagine lo que sucede si, por accidente, pierde su dispositivo. Peor aún, imagínese si no usa un código de acceso para desbloquear su teléfono, convirtiendo su dispositivo en un tesoro de datos de la compañía sin forma de protegerlo.

Datos recientes muestran que estos escenarios no son solo hipotéticos: son riesgos reales. Según un estudio del Instituto Ponemon , desde 2016 hasta 2018, el número promedio de incidentes cibernéticos que involucran negligencia de empleados o contratistas ha aumentado en un 26 por ciento.

Para comprender mejor los desafíos y las mejores prácticas para las empresas con fuerzas de trabajo remotas, Malwarebytes se asoció con IDG Connect para producir el documento técnico, » Lattes, lunch y VPN: asegurar a los trabajadores remotos de la manera correcta «. En el documento, mostramos cuán moderno las empresas requieren ciberseguridad moderna y cómo la ciberseguridad moderna significa más que solo implementar la última tecnología. También significa implementar la buena gobernanza.

A continuación se presentan algunos consejos prácticos de nuestro informe, que detallan cómo las empresas deben proteger tanto los dispositivos personales como los proporcionados por el empleador, junto con la seguridad del acceso a las redes de la empresa y los servidores en la nube.  

Si desea profundizar y aprender sobre redes segmentadas, VPN, entrenamientos de seguridad y cómo elegir la solución antivirus adecuada, puede leer el informe completo aquí .

1. Proporcione lo que es necesario para que un empleado tenga éxito, tanto en dispositivos como en acceso a datos.

Más dispositivos significan más puntos de acceso, y más puntos de acceso significan más vulnerabilidad. Si bien puede ser tentador ofrecer a cada nuevo empleado las ventajas del último teléfono inteligente, incluso si funcionan de forma remota, debe recordar que no todos los empleados necesitan el último dispositivo para tener éxito en su trabajo.

Por ejemplo, si su equipo de atención al cliente asiste habitualmente a clientes fuera del país, es probable que necesiten dispositivos con planes de llamadas internacionales. Si sus representantes de ventas se reúnen con clientes en el campo, es probable que necesiten dispositivos inteligentes con servicios de GPS y aplicaciones de mapeo. El personal de recepción, por otro lado, podría no necesitar dispositivos inteligentes.

Para garantizar que los datos confidenciales de su empresa no sean accedidos accidentalmente por más dispositivos de los necesarios, proporcione a sus empleados solo los dispositivos que necesitan.

Además, de la misma manera que no todos los empleados necesitan el último dispositivo, tampoco todos los empleados necesitan acceso total a los datos de su empresa y a las cuentas en la nube.

Es probable que su equipo de marketing no necesite acceso general a sus finanzas, y la mayoría de sus empleados no necesitan revisar los informes legales de su empresa, suponiendo que no se encuentre en ningún tipo de situación legal.

En cambio, evalúe qué empleados necesitan acceder a qué datos a través de un modelo de «control de acceso basado en roles» (RBAC) . Los datos más confidenciales solo deben ser accesibles según sea necesario. Si un empleado no utiliza esos datos o la plataforma en la que se comparte, no necesita las credenciales de inicio de sesión para acceder a ellos.

Recuerde, cuantos más dispositivos ofrezca y más acceso tengan los empleados, más fácil será que un tercero o un empleado deshonesto adquiera datos de manera inapropiada. Reduzca el riesgo de datos extraviados y robados al brindar a sus empleados solo las herramientas y el acceso que necesitan.

2. Requerir códigos de acceso y contraseñas en todos los dispositivos provistos por la compañía.

Al igual que usa códigos de acceso y contraseñas para proteger sus dispositivos personales (su computadora portátil, su teléfono inteligente, su tableta), querrá exigir que cualquier empleado que use un dispositivo proporcionado por el empleador haga lo mismo.

Descuidar este simple paso de seguridad produce una vulnerabilidad descomunal. Si un dispositivo no seguro se pierde o es robado, cada persona ajena a la empresa puede acceder a toda la información confidencial almacenada en ese dispositivo, incluida la información de recursos humanos, detalles del cliente, presentaciones e investigaciones.

Si sus empleados también usan plataformas en línea que los mantienen conectados automáticamente, entonces toda esa información también se vuelve vulnerable. Los correos electrónicos de la empresa, los chats de Slack en el horario de trabajo, los documentos creados y compartidos en Dropbox, incluso la información de beneficios de los empleados, podían ser accedidos por error.

Para mantenerse al día con la multitud de aplicaciones de trabajo, software y utilidades basadas en navegador, recomendamos que las organizaciones usen administradores de contraseñas con autenticación de dos factores (2FA). Esto no solo evita que los empleados tengan que recordar docenas de contraseñas, sino que también proporciona un acceso más seguro a los datos de la empresa.

3. Utilice el inicio de sesión único (SSO) y 2FA para los servicios de la empresa.

Como dijimos anteriormente, la pérdida de un dispositivo de la compañía a veces resulta en más que la pérdida de datos almacenados localmente, sino también datos de red y / o basados ​​en la nube a los que puede acceder el dispositivo.

Para limitar esta vulnerabilidad, implemente una solución SSO cuando los empleados quieran acceder a la variedad de sus plataformas disponibles.

El inicio de sesión único ofrece dos beneficios inmediatos. Primero, sus empleados no necesitan recordar una serie de contraseñas para cada aplicación, desde el servicio de solicitud de viajes de la compañía hasta su página de inicio en la intranet. Dos, puede configurar un servicio SSO para requerir una forma secundaria de autenticación, a menudo un mensaje de texto enviado a un dispositivo móvil separado con un código único, cuando los empleados inician sesión.

Al utilizar estas dos funciones, incluso si a su empleado le roban el dispositivo de su compañía, el ladrón no podrá iniciar sesión en ninguna cuenta importante en línea que almacene otros datos confidenciales de la compañía.

Dos de los proveedores de inicio de sesión único más populares para pequeñas y medianas empresas son Okta y OneLogin .

4. Instale capacidades de limpieza remota en dispositivos provistos por la compañía.

Por lo tanto, sus dispositivos requieren contraseñas y los recursos en línea de su empresa también tienen habilitada la autenticación de dos factores. Bueno.

Pero, ¿qué sucede si un empleado se vuelve loco? Las medidas de seguridad anteriores ayudan cuando se roba o se pierde un dispositivo, pero ¿qué sucede cuando la amenaza proviene del interior y ya tienen todas las credenciales necesarias para saquear los archivos de la empresa?

Puede sonar como un caso extremo, pero no tiene que desplazarse hacia abajo en los resultados de búsqueda de Google de «empleado roba datos de la empresa» para saber con qué frecuencia sucede esto.

Para limitar esta amenaza, debe instalar capacidades de borrado remoto en los dispositivos proporcionados por su empresa. Este tipo de software a menudo permite a las empresas no solo borrar un dispositivo que está fuera del alcance físico, sino también localizarlo y bloquear al usuario actual.

Las opciones proporcionadas por el fabricante del teléfono, como Buscar mi iPhone en dispositivos Apple y Buscar mi móvil en dispositivos Samsung, permiten a los propietarios de dispositivos ubicar un dispositivo, bloquear su pantalla y borrar todos los datos almacenados localmente.

5. Implemente las mejores prácticas para una política de Traiga su propio dispositivo (BYOD).

Cuando se trata de trabajadores remotos, la implementación de una política Traiga su propio dispositivotiene sentido. Los empleados a menudo prefieren usar dispositivos móviles y computadoras portátiles que ya saben cómo usar, en lugar de tener que aprender un nuevo dispositivo y quizás un nuevo sistema operativo. Además, los costos de hardware para su negocio son claramente más bajos.

Pero debe conocer los riesgos de que sus empleados solo realicen su trabajo en sus dispositivos personales.

Como dijimos anteriormente, si su empleado pierde un dispositivo personal que usa para almacenar y acceder a datos confidenciales de la compañía, entonces esos datos están en riesgo de robo y uso indebido. Además, cuando los empleados confían en sus máquinas personales para conectarse a redes Wi-Fi públicas y no seguras, pueden ser vulnerables a los ataques de intermediarios , en los que los actores de amenazas invisibles pueden mirar el tráfico que se envía y recibe por su máquina

Además, si bien los costos de hardware para usar BYOD son más bajos, a veces una empresa dedica más tiempo a garantizar que los dispositivos personales de los empleados puedan ejecutar el software requerido, lo que podría disminuir la productividad de su equipo de soporte de TI.

Finalmente, si varias personas utilizan un dispositivo personal, lo que no es raro entre las parejas románticas y los miembros de la familia, un tercero no malintencionado podría acceder, distribuir y eliminar accidentalmente los datos de la empresa.

Para abordar estos riesgos, podría considerar implementar algunas de las siguientes mejores prácticas para los dispositivos personales que usan sus empleados para hacer su trabajo:

  • Requerir el cifrado de todos los datos locales en dispositivos personales.
  • Requerir una contraseña en todos los dispositivos personales.
  • Habilite «Buscar mi iPhone», «Buscar mi móvil» o funciones similares en dispositivos personales.
  • No permitir el jailbreak de dispositivos personales.
  • Cree una lista de dispositivos aprobados para los empleados.

Depende de usted qué prácticas desea implementar. Debe encontrar un equilibrio entre asegurar a sus empleados y preservar la confianza que viene con una política BYOD.