A medida que las empresas envían a sus empleados a casa en un esfuerzo por frenar la propagación de COVID-19, los expertos en ciberseguridad advierten que el teletrabajo podría poner en riesgo los activos y los datos de la empresa.
Hay una serie de precauciones que los empleados que trabajan desde casa
debe considerar asegurarse de que los datos confidenciales no se vean comprometidos por
cibercriminales aprovechando la crisis de salud.
Uno de los mayores problemas es que los empleados que trabajan remotamente a menudo
relajarse y puede bajar la guardia. En otros casos, trabajadores
Supongamos erróneamente que cuando trabajan en casa tienen el mismo nivel de protección de seguridad que en la oficina.
"Normalmente, cuando los empleados están dentro de la red corporativa, la pila de seguridad empresarial los protegerá", dijo Matias Katz, CEO de
Byos.
"Pero trabajar desde casa expone los dispositivos del empleado, y a través de
ellos, la red de la compañía – a las amenazas que existen en público sucio
Redes WiFi ", dijo a TechNewsWorld.
Nuevas oportunidades para los cibercriminales
Un problema de seguridad importante es que con tantos datos alojados en
granjas de servidores remotos o la nube, esos datos son tan seguros como
conexiones que pueden acceder a él. En una oficina, los sistemas pueden
estar mejor endurecido, pero permitir que el personal trabaje de forma remota puede ser similar a
abriendo las puertas a los bárbaros.
"No hay duda de que trabajar fuera del lugar de trabajo puede aumentar
riesgo cibernético ", dijo Elad Shapira, jefe de investigación de
Panorámicas
"Por ejemplo, es probable que haya más dispositivos inmanejables
utilizado para acceder a los activos de la empresa, lo que aumenta la probabilidad de
introducir dispositivos comprometidos en la red de una empresa ", dijo
TechNewsWorld.
Además, al tener más credenciales que pueden acceder a la empresa
activos, incluida la red privada virtual de la compañía, hay
un riesgo aún mayor para cada ataque relacionado con credenciales, como
relleno de credenciales y fuerza bruta.
Por estos motivos, garantizar que las políticas de seguridad sean coherentes y
aplicado en todo momento puede ser extremadamente desafiante.
"Si la adquisición y la seguridad de alguna manera pudieran manejar la seguridad del
pocos dispositivos utilizados para trabajos remotos ocasionales, ahora tienen cientos,
si no miles de dispositivos que necesitan asegurar ", advirtió Shapira.
Es posible que las empresas necesiten aplicar la autenticación de dos factores en todos los activos y para todos los empleados.
"Además, muchas tareas esenciales se realizan en el lugar de trabajo
cara a cara, incluidas las solicitudes de transacciones financieras o TI
servicio ", dijo Shapira." Al trasladar estas transacciones en persona a
correo electrónico, la organización se vuelve mucho más susceptible al phishing y
estafas por correo electrónico ".
Mitigar los riesgos
Durante emergencias que pueden sacar al personal de la oficina, el
Lo primero que debe garantizar un departamento de TI es que los empleados estén preparados y comprendan los riesgos de trabajar de forma remota.
"Siempre es una buena práctica anticipar a los trabajadores remotos y tener
políticas, procedimientos y gobierno para ayudar a mitigar el riesgo ", dijo Lou
Morentin, vicepresidente de cumplimiento y gestión de riesgos de
Cerberus Sentinel.
"Muchos estándares, incluidos HIPAA, ISO e HITRUST, por ejemplo,
requieren controles para trabajadores remotos ", dijo a TechNewsWorld.
"Cada vez que una fuerza de trabajo remota accede a los recursos de la empresa, es
recomienda que se use una conexión VPN para proteger los datos en tránsito "
Morentin agregó. "Si es posible, la segregación de las conexiones de trabajo del tráfico familiar es
recomendado. Muchos enrutadores de consumo modernos permiten segregar
redes ".
La situación podría empeorar si se usa una computadora doméstica para hacer trabajo de oficina de forma remota.
"Depende, por supuesto, de una serie de factores", dijo Mark Foust, vicepresidente de marketing de
CloudJumper.
"El escritorio virtual de Windows de Microsoft funciona como un escritorio como un
Servicio de escritorio secundario desde la nube de Azure, y es
surgió como Plataforma como Servicio y tiene una seguridad muy reducida
huella ", le dijo a TechNewsWorld.
Esto podría permitirle al departamento de TI crear una compañía separada
datos de datos personales en una computadora personal.
"Esto presenta una solución ideal para muchos escenarios de trabajo remotos", agregó Foust. "Un escritorio secundario, en WVD Azure, por ejemplo, es ideal para la seguridad y la continuidad del negocio".
Herramientas para proteger a empleados y datos
Una serie de herramientas y protocolos son dignos de consideración para ayudar a los trabajadores remotos a proteger datos confidenciales.
"El inicio de sesión único y la autenticación multifactor son críticos
tecnologías para la fuerza laboral remota, así como minimizar el riesgo de
el negocio ", dijo Ralph Martino, vicepresidente de estrategia de producto
a
Stealthbits.
"Todo esto permite que la fuerza de trabajo remota se conecte a la empresa
aplicaciones en la nube, o in situ utilizando una contraseña ", dijo a TechNewsWorld.
"Cuando se termina el trabajador remoto, la empresa puede terminar
acceso a través de una serie de aplicaciones, minimizando el riesgo de mal uso
de una cuenta que no se desaprovisiona, y esto proporciona mayor
seguridad y cumplimiento para habilitar la fuerza de trabajo remota ", Martino
adicional.
Como alguien que ha estado trabajando de forma remota durante casi una década, Paul
Bischoff, defensor de la privacidad e investigador de Comparitech sugirió un
Número de herramientas.
"Para digitalizar el papeleo físico y obtener firmas, utilizo un
escáner de documentos (TinyScanner), editor de PDF (Adobe Fill and Sign) y
DocuSign ", le dijo a TechNewsWorld.
"Wave es mi herramienta de contabilidad y facturación preferida, mientras que Slack es mi
sala de chat de la oficina del día a día ", agregó Bischoff.
"Un buen servicio de respaldo es esencial para que los empleados remotos no
pierde trabajo, y Zoom es una videoconferencia sólida de nivel profesional
herramienta ", señaló.
A VPN o no a VPN
Muchas corporaciones pueden querer implementar VPN a más empleados para
acceder a recursos de oficina y almacenamiento seguro, pero esto no debería verse
como una defensa endurecida Hay muchas deficiencias en las VPN que los usuarios
puede que no lo considere fácilmente.
"Algunas de las muchas amenazas de dispositivos que las VPN no pueden proteger son
escuchas, hazañas y propagación lateral de atacantes y
malware ", dijo Byos 'Katz.
"Eso se debe a que las VPN solo cifran datos en tránsito, pero no protegen
dónde residen los datos: el dispositivo del usuario ", explicó.
"Una vez que un atacante o malware ingresa a un dispositivo, a menudo van
no detectado, aprovechando o manipulando datos con el objetivo final de
pasar de la única computadora portátil o tableta remota al gran premio: el
red y servidores de la compañía ", advirtió Katz.
Incluso con la mejor seguridad, los empleados son solo uno de los muchos eslabones débiles potenciales en una cadena.
"Es una cosa si una gran organización, presumiblemente con una sólida
procesos de seguridad establecidos, implementa una política de trabajo desde el hogar para
sus empleados ", dijo Shapira de Panorays.
"Sin embargo, lo que sucede cuando uno de sus socios de la cadena de suministro hace el
¿mismo? En ese caso, la organización también debe poder verificar
que sus socios de la cadena de suministro se adhieren al mismo alto nivel de
seguridad ", agregó.
Por esta razón, se debe elaborar un plan integral. Mientras
podría ser demasiado tarde para la crisis actual de COVID-19, con visión de futuro
hará que sea más fácil enviar equipos a casa para estar a salvo de enfermedades y
seguro de las amenazas cibernéticas.
"Con las herramientas, políticas y procedimientos correctos", dijo
Shapira, "las organizaciones pueden estar seguras de que la postura cibernética de sus
la empresa y terceros se mantienen fuertes, incluso fuera del lugar de trabajo ".
Peter Suciu ha sido reportero de ECT News Network desde 2012. Sus áreas de enfoque incluyen seguridad cibernética, teléfonos móviles, pantallas, medios de transmisión, televisión de pago y vehículos autónomos. Ha escrito y editado para numerosas publicaciones y sitios web, incluidos Newsweek, Cableado y FoxNews.com.
Email Peter.