Seguridad empresarial
Dado que los dispositivos personales dentro de las redes corporativas constituyen una mezcla potencialmente combustible, un enfoque arrogante en materia de seguridad BYOD no será suficiente.
06 de febrero de 2024
•
,
6 min. leer
Dado que ayudó a las organizaciones a superar la disrupción provocada por la pandemia, el trabajo remoto (que luego a menudo se transformó en trabajo híbrido) ha consolidado su poder de permanencia. Ahora que los límites entre el trabajo y el hogar se vuelven más borrosos que nunca, muchas personas quieren, o incluso necesitan, acceder a los recursos laborales no solo desde cualquier lugar y a cualquier hora, sino también desde cualquier dispositivo: ingrese el uso de dispositivos personales para completar el trabajo y acceder a datos corporativos.
Por otro lado, el uso de dispositivos personales para el trabajo, ya sea exclusivamente o junto con dispositivos proporcionados por el empleador, conlleva mayores riesgos de ciberseguridad, más aún si no está respaldado por prácticas y precauciones de seguridad sólidas. Si bien las preocupaciones en torno a los acuerdos de traer su propio dispositivo (BYOD) no son de ninguna manera nuevas, la creciente dependencia de los dispositivos personales para el trabajo ha dado nueva vida a los desafíos potencialmente enormes de proteger los datos corporativos y ha requerido una reevaluación y ajuste de políticas existentes para adaptarse a la evolución del entorno laboral.
Entonces, ¿cómo pueden los empleados y las organizaciones mitigar los riesgos cibernéticos asociados con los dispositivos de propiedad de los empleados y ayudar a evitar poner en peligro los datos corporativos y los datos de sus clientes? Si bien no existe una solución única para todos, algunas medidas contribuirán en gran medida a proteger a las empresas de posibles daños.
Reducir la superficie de ataque corporativa
El uso de dispositivos fuera del ámbito de TI por parte de los empleados se convierte, especialmente si no se controla, en una gran amenaza para los datos corporativos. En una era en la que los malos actores buscan constantemente grietas en la armadura de las empresas, limitar el número de esos posibles puntos de entrada es una obviedad. Entonces, es importante que las organizaciones hagan un inventario de cada dispositivo que accede a sus redes, así como también establezcan estándares y configuraciones de seguridad que los dispositivos de los empleados deben cumplir para garantizar un nivel básico de protección.
Las aplicaciones no autorizadas u otro software en dispositivos propiedad de los empleados son una fuente común de riesgo que la TI en la sombra en su conjunto representa para la integridad, disponibilidad y confidencialidad de los datos y sistemas corporativos. Para frustrar el acceso no regulado de terceros a datos confidenciales, las organizaciones pueden beneficiarse de la creación de una “barrera” entre la información personal y la relacionada con el trabajo en los dispositivos y aplicar controles de inclusión en listas negras (o listas blancas) de aplicaciones. También existen otras formas de mantener bajo control los dispositivos propiedad de los empleados con la ayuda de un software de gestión de dispositivos móviles dedicado, lo que nos lleva al siguiente punto.
Actualizar software y sistemas operativos.
No se puede subestimar la importancia de instalar actualizaciones de seguridad para corregir vulnerabilidades conocidas de manera oportuna, ya que casi no pasa un día sin noticias de descubrimientos de nuevas vulnerabilidades en software ampliamente utilizado.
Garantizar que los empleados trabajen en dispositivos actualizados es ciertamente más fácil cuando usan computadoras portátiles y teléfonos inteligentes proporcionados por la empresa y pueden confiar en el soporte del departamento de TI que se mantiene al tanto e instala actualizaciones de software en sus máquinas poco después de su lanzamiento. Hoy en día, muchas empresas recurren al software de administración de dispositivos para ayudar no solo a instalar actualizaciones en los dispositivos de los empleados, sino también a reforzar su seguridad en general.
Si la tarea de mantener actualizado el software de sus dispositivos recae en los propios empleados, las organizaciones pueden, como mínimo, ser diligentes a la hora de recordarles a sus empleados que hay parches disponibles y proporcionarles guías prácticas. para aplicar las actualizaciones y monitorear el progreso.
Establecer una conexión segura
Si un empleado remoto necesita acceder a la red de la organización, la organización debe ser consciente de ello. Los trabajadores remotos pueden utilizar no sólo sus redes Wi-Fi domésticas, sino también las redes Wi-Fi públicas. En cualquier escenario, una red privada virtual (VPN) configurada adecuadamente que permita a los trabajadores remotos acceder a los recursos corporativos como si estuvieran sentados en la oficina es una manera fácil de reducir la exposición de la organización a debilidades que de otro modo podrían ser explotadas por los ciberdelincuentes.
Otra forma de habilitar la conectividad remota en el entorno de TI de una organización es mediante el Protocolo de escritorio remoto (RDP). Cuando una gran parte de la población mundial pasó a trabajar desde casa, el número de conexiones RDP aumentó drásticamente, al igual que los ataques contra los puntos finales RDP. Hubo muchos casos de atacantes que encontraron formas de explotar configuraciones RDP mal configuradas o contraseñas débiles para obtener acceso a las redes de la empresa. Un cibercriminal exitoso puede utilizar estas aperturas para desviar propiedad intelectual, cifrar y retener todos los archivos corporativos para pedir un rescate, engañar a un departamento de contabilidad para que transfiera dinero a cuentas bajo su control o causar estragos en las copias de seguridad de los datos de la empresa.
La buena noticia es que existen muchas formas de protegerse contra ataques transmitidos por RDP. El acceso a RDP debe configurarse correctamente, incluso deshabilitando el RDP conectado a Internet y solicitando contraseñas seguras y complejas para todas las cuentas a las que se pueda iniciar sesión a través de RDP. Hay más sobre la configuración adecuada de RDP, y nuestro artículo reciente lo cubre:
Proteger las joyas de la corona
Almacenar datos corporativos confidenciales en un dispositivo personal claramente representa un riesgo, especialmente si el dispositivo se pierde o es robado y no está protegido con contraseña y su disco duro no está cifrado. Lo mismo ocurre con dejar que otra persona utilice el dispositivo. Incluso si se trata “sólo” de un miembro de la familia, esta práctica aún puede comprometer las joyas de la corona de la empresa, independientemente de si los datos se almacenan localmente o, como es común en la era del trabajo desde cualquier lugar, en la nube.
Unas pocas medidas simples, como exigir una protección segura con contraseña y el bloqueo automático y enseñar a los empleados sobre la necesidad de evitar que otra persona use el dispositivo, contribuirán en gran medida a proteger los datos de la empresa contra daños.
Para limitar el riesgo de que personas no autorizadas accedan a la información confidencial, las organizaciones deben cifrar los datos confidenciales tanto en tránsito como en reposo, implementar autenticación multifactor y conexiones de red seguras.
Videoconferencia segura
Los servicios de videoconferencia experimentaron un auge gracias a la pandemia ya que todas las reuniones que originalmente eran presenciales pasaron al mundo virtual. Las organizaciones deben crear pautas para el uso de servicios de videoconferencia, como qué software usar y cómo asegurar la conexión.
Más específicamente, es recomendable utilizar un software que incluya funciones de seguridad sólidas, incluido cifrado de extremo a extremo y protección con contraseña para llamadas, que protegerán los datos confidenciales de miradas indiscretas. No hace falta decir que el software de videoconferencia debe mantenerse actualizado con las últimas actualizaciones de seguridad para garantizar que cualquier vulnerabilidad del software se solucione rápidamente.
Software y personas
Seríamos negligentes si no mencionáramos que renunciar a un software de seguridad multicapa acreditado en dispositivos que tienen acceso a sistemas corporativos es una receta para el desastre. Este tipo de software (especialmente si lo gestiona el equipo de TI o de seguridad de la empresa) puede ahorrarles a todos muchos dolores de cabeza y, en última instancia, tiempo y dinero. Entre otras cosas, esto puede proporcionar protección contra las amenazas de malware más recientes, proteger los datos corporativos incluso si el dispositivo se extravía y, en última instancia, ayudar a los administradores de sistemas a mantener los dispositivos compatibles con las políticas de seguridad de la empresa.
Garantizar que se realicen copias de seguridad de los dispositivos y los datos con regularidad (y probar las copias de seguridad) y proporcionar capacitación en materia de seguridad al personal son otras cosas obvias: los controles técnicos no estarían completos si los empleados no comprendieran los mayores riesgos que conlleva la Uso de dispositivos personales para el trabajo.
