Prevención de fugas de datos con trabajadores remotos

A pesar de los numerosos beneficios de contratar trabajadores remotos, existe un aumento sustancial en el riesgo de amenazas internas y fugas de datos relacionados con el trabajo remoto. Este es un tema pendiente incluso para los expertos en el campo empresarial, y mucho menos para los propietarios de nuevas empresas que recién se aventuran en el mundo empresarial.

Titan Security Europe ha operado de forma totalmente remota durante una década. Como expertos en el campo del trabajo remoto, vamos a ofrecer asesoramiento desde una perspectiva de seguridad física y cibernética para proteger su empresa de fugas de datos cuando trabaja con empleados remotos.

Estadísticas

Antes de analizar qué puede hacer para evitar la fuga de datos de sus trabajadores remotos, es importante conocer los hechos.

Aquí hay algunas estadísticas sobre las amenazas a la ciberseguridad cuando se trabaja de forma remota, según Wifi Talents:

• El 75% de los profesionales de TI dicen que las empresas son más vulnerables a las ciberamenazas ahora que han pasado al trabajo remoto.
• Más del 55% de los profesionales de TI cree que los trabajadores remotos tienen más probabilidades que los trabajadores en la oficina de infringir las políticas de la empresa, lo que genera un mayor riesgo de filtraciones.
• El 95% de las violaciones de ciberseguridad se deben a errores humanos.
• El 80% de los trabajadores remotos NO tiene la formación adecuada en ciberseguridad.
• Las empresas experimentan un promedio de 22 amenazas a la seguridad por semana debido a los trabajadores remotos.

Si bien estas estadísticas indican un problema importante con los trabajadores remotos, no permita que esto le impida contratar trabajadores remotos para su nueva empresa. Los beneficios superan los riesgos, siempre y cuando los gestiones con éxito.

Cómo combatir los problemas

Cuando se trata de trabajadores remotos, existe un conjunto específico de preocupaciones de seguridad que pueden surgir con respecto a los datos. Hay medidas que tanto una empresa como los empleados pueden tomar para combatir estos problemas.

Hardware vulnerable y no seguro

Los empleados que utilizan dispositivos personales y no seguros podrían provocar fugas de datos. Estos dispositivos a menudo no tienen el nivel de seguridad que tendrá un dispositivo de la empresa, y los archivos de trabajo mezclados con archivos personales pueden provocar filtraciones negligentes.

¿Qué puedes hacer?

• Proporcione a los empleados un dispositivo de la empresa con los siguientes procesos instalados. Si no es posible, asegúrese de que los empleados instalen lo siguiente en los dispositivos en los que trabajarán:
  • Autenticación multifactor: un sistema que solo permite a los usuarios iniciar sesión en un dispositivo o servidor siguiendo varios pasos. Por ejemplo, además de una contraseña, deben recibir un código enviado a otro dispositivo, usar su huella digital, responder una pregunta secreta, etc. Los ejemplos de software MFA incluyen JumpCloud, ManageEngine, Cisco Secure y más.
  • Endpoint Security: la práctica de proteger todos los dispositivos conectados a una red, las plataformas de protección de puntos finales examinan todos los archivos a medida que ingresan a la red, lo que permite detectar rápidamente malware y amenazas. Ejemplos de Endpoint Security incluyen Cisco Secure, WatchGuard, Avast Business Security y más.
  • Software de cifrado: los softwares de cifrado de archivos y datos instalados en los dispositivos utilizados para el trabajo protegen todos los datos para que no sean modificados sin autorización, robados o comprometidos. Los software de cifrado incluyen Secure IT, Folder Lock y Kruptos 2 Professional.
• Configure una Política de trabajo remoto que establezca que solo los dispositivos configurados con los programas anteriores se pueden usar para trabajar.

¿Qué pueden hacer los empleados?

• Siga su política establecida y trabaje solo en dispositivos proporcionados por la empresa.
• Siempre que sea posible, no utilice los dispositivos de la empresa para uso personal.

Redes vulnerables y no seguras

Una de las mayores preocupaciones de seguridad para el trabajo remoto son las redes vulnerables y no seguras. Si bien una red personal en casa normalmente está bien, una red pública y no segura deja a los dispositivos extremadamente vulnerables.

¿Qué puedes hacer?

• Al almacenar datos en un servidor en lugar de en la base de datos de un dispositivo (especialmente un servidor con MFA o datos cifrados), puede garantizar que los datos confidenciales estarán protegidos incluso si un dispositivo inicia sesión en una red no segura.
• Los datos se mantienen separados del dispositivo, por lo que incluso si el dispositivo se ve comprometido a través de una red no segura, los datos se mantienen seguros.

¿Qué pueden hacer los empleados?

• Evite las redes públicas cuando sea posible.
• Utilice puntos de acceso personales o trabaje sin conexión si está en público.
• Utilice VPN para asegurar la conexión.

Menos supervisión del manejo de datos

Cuando todos los empleados trabajan desde casa, es mucho más difícil para los equipos de seguridad monitorear el manejo de los datos. Hay más dispositivos, servidores y redes de los que deben preocuparse. También existe el riesgo de que los empleados tengan sus computadoras portátiles abiertas en público y que el público vea datos confidenciales.

¿Qué puedes hacer?

• Si todos sus datos se guardan en un servidor y no se pueden descargar ni compartir, el manejo de datos será un riesgo mucho menor.
• Si es necesario descargar datos para utilizarlos, haga cumplir en su política que en el momento en que los empleados hayan terminado con los datos que están utilizando, los vuelvan a cargar en la nube y los eliminen de su dispositivo.
• Implemente software de seguimiento en los dispositivos proporcionados por la empresa para que los utilicen los trabajadores remotos. Esto permitirá a los equipos de seguridad rastrear el manejo de datos en dispositivos individuales.
• Asegúrese de tener bloqueados los detalles de cada dispositivo que accede a sus sistemas, para que su equipo de seguridad pueda usar el software necesario para borrar todas las contraseñas, datos o documentos de la empresa en el momento en que se reporte su pérdida o robo.

¿Qué pueden hacer los empleados?

• Reporte un dispositivo perdido tan pronto como suceda.
• Evite trabajar en público cuando sea posible. Cuando no sea así, asegúrese de que nadie más pueda ver su pantalla.

Estafa por correo electrónico y susceptibilidad al phishing

Los trabajadores remotos corren, como todos los trabajadores, el riesgo de sufrir estafas de phishing y correo electrónico. Estar fuera de un entorno corporativo puede provocar descuido y un cambio de percepción, lo que hace que los trabajadores remotos sean más susceptibles. Los empleados también tienen menos posibilidades de verificar si un correo electrónico proviene de un colega cuando no están en la misma habitación.

¿Qué puedes hacer?

• Circular la conversación. Realice seminarios sobre cómo detectar una posible estafa y qué hacer si un empleado cree que está siendo estafado.
• Mantenga a los empleados informados sobre historias de estafas de phishing.
• Supervise los correos electrónicos de los empleados: detecte posibles estafas.

¿Qué pueden hacer los empleados?

• Envíe cualquier correo electrónico que crea que puede ser una estafa inmediatamente a un superior.
• Evite abrir enlaces de personas que no conoce.
• Responda únicamente a los correos electrónicos de colegas y clientes conocidos hasta que se haya examinado un correo electrónico.
• Tenga datos de contacto que no sean correo electrónico de todos los colegas, como números de teléfono. Utilícelos para verificar si un colega envió un correo electrónico o no.

Dispositivos desatendidos

Al igual que en las oficinas, los dispositivos desatendidos suponen un enorme riesgo para la seguridad, pero aún más en el trabajo remoto, ya que cualquiera, ni siquiera otros empleados, podría acceder a los datos almacenados en ellos.

¿Qué puedes hacer?

• Proteja con contraseña todos y cada uno de los datos del dispositivo.
  • MFA, como se mencionó anteriormente, proporciona una capa adicional de seguridad.
  • Asegúrese de que los datos estén cifrados. Esto mezcla los datos en un formato ilegible a menos que se utilice una clave digital muy específica. Esta clave digital específica solo será conocida por los empleados que necesiten tener acceso a esos datos.
• Asegúrese de que sea necesario iniciar sesión (con MFA) cada vez que se acceda a los datos, incluso si dichos datos solo se cerraron momentos antes.
• Los empleados solo tendrán acceso a los datos específicos que necesitan si solo tienen las contraseñas para esos datos. Los empleados de ventas, por ejemplo, no necesitan acceso a información de recursos humanos.

¿Qué pueden hacer los empleados?

• Protección con contraseña: McAfee sugiere que las contraseñas incluyan letras mayúsculas y minúsculas, caracteres especiales y números para garantizar una contraseña segura. Todos los dispositivos de trabajo deben tener contraseñas únicas que los empleados no revelen a nadie más.
  • MFA: los empleados deben tener un dispositivo confiable al que enviar códigos MFA o una pregunta de seguridad personal cuya respuesta solo ellos sabrán.
• Nunca deje sus dispositivos desatendidos en público.
• Asegúrese de que los dispositivos estén bloqueados cuando no se estén utilizando.

Cumplimiento y regulaciones de datos

Los equipos de seguridad deben garantizar que las prácticas de datos cumplan con las regulaciones GDPR.

• Sin una política establecida, los empleados pueden infringir fácilmente las regulaciones del RGPD con el acceso y la gestión de datos.
• Al limitar los datos a los que los empleados tienen acceso e implementar medidas de seguridad como se describe anteriormente, será mucho más fácil cumplir con la normativa de seguridad legal.

Haciendo malabarismos con la seguridad y la confianza de los empleados

Es imperativo que se asegure de que los datos de su empresa estén protegidos contra negligencias o incluso filtraciones maliciosas y ataques internos. Sin embargo, es igualmente importante que se asegure de que sus empleados sepan que confían en ellos.

Hacer malabarismos entre la seguridad y la confianza de los empleados puede resultar complicado. Aquí te dejamos algunos consejos y trucos para gestionarlo:

• Informe a sus trabajadores. Dígales a sus trabajadores exactamente qué medidas de seguridad está adoptando y dígales por qué : es una manta de seguridad para proteger los datos, no una cuestión de confianza.
• Dales los hechos. Explique que la mayoría de las filtraciones de datos provienen de errores inocentes y negligencia.
• Permita ALGUNA privacidad . Realice un seguimiento de lo que necesita rastrear (bases de datos, sitios de la empresa, comunicaciones comerciales, etc.), pero no realice un seguimiento de cada movimiento realizado en un dispositivo. Los empleados merecen no sentir que cada uno de sus movimientos está siendo observado.
• Circular la conversación . Celebre reuniones virtuales en las que analice filtraciones de datos, amenazas y más. Envíe historias sobre filtraciones de datos para demostrar lo que se dice. Haga que los empleados hablen sobre las fugas de datos y qué pueden hacer para evitarlas.

Conclusión

Cuando se trata de trabajadores remotos, es imperativo considerar tanto los beneficios como los riesgos.

Son eficientes y rentables para las empresas emergentes, ya que le permiten contratar trabajadores sin preocuparse por alquilar el espacio de oficina. Los trabajadores remotos también tienden a estar más motivados y disfrutan del equilibrio entre vida personal y laboral del trabajo remoto.

Sin embargo, debe considerar y prepararse para posibles fugas de seguridad. No se trata de confiar en sus empleados, no cuando la gran mayoría de las filtraciones se deben a errores humanos. Se trata de tomar todas las medidas posibles para garantizar que sus trabajadores remotos puedan acceder a los datos que necesitan con una mínima posibilidad de fugas.