Perspectivas de la ciberseguridad laboral

Los empleados están regresando a las oficinas a medida que los países empiezan a levantar las restricciones inducidas por la pandemia de COVID-19 y a suspender las órdenes de permanencia en casa. Pero como la incertidumbre relacionada con el coronavirus persiste, muchas empresas están optando por mantener lugares de trabajo virtuales y semi remotos entre los próximos 12 y 18 meses, y posiblemente para siempre. Facebook está permitiendo a los empleados trabajar desde casa permanentemente, mientras que la plataforma de comercio electrónico canadiense Shopify anunció que se está convirtiendo en “digital por defecto”.

Las organizaciones han pasado rápidamente a arreglos de trabajo semi remotos y, por lo tanto, deben ser igualmente rápidas en la mitigación de los riesgos cibernéticos, compuestos por las amplias “áreas de ataque” que han acompañado a los modelos operativos de “trabajo sea cual fuere el lugar”.

Para hacer frente a los nuevos retos de seguridad cibernética de este entorno de trabajo virtual, hay que comprender los cambios en el perfil de riesgo de seguridad cibernética y renovar estrategias, capacitación y ejercicios para hacer frente a estos cambios. De lo contrario, el resultado actual, mejor de lo esperado, del rápido cambio al “trabajo desde casa” puede no tener éxito a largo plazo.

La nueva normalidad cibernética

Con el espíritu de “no dejar nunca que una buena crisis se desperdicie”, las organizaciones redefinirán rápidamente su nuevo modelo de funcionamiento, y deberían hacerlo. Se tienen al menos cinco factores clave que impulsan implicaciones de riesgo de la ciberseguridad en este nuevo y probable entorno de trabajo semi remoto. Así, hay que tener en cuenta estos factores a la hora de definir cómo ajustar los programas de riesgos de ciberseguridad.

1. Un número creciente de ciberataques. Desde que comenzó el brote de COVID-19, el número de ciberataques se ha disparado, debido a que los hackers han explotado un mayor número de puertas traseras, débilmente protegidas en los sistemas corporativos, así como la distracción humana, causada por los eventos relacionados con la pandemia. El FBI recibe diariamente entre 3,000 y 4,000 quejas sobre ciberseguridad, frente a las 1,000 que recibía antes de la crisis sanitaria. Los hackers continúan atacando industrias clave como las de salud, manufactura y servicios financieros; además de organizaciones del sector público como la propia Organización Mundial de la Salud (OMS). Los bancos están intentando evitar casi el triple de ciberataques, donde ciberdelincuentes inundan los buzones de entrada de los empleados con correos electrónicos de phishing, relacionados con la pandemia de COVID-19, adjuntando archivos aparentemente inocuos y diseñados para atraer a empleados desprevenidos a la ejecución de malware.

• Cambiar las superficies de ataque. El paso a la utilización de nuevas infraestructuras y procesos de trabajo daría lugar a la explotación no detectada de las vulnerabilidades de las tecnologías existentes de trabajo a distancia. Los organismos de seguridad de Estados Unidos y Reino Unido han advertido de un número cada vez mayor de delincuentes cibernéticos que se dirigen a personas y organizaciones con programas informáticos malignos. Aunado a lo anterior, también están aumentando los riesgos cibernéticos por medio de socios comerciales y terceras personas. Ya es bastante difícil prepararse internamente para un entorno de trabajo semi remoto, pero aún más difícil verificar la preparación de los proveedores, que van desde aquellos prestadores del servicio de tecnología de la información hasta las empresas de subcontratación de procesos comerciales en los bufetes de abogados.

• Fuerzas de trabajo distraídas. Un gran número de ciberataques exitosos son causados por errores humanos el 90% de las veces, según se aprecia en estimaciones del Reino Unido en 2019. Cada vez más preocupados por el mayor estrés personal y financiero en casa, los empleados son más vulnerables a las ciberamenazas y a los ciberataques de “ingeniería social”, diseñados para engañarlos y hacerles revelar información. Los empleados confinados en casa se vuelven menos vigilantes en su higiene cibernética, el volumen de ataques exitosos que resultan de errores humanos suele aumentar considerablemente.

• Escasez de personal. La fuerza de trabajo se ve sobrecargada de trabajo cuando los empleados (incluidos los profesionales de la ciberseguridad) se enferman o se toman tiempo libre para cuidar a sus dependientes, cuestión que perjudica aún más la capacidad de una compañía para responder a las amenazas cibernéticas. Muchos trabajadores que antes de la pandemia consideraban que laborar desde casa era más productivo, ahora hacen malabares con el aislamiento forzoso, la soledad, la privacidad limitada y las nuevas exigencias que tienen que ver con la escolarización de los niños y el cuidado en el hogar; situación que se traduce en menor productividad. Dado que el trabajo masivo desde el hogar comenzó durante el brote de coronavirus, los datos en Estados Unidos muestran una disminución de la productividad en todas las industrias, ya que se informa de menor productividad en distintos sectores, desde el 11% de los trabajadores profesionales y de oficina hasta el 17% de los trabajadores de servicios industriales y manuales.

• Un ambiente de múltiples tensiones. Los equipos de seguridad están operando en un entorno sin precedentes, en el que constantemente surgen crisis de distinta índole; de las cuales, cada una exige atención significativa por parte de los equipos de ciberseguridad y de los líderes de gestión. Los desafíos de COVID-19 serán la base para el futuro previsible. Por supuesto, las empresas todavía tienen que arreglárselas con otras crisis y eventos de estrés, como huracanes, incendios forestales o protestas generalizadas, como se ha observado recientemente en territorio estadounidense.

Evalúe un cambio en el perfil de riesgo de la seguridad cibernética

A medida que las organizaciones hacen la transición a las nuevas formas de trabajo, los cambios resultantes en los perfiles de riesgo de la seguridad cibernética de la empresa deben evaluarse y supervisarse repetidamente para que puedan gestionarse, priorizarse y mitigarse activamente.

La lista de puntos de entrada de ataques como resultado de lugares de trabajo lejanos sigue creciendo. Los malos actores pueden registrar abiertamente la información confidencial de los clientes compartida con los empleados del servicio de atención al cliente, que reciben las llamadas de servicio en sus teléfonos celulares en casa, en lugar de en centros de llamadas altamente seguros y supervisados.

Las nuevas tecnologías y los productos digitales probados de forma inadecuada y desplegados rápidamente para satisfacer las necesidades de los clientes durante la pandemia, como los robots de chat del servicio de atención al cliente y las aplicaciones del Programa de Protección de Cheques de Sueldos, podrían introducir nuevas amenazas de forma inadvertida.

Las operaciones de trabajo a distancia de los proveedores y clientes interconectados amplifican aún más el riesgo de la organización. Los equipos de ciberseguridad se ven obligados ahora a movilizar y coordinar virtualmente equipos multidisciplinarios para mitigar ataques potencialmente complejos.

Ajuste su estrategia cibernética

Con base en distintas evaluaciones, los equipos de gestión de riesgos, las empresas y el personal de seguridad deben trabajar juntos para reevaluar los presupuestos de seguridad cibernética, y priorizar las inversiones para mejorar la resistencia cibernética de una empresa de acuerdo con su tolerancia al riesgo.

Empiece con medidas provisionales que puedan aplicarse inmediatamente, como la revisión de las directrices, requisitos y controles existentes sobre el riesgo cibernético en relación con la forma en que los empleados acceden a los datos y se comunican con la red de una empresa.

Las reglas de análisis del comportamiento deben ajustarse para considerar los cambios en el comportamiento “normal” de los empleados, muchos de los cuales trabajan ahora fuera de las horas de trabajo estándar para que los equipos de seguridad puedan enfocar eficazmente las investigaciones.

A continuación, examine las nuevas herramientas de seguridad y los requisitos para compartir y mantener la información privada con los proveedores. Por ejemplo, es posible que las organizaciones tengan que adoptar controles más estrictos de la pérdida de datos, herramientas de análisis del tráfico y restricciones de acceso. Asegúrese de que los proveedores que no estén actualmente preparados para un mayor riesgo de ciberataques se comprometan a desarrollar planes de preparación cibernética, esto con el fin de manejar la información de forma segura o interactuar con su red corporativa.

Revise los cambios para impulsar la tecnología de su empresa y la infraestructura de seguridad, aunque tales cambios puedan tardar años en implementarse. Es posible que algunas organizaciones quieran acelerar sus estrategias de nube para que los recursos de Tecnología de la Información satisfagan rápidamente los picos de demanda del trabajo remoto a gran escala.

Otras mejoras comunes incluyen la inversión en automatización y análisis avanzados para mejorar la eficacia de los procesos de seguridad, la introducción de una mayor disciplina en torno a los datos cibernéticamente pertinentes, la racionalización de las herramientas de supervisión y seguridad duplicadas para gestionar el coste de la explosión del volumen de datos, y la concentración de los equipos de ciberseguridad en las áreas de mayor riesgo.

Finalmente, desarrolle mecanismos para entender cómo los cambios en su programa de seguridad reducen los riesgos de seguridad cibernética, una vez que se implementa cada iniciativa. No se trata de un ejercicio para implementarse una sola ocasión; las organizaciones necesitan una agilidad continua para alcanzar lo que es un objetivo decididamente móvil.

Intensificar el entrenamiento cibernético y ejercicios

Recalibre los programas de conciencia cibernética para medir, rastrear y mejorar la cultura de riesgo cibernético de sus empleados, equipos de gestión y profesionales de ciberseguridad en la nueva ciber normalidad Los empleados deben estar informados de los nuevos riesgos cibernéticos y recordarles su papel en la prevención, detección, respuesta y recuperación eficaces de los ataques cibernéticos.

Diseñe programas y ejercicios de capacitación, basados en roles para aumentar la conciencia en todos los niveles de los riesgos cibernéticos nuevos y modificados, introducidos por el aumento del trabajo remoto. Los programas de capacitación deben cubrir nuevas amenazas, reglas para el uso aprobado de dispositivos y datos, y procesos para reportar presuntos incidentes cibernéticos.

Los equipos de gestión deben participar en recorridos y simulaciones para nuevos escenarios de ciberataque, armados con libros de jugadas que brinden pautas claras para las acciones requeridas, incluido cuándo (y a quién) se deben escalar las decisiones. Estos escenarios deben considerarse para futuros juegos y simulaciones de ciberguerra para preparar equipos de ciberseguridad, tecnología y negocios para futuras crisis a gran escala. Al hacerlo, los equipos identificarán las deficiencias que deben superarse para responder eficazmente a los ataques cibernéticos.

A medida que la pandemia continúe desarrollándose, las organizaciones deberán operar en un entorno de estrés múltiple de la vida real, enfrentando ataques cibernéticos junto con muchos otros desafíos relacionados con el COVID-19. Gran parte del cambio operativo que ha ocurrido como resultado del coronavirus, durará más que la crisis inmediata y sus consecuencias.

Las empresas deberían aprender por las lecciones de la actual crisis, para diseñar y ejecutar un nuevo modelo operativo, que incorpore flexibilidad extra, en lo concerniente a la forma de trabajo más remota. Para hacerlo de forma segura, deben comprender cómo han cambiado sus perfiles de riesgo cibernético, y modernizar sus estrategias de capacitación y ejercicios para hacer frente a las amenazas y minimizar cualquier tipo de riesgo.

Versión al español: Armando Cintra Benítez

A partir de:

https://sloanreview.mit.edu/article/cybersecurity-for-a-remote-workforce/