Los nuevos modelos de trabajo híbrido que se están implementando en muchas empresas suponen un nuevo reto para la ciberseguridad. Tener ahora a los empleados distribuidos entre la oficina y sus casas aumenta la superficie de ataque y, por tanto, los riesgos de sufrir algún incidente, en un panorama de amenaza constante y creciente. Las empresas deben, por tanto, hacer un nuevo ejercicio de adaptación y contar con los mecanismos de prevención y planes de contingencia adecuados.
La vuelta a la oficina en este contexto de trabajo híbrido preocupa a los responsables de seguridad de las compañías que tienen que encargarse de securizar las redes y dispositivos ante un nuevo escenario.
Es cierto que las empresas han aprendido muchísimo en el último año y, además, volver a la oficina supone volver a utilizar las redes corporativas que cuentan con los parámetros de seguridad anteriores a la pandemia.
Aún así, el problema está en que los empleados volverán con dispositivos que pueden plantear una amenaza. En muchos casos, los ordenadores y otros dispositivos corporativos se han utilizado durante la pandemia tanto para uso profesional como personal y a los especialistas en IT y ciberseguridad les preocupa que los ciberdelincuentes puedan incorporar vulnerabilidades en dispositivos poco seguros para activarlos una vez los empleados se conecten a la red de la empresa en su vuelta a la oficina.
En esta nueva normalidad las empresas deben aumentar los recursos destinados a blindar la seguridad de todos los espacios de trabajo y a profundizar en la concienciación de la plantilla con la ciberseguridad. Las que no apuesten por esto lo pueden llegar a pasar realmente mal.
Formación y concienciación frente al error humano, la mayor vulnerabilidad en ciberseguridad
El 68% de los CISOs sigue considerando el error humano como la mayor vulnerabilidad en ciberseguridad de su organización, según demuestra el informe de Poofpoint: ‘Voice of the CISO’.
Por este motivo, una de las principales prioridades de las empresas es poner el foco en la concienciación en ciberseguridad de los empleados. Así podrán enfrentarse a este nuevo escenario y a los cambios que puedan venir con un equipo bien preparado y comprometido con la seguridad de la empresa.
Pero ojo, a la hora de plantear estos planes de concienciación hay que tener en cuenta que la ciberseguridad es un tema que a menudo resulta ajeno a la gran mayoría de la plantilla, eso creen el 45% de los 331 altos ejecutivos de 14 organizaciones de países diferentes que participaron en una encuesta de Fujitsu.
El 61% cree que su formación actual en ciberseguridad es ineficaz y entre los principales motivos están el aburrimiento, la falta de orientación y el contenido genérico.
¿Qué se puede hacer frente a esto? Es esencial plantear itinerarios atractivos, los planes de concienciación en ciberseguridad tienen que llamar la atención de los empleados con acciones y contenidos emocionantes y, sobre todo, entretenidos y prácticos.
Solo así las organizaciones serán capaces de motivar y comprometer a sus empleados con la ciberseguridad y asegurarse de que son fuertes como primera línea de defensa ante las amenazas digitales.
Protección en la vuelta a la oficina
¿Cómo se pueden preparar las empresas para este nuevo cambio en la forma de trabajar combinando presencialidad con remoto?
Teniendo como base la concienciación y formación continua de la plantilla en ciberseguridad, otros pasos que las organizaciones pueden dar para que la protección en la vuelta a la oficina son:
- Gestión de vulnerabilidades – Evaluación de riesgo de cada empleado y de cada dispositivo: revisar el estado de los dispositivos, ver cuáles han contado con actualizaciones y mantenimiento periódico y cuáles no, hasta garantizar que están listos para ser utilizados nuevamente en la oficina.
- Comprobar si se han instalado aplicaciones o software no autorizado: ver también si se ha eliminado algún programa importante durante el tiempo que se ha trabajado desde casa.
- Evaluar el comportamiento de los empleados: asegurar que los hábitos de ciberseguridad del equipo siguen siendo los adecuados y no se han relajado respecto a su papel como primera línea de defensa ante los ciberataques. Las organizaciones deben detectar posibles nuevas vulnerabilidades y comportamientos de riesgo en este nuevo escenario para entrenar y preparar a los empleados adecuadamente.
- Establecer protocolos (y comunicarlos a la plantilla correctamente) sobre el uso de la red wifi pública, doméstica y la descarga de materiales en los dispositivos corporativos.
- Gestión de contraseñas: conocer si los empleados han compartido contraseñas con familiares o personas convivientes si han utilizado dispositivos de trabajo para uso personal. Revisar si se han realizado cambios de contraseñas en cuentas o perfiles corporativos y si se han utilizado las mismas contraseñas en cuentas profesionales y personales. Además, se tiene que fomentar el uso de contraseñas fuertes para asegurar que se están empleando contraseñas difíciles de descifrar y que sean diferentes para dispositivos de trabajo y dispositivos del hogar.
- Confirmar que los servicios de gestión de datos en la nube y los sistemas de backup están funcionando: tener varias copias de seguridad de los datos de la empresa guardadas en distintas ubicaciones.
- Utilizar herramientas de monitorización: para rastrear cambios en el uso y en las propias aplicaciones. Teniendo en cuenta que las empresas no pueden monitorizar las redes domésticas de sus empleados.
- Dispositivos bastionados: se trata de la posibilidad de que los dispositivos corporativos se conecten a la red mediante un pincho 5G sin necesidad de utilizar la red wifi doméstica. Esta es una vía a explorar.
La prevención, la planificación y el compromiso de toda la organización con la ciberseguridad son las mejores armas con las que se puede contar para hacer frente a los cambios del entorno y poder gestionar los riesgos actuales y futuros.
Si te interesa la ciberseguridad… ¡Descubre Aiwin Firewall! 👇
