El brote de Coronavirus en el País obliga a muchos empleados a trabajar desde casa, ¿puede su organización mantenerse productiva y segura?
Original: WeliveSecurity, Traducido por People Apps
El brote de coronavirus (COVID-19) ha sido oficialmente clasificado por la Organización Mundial de la Salud (OMS) como una pandemia, lo que significa que la infección se está acelerando en varios países al mismo tiempo. Los Estados Unidos de América han declarado prohibiciones de viaje en 28 países europeos, muchos países han cerrado escuelas y universidades, y se han detenido grandes reuniones de personas.
Las compañías de alto perfil como Google y Microsoft están alentando u ordenando que el personal adopte una política de trabajo desde el hogar. (Work From Home) Para las empresas tecnológicas modernas, la infraestructura y la política necesarias para el trabajo remoto ya están establecidas y la gran mayoría de los miembros del personal probablemente ya sean usuarios de computadoras portátiles.
Sin embargo, para muchas empresas y organizaciones más pequeñas, es probable que la situación sea muy diferente. El trabajo remoto probablemente se limita a unos pocos, y de manera realista principalmente para el correo electrónico y otros sistemas no operativos. El sector educativo es un buen ejemplo: las universidades han estado ofreciendo educación a distancia como una característica durante algún tiempo, mientras que las escuelas secundarias y otras dependen principalmente del personal y los alumnos que están en el lugar para aprender. Los equipos administrativos y de operaciones de la escuela también deben considerarse, ya que es poco probable que sean trabajadores móviles y puedan estar utilizando dispositivos de escritorio en lugar de computadoras portátiles.
La división de la organización en unos pocos grupos con diferentes requisitos y el tratamiento de las necesidades de cada uno para lograr el éxodo masivo puede parecer un enfoque simplista, pero probablemente sea esencial dada la urgencia en algunos casos. Usando la educación como ejemplo, hay estudiantes (los clientes), docentes, administración y operaciones. La escuela no puede funcionar sin una participación significativa de los estudiantes, los maestros al menos necesitan instalaciones de conferencias virtuales y los equipos de administración necesitan acceso a la red, y esto es lo mínimo.
Para ser productivo, hay requisitos comunes que todos los trabajadores remotos necesitan. Como alguien que ha trabajado de forma remota durante la mayor parte de su vida laboral, puedo dar fe de los dos últimos:
- Un ordenador
- Una buena conexión a internet
- Aplicaciones de chat y conferencia
- Un espacio de trabajo dedicado (preferido)
- Opcionalmente un teléfono
- Automotivación y disciplina
- Una rutina estricta
¿Por qué el teléfono es opcional? En el entorno actual puede no ser necesario, especialmente porque la mayoría de las aplicaciones de chat permiten llamadas directas. La necesidad de un teléfono puede ser un requisito comercial en lugar de un dispositivo esencial.
Es importante destacar que las empresas y organizaciones también deben prepararse a sí mismas y a sus empleados para los mayores riesgos de ciberseguridad asociados con el trabajo remoto. ¿Cuáles son algunos de los desafíos que deben abordarse?
Seguridad física de los dispositivos de la empresa.
Los empleados expondrán los dispositivos de la empresa a un mayor riesgo a medida que abandonen la seguridad del lugar de trabajo. Como empleado remoto, a menudo me llevo a la biblioteca pública para trabajar; hay espacios de trabajo compartidos e individuales y es una forma de socialización. Los dispositivos deben protegerse contra pérdidas y robos con opciones como:
- El cifrado de disco completo garantiza que incluso si el dispositivo cae en las manos equivocadas, no se puede acceder a los datos de la compañía.
- Cierre sesión cuando no esté en uso, tanto en casa como en lugares públicos. Un niño curioso que envía accidentalmente un correo electrónico al jefe o al cliente se evita fácilmente, ya que limita la oportunidad de que alguien acceda a la máquina mientras le da la espalda a la cafetería local.
- Política de contraseña segura: aplique contraseñas en el arranque, establezca tiempos de espera de inactividad y prohíba las notas adhesivas con contraseñas: ¡la gente todavía hace esto!
- Nunca deje el dispositivo desatendido o en exhibición pública. Si está en el auto, entonces debería estar en la cajuela.
¿Qué hay en el entorno tecnológico del hogar?
Solicite a los empleados que auditen las vulnerabilidades de su propio entorno doméstico antes de conectar los dispositivos de trabajo. Hay revelaciones continuas sobre dispositivos vulnerables de Internet de las cosas (IoT), y este es un excelente momento para que los empleados tomen medidas para asegurarlos con contraseñas seguras y actualizar su firmware / software a las últimas versiones.
Considere la posibilidad de promocionar, o incluso exigir, el uso de una aplicación de monitoreo doméstico conectada antes de permitir que los dispositivos de trabajo se conecten a las redes domésticas. El escaneo o monitoreo resaltará los dispositivos con vulnerabilidades conocidas, software o firmware obsoleto o contraseñas predeterminadas que deben cambiarse.
Acceso a la red y sistemas de la compañía.
Establezca si el empleado necesita acceso a la red interna de la organización o simplemente acceso a servicios y correo electrónico basados en la nube. Y tenga en cuenta si debe otorgarse el mismo nivel de acceso a los datos confidenciales disfrutados en el sitio cuando el empleado está fuera del sitio.
- Si se necesita acceso a la red interna de la organización:
- Recomiendo que esto solo se logre desde un dispositivo propiedad de la organización para que el control total del dispositivo de conexión esté bajo la administración del equipo de seguridad tecnológica y de TI.
- Utilice siempre una VPN para conectar trabajadores remotos a la red interna de la organización. Esto evita ataques de hombre en el medio desde ubicaciones remotas: recuerde que dado que ahora está trabajando desde su casa, el tráfico ahora fluye por las redes públicas.
- Controle el uso de dispositivos externos como almacenamiento USB y dispositivos periféricos.
- Permitir el acceso a servicios de correo electrónico y en la nube desde el propio dispositivo de un empleado:
- Aplique la misma política de seguridad de punto final para antimalware, firewalls, etc. que con un dispositivo administrado por la organización. Si es necesario, proporcione al empleado una licencia para las mismas soluciones utilizadas en los dispositivos propiedad de la organización. Si necesita licencias adicionales, póngase en contacto con el proveedor. Pueden tener soluciones para cubrirlo a través de este evento sin precedentes.
- Limite la capacidad de almacenar, descargar o copiar datos. Una violación de datos puede ocurrir desde cualquier dispositivo que contenga datos confidenciales de la compañía.
- Considere el uso de máquinas virtuales para proporcionar acceso: esto mantiene al empleado en un entorno controlado y limita la exposición de la red de la empresa al entorno doméstico. Esto puede ser más complejo de configurar, pero podría ser una solución superior a largo plazo.
- La autenticación multifactorial (MFA) garantiza que el acceso, ya sea a servicios basados en la nube o acceso completo a la red, sea solo por usuarios autorizados. Siempre que sea posible, use un sistema basado en aplicaciones o un token de hardware físico para generar códigos únicos que otorguen acceso autenticado. Como puede haber presión de tiempo para implementar una solución, una solución basada en aplicaciones elimina la necesidad de adquirir y distribuir hardware. Los sistemas basados en aplicaciones proporcionan una mayor seguridad que los mensajes SMS, especialmente si el dispositivo utilizado para recibir los códigos no es un dispositivo administrado por la organización y podría estar sujeto a un ataque de intercambio de SIM.
Herramientas colaborativas y procesos de autorización.
Puede parecer extraño poner estos dos elementos bajo el mismo título, pero uno puede ayudar a prevenir problemas con el otro.
- Proporcione acceso a sistemas de chat, video y conferencias para que los empleados puedan comunicarse entre sí. Esto proporciona las herramientas de productividad necesarias y ayuda a los empleados a mantenerse sociales con sus colegas.
- Use las herramientas de colaboración para protegerse contra instrucciones o transacciones no autorizadas. Es probable que los ciberdelincuentes aprovechen la oportunidad de las fuerzas de trabajo ubicadas de forma remota para lanzar ataques de Business Email Compromise (BEC) . Aquí es donde un mal actor envía una demanda urgente falsa, solicitando la transferencia urgente de fondos, sin la capacidad de validar la solicitud en persona. Asegúrese de utilizar los sistemas de videoconferencia / chat como parte formal del sistema de aprobación para que la validación se realice “en persona”, incluso cuando sea remota.
Formación
Según mi otro blog reciente, hay numerosas estafas de COVID-19 en circulación, que conducen a máscaras faciales, vacunas y desinformación. Cuando los empleados son reubicados fuera del lugar de trabajo y colocados en la atmósfera más informal de trabajar desde casa, pueden considerar hacer clic en los enlaces, ya que no hay colegas que puedan verlos viendo ese video divertido o visitando una página web.
La capacitación en concientización sobre seguridad cibernética suele ser un requisito anual para los empleados. Sería prudente ofrecer un repaso para ayudar a evitar el elemento humano que los ciberdelincuentes intentan explotar. Considere ejecutar una campaña y un requisito de capacitación antes de que el empleado comience a trabajar de forma remota … o tan pronto como sea posible a partir de entonces.
Apoyo y gestión de crisis.
En la prisa por proporcionar acceso remoto, no sacrifique la ciberseguridad o la capacidad de administrar sistemas y dispositivos. La capacidad de apoyar a los usuarios de forma remota será esencial para garantizar un funcionamiento sin problemas, especialmente si los usuarios quedan en cuarentena debido a problemas de salud. Los trabajadores remotos deben tener protocolos de comunicación claros para el soporte de TI y para la gestión de crisis si encuentran problemas inusuales o sospechosos que podrían ser el resultado de una violación.
Existen, por supuesto, consideraciones adicionales desde una perspectiva tecnológica; por ejemplo, eliminar o limitar el uso de RDP, como se detalla en una reciente publicación de blog de mi colega Aryeh Goretsky .
Más allá de la tecnología y los procesos funcionales, existen otros factores clave para un trabajo remoto efectivo:
- Comunicación: considere realizar llamadas en equipo una vez al día, informar a las personas sobre el estado y darles a todos la oportunidad de compartir experiencias y problemas.
- Capacidad de respuesta: el trabajo remoto no es lo mismo que trabajar en un entorno de oficina. Establezca pautas claras de qué tan rápido se espera que un trabajador remoto responda a una solicitud, dependiendo del tipo de comunicación, correo electrónico, Slack, invitaciones de calendario, etc.
- Informes: los gerentes de línea deben implementar procedimientos que les permitan determinar si los trabajadores remotos están haciendo el trabajo: reuniones grupales obligatorias, colaboración en equipo, informes diarios / semanales / mensuales.
- Horario de trabajo: acuerde un método de activación y desactivación, incluso si es tan simple como un chat grupal en equipo y miembros que dicen buenos días cuando comienzan su día.
- Salud y seguridad: ¿deben llevarse a casa los teclados ergonómicos de la oficina para proporcionar la misma comodidad a la que están acostumbrados los empleados? Trabajar desde casa no elimina la responsabilidad de proporcionar un buen ambiente de trabajo.
- Responsabilidad: garantice la cobertura de los activos de la empresa mientras esté en posesión del empleado.
- Soporte técnico: distribuya los datos de contacto: todos los trabajadores remotos deben saber cómo obtener ayuda cuando sea necesario.
- Socialización: reúna a los trabajadores remotos, especialmente de manera virtual. La interacción social es una parte importante de la motivación y aumenta la productividad. Considere un esquema de amigo o mentor para que cada empleado esté emparejado y pueda resolver problemas, desahogarse, compartir o socializar virtualmente.
- Accesibilidad: establezca una política de gestión de puertas abiertas virtuales, tal como la hay en la oficina. Asegúrese de que las personas sean accesibles y se puedan involucrar fácilmente.
No asuma que todos los empleados pueden cambiar al trabajo remoto de manera efectiva y con poca asistencia u orientación. El hogar no es la oficina y pueden necesitar una ayuda considerable para adaptarse.
Filosóficamente, es posible que el mundo nunca vuelva a ser el mismo, ya que este mandato de trabajo remoto masivo podría resultar ser un experimento social / laboral que pocas empresas hubieran emprendido en tal escala. ¿Alguna vez volveremos a nuestra oficina de la misma manera?
People Apps, cómo Expertos en transformación Digital podemos ayudarle a que su empresa no se paralice ante estas situaciones y pueda sacar el máximo potencial haciendo uso de la tecnología, de forma segura y confiable. Escribanos a [email protected] para recibir implementación, asesoría y soporte.