27 de diciembre de 2024

El teletrabajo también pone en riesgo muchas empresas

El teletrabajo también pone en riesgo muchas empresas

La implantación apresurada del teletrabajo ha puesto en riesgo a muchas empresas y algunas todavía no lo saben. La situación de emergencia derivada de la crisis sanitaria obligó a muchas empresas a convertir esta alternativa en la solución para poder ejercer su actividad. Aunque muchas de ellas pudieron reaccionar rápidamente, a otras les pilló desprevenidas, sin haber analizado en detalle los controles necesarios de privacidad y ciberseguridad requeridos por los sistemas de trabajo a distancia.

Para que los empleados puedan asumir sus tareas desde casa, la empresa les ha tenido que facilitar soluciones para acceder remotamente a sistemas de información corporativos y otros recursos, además de herramientas para interactuar y coordinarse entre ellos y sistemas para compartir y/o editar información de forma colaborativa. Este paradigma provoca riesgos y exposiciones para la seguridad de la información y datos que se manejan.

Entre las principales amenazas se encuentran el incremento en la superficie de exposición al tener que habilitar conexiones de forma remota, ya que el área perimetral de la red corporativa se extienda a las casas de los empleados; también el principio de mínimo privilegio seguramente ha tenido que ser modificado para permitir un tipo de acceso que antes no era necesario; la concurrencia masiva de usuarios puede ser aprovechada para robar credenciales y llevar a cabo escalado de privilegios, y la flexibilización en el marco de control de seguridad permitiendo al empleado utilizar equipos de su propiedad no supervisados y a menudo inseguros para conectarse a la red corporativa.

La solución pasa por adaptarse a los retos que presenta el nuevo método de trabajo, aplicando unas medidas se seguridad mínima. En primer lugar, es necesario contar con una cultura de teletrabajo, es decir, disponer de normas y políticas de uso de los sistemas de información. En este sentido, la Agencia Española de Protección de Datos recomienda definir una política específica para situaciones de movilidad que contemple las necesidades concretas y los riesgos particulares introducidos por el acceso a los recursos corporativos desde espacios que no están bajo el control de la organización. También ayuda en este sentido ejecutar actividades de concienciación y formación de empleados sobre el uso seguro de los sistemas de información en situación de movilidad y la utilización de las herramientas colaborativas.

Cultura del teletrabajo

BDO recomienda revisar las formas de acceso remoto permitidas, tipo de dispositivos válidos para cada forma de acceso y el nivel de acceso permitido en función de los perfiles de movilidad definidos, así como aplicar procesos de autenticación robustos y políticas de contraseñas a la red interna de grupo y a las aplicaciones de negocio accesibles desde Internet. Implementar una capa consistente de autenticación multifactor (MFA) o una autenticación progresiva según la criticidad de las solicitudes de acceso podrían ser opciones validas de control.

También es una buena medida de seguridad monitorizar los accesos realizados a la red corporativa desde el exterior: refinar la granularidad del monitoreo de seguridad y enriquecer el monitoreo en escenarios de operación remota y garantizar que las conexiones externas se efectúan de manera segura a través de VPN. Sin olvidarnos de adoptar controles frente a posible fuga de información: solución DLP, acceso limitado a servicios de almacenamiento en la nube, deshabilitación de puertos USB, etc.

En lo que a seguridad de los equipos profesionales y personales se refiere, es recomendable establecer requerimientos mínimos de seguridad y llegar a acuerdos con los empleados que definan las responsabilidades mutuas de las partes antes de conectar los dispositivos propiedad de los empleados a la red y sistemas de la empresa.

Y en cuanto al uso de herramientas de colaboración, se deben seleccionar únicamente soluciones confiables y con garantías y establecer requerimientos mínimos de seguridad en la configuración por defecto para interactuar, compartir y/o editar información de forma colaborativa. Además, es necesario formar a todos los empleados sobre los pasos específicos que deben seguir en el software de reuniones para garantizar que sus conferencias sean seguras.

En opinión de Roger Pérez, experto del área de Risk Advisory de BDO, »se deberían revisar las formas de acceso remoto permitidas, los tipos de dispositivos válidos para cada forma de acceso y el nivel de acceso en función de los perfiles de movilidad definidos, así como aplicar procesos de autenticación robustos y políticas de contraseñas de acceso a la red interna de grupo y a las aplicaciones de negocio accesibles desde Internet».

En definitiva, las organizaciones necesitan ajustar sus procesos actuales para poder ejecutar la mayor parte de sus operaciones en remoto. En respuesta a este cambio de modelo, deben revisar los controles de seguridad de la información y actualizar las configuraciones correspondientes. Es imprescindible si no quieren ser víctimas de un incidente que ponga en riesgo su continuidad. En estos momentos de cambios e incertidumbre, la actividad empresarial y profesional debe continuar siempre y cuando se garantice un entorno seguro y eficaz.

NOTICIAS RELACIONADAS

DEJA UNA RESPUESTA

Los comentarios están cerrados.

Los lectores opinan

¿Qué tendencia en RRHH crees que transformará más las organizaciones en 2025?

Ver los resultados

Cargando ... Cargando ...
Lo más leído

Regístrate en el boletín de RRHHDigital

* indicates required
Opciones de Suscripción
En cumplimiento de lo dispuesto en el artículo 5 de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal (en adelante, "LOPD"), EDICIONES DIGITALES SIGLO 21, SL., le informa de que los datos de carácter personal que nos ha proporcionado mediante la cumplimentación de cualquier formulario electrónico que aparece en nuestras Web Site, así como aquellos datos a los que EDICIONES DIGITALES SIGLO 21, SL. acceda como consecuencia de su navegación, de la consulta, solicitud o contratación de cualquier servicio o producto, o de cualquier transacción u operación realizada a través de las Webs de nuestro grupo editorial EDICIONES DIGITALES SIGLO 21, SL., serán recogidos en un fichero cuyo responsable es EDICIONES DIGITALES SIGLO 21, SL. provista de CIF B86103140 con domicilio a estos efectos en Calle Comandante Franco, 24 28016, Madrid. Con carácter general, los datos de carácter personal que nos proporcione serán utilizados para atender sus solicitudes de información, así como informarle sobre nuevas actividades, productos y servicios de EDICIONES DIGITALES SIGLO 21, SL. Aquí puede leer nuestro aviso legal y política de privacidad.
rrhhdigital