¿El teletrabajo llegó para quedarse? Si bien el teletrabajo no es algo nuevo, la pandemia del coronavirus provocó un aumento sin precedente a nivel mundial de personas trabajando en esta modalidad.
Varios informes en distintos países muestran que muchas empresas y organizaciones que no tenían personal trabajando a distancia previo a la pandemia planean continuar con alguna forma de teletrabajo una vez que se termine la situación sanitaria. Algunas de las que ya implementaban teletrabajo consideran aumentar la cantidad de días que se podrá trabajar remotamente.
Según datos de una encuesta reciente realizada por la empresa de seguridad informática Eset, el 86% consideró que el teletrabajo pasará a ser algo fijo luego de la pandemia, pero bajo una modalidad mixta en la que se trabajará algunos días a distancia y otros días de forma presencial. Apenas un 4,68% consideró que una vez superada la pandemia se volverá a la antigua normalidad y no aplicará teletrabajo.
Si bien algunas personas prefieren trabajar de forma presencial, el mayor porcentaje elije el teletrabajo. Empresas como Twitter, por ejemplo, anunciaron que permitirán que algunos trabajadores que lo deseen puedan hacer teletrabajo de forma permanente desde su casa.
La productividad que lograron mantener o incluso mejorar las empresas a lo largo del 2020, así como la reducción de algunos costos, fueron otros de los factores que demostraron a las organizaciones que esta modalidad de teletrabajo es viable y positiva.
A esto se suma que muchas personas vieron en el teletrabajo una oportunidad para mejorar el balance entre su vida personal y la laboral, lo que representa una mejor calidad de vida. Por todo esto y mucho más es que una gran cantidad de empresas evalúan continuar con alguna modalidad de teletrabajo.
Pero una pregunta que deberán responderse es la siguiente: ¿están lo suficientemente preparadas para hacer teletrabajo de manera segura? Según datos de esa encuesta, el 86% considera que las empresas deberán cambiar su enfoque de seguridad si establecen alguna modalidad de teletrabajo fija luego de la pandemia.
En esta misma línea, solo el 13% opinó que la mayoría de las empresas está lo suficientemente preparada en términos de seguridad y tecnología para una modalidad de teletrabajo seguro, mientras que el 46% opinó que solo algunas.
Trabajar desde casa implica que nuestra comunicación con nuestro entorno de trabajo se realice a través del correo, el chat o aplicaciones de videoconferencias. También implica usar nuestra red hogareña de Internet para conectarnos a la red corporativa, la misma red de Internet a la que está conectado el Smart TV, nuestro "smartphone", la tableta, computadora y tal vez algún otro dispositivo inteligente. Todas estas tecnologías podrían ser la puerta de entrada que utiliza un atacante sobre alguien que realiza teletrabajo.
El teletrabajo también implica que algunas personas deban utilizar su computadora personal para desempeñar su actividad, o bien que utilicen la computadora que les brinda la empresa para trabajar, pero también para realizar actividades personales.
Actividades que tal vez en la oficina no harían o al menos no con la misma frecuencia, como realizar compras, utilizar las redes sociales o acceder a servicios personales como el correo electrónico.
Si no se toman las medidas necesarias para asegurar el teletrabajo, todo este contexto puede ser peligroso si se combina con el hecho de que desde que comenzó la pandemia los criminales han estado intentando aprovecharse del auge del teletrabajo para intentar comprometer a usuarios y empresa de todo tipo. Los ciberdelincuentes se han abalanzado sobre las vulnerabilidades que se desprenden del teletrabajo y los sistemas de TI para encontrar grietas por donde filtrarse.
Uno de los desafíos que desde el punto de vista de la seguridad trajo la pandemia ha sido evitar los ataques que buscan aprovecharse de las computadoras inseguras de aquellos que hacen teletrabajo desde casa para utilizarlas como punto de entrada a redes corporativas.
En este sentido, el uso del protocolo de escritorio remoto (RDP) ha sido uno de los mecanismos más utilizados para lanzar ataques de ransomware, aprovechando también el uso de contraseñas débiles en el teletrabajo. De hecho, a mediados de 2020 se publicaron datos sobre el crecimiento a nivel global de los intentos de ataque al RDP y los accesos remotos en general en el teletrabajo.
Se trató de un crecimiento que en América latina durante el tercer trimestre de 2020 significó un aumento del 141% de los intentos de ataque de fuerza bruta al RDP. Los atacantes detrás de los distintos grupos de ransomware utilizan diferentes vectores de ataque para distribuir la amenaza.
Un importante crecimiento se registró durante 2020 con respecto al año previo en cuanto a los ataques de ingeniería social. Con el oportunismo de siempre, los criminales han aprovechado el temor por la pandemia, el teletrabajo y ahora el lanzamiento y distribución de la vacuna contra la Covid-19 para engañar a los usuarios.
Y probablemente lo seguirán intentando durante este 2021 aprovechando temas que acaparen la atención de los medios y de los usuarios del teletrabajo, por lo que debemos estar atentos y aprender de lo que ocurrió en 2020. A través de los ataques de ingeniería social los criminales distribuyen distintos tipos de campañas maliciosas con foco en el teletrabajo.
Algunas que buscan engañar a los usuarios con falsas promesas para distribuir publicidad invasiva, mientras que otras más peligrosas buscan distribuir malware suplantando la identidad de alguna marca, entidad gubernamental o aplicación de videoconferencia, por mencionar algunos ejemplos.
Como siempre, el eslabón más débil de la cadena es siempre el factor humano, y también en el teletrabajo. Para comprometer a una compañía, los atacantes ahora no dependen solo de enviar un correo a direcciones corporativas, sino que pueden hacerlo lanzando ataques a los correos personales, ya que en caso de que la víctima sea un trabajador que hace teletrabajo, esto probablemente pueda permitirles tener acceso a una red corporativa.
Si bien muchos teletrabajadores son conscientes, tal como lo demuestra una encuesta de Eset en la que un 87% de los participantes considera que los cibercriminales han visto una oportunidad en el incremento del trabajo remoto. Sin embargo, esto no puede caer solo en la responsabilidad de los teletrabajadores. Las empresas y organizaciones deben hacer su parte.
Para operar de manera eficiente se requiere contar con una excelente gestión corporativa, así como políticas de seguridad perfectamente integradas. Para que las empresas funcionen sin problemas con una interrupción mínima, deben darles la misma importancia a las prácticas de gestión y a las de seguridad, lo que a su vez protege al personal y a la empresa.
La capacitación puede resultar muy útil para proteger al personal y funciona mejor cuando se imparte con frecuencia y en pequeñas dosis. Las empresas deben prepararse para el teletrabajo y crear equipos y sistemas de TI que sean capaces de evitar los daños financieros y a la reputación que los ataques ocasionan.
Entender la fuerza laboral tiene un papel fundamental en la estrategia de ciberseguridad de cualquier negocio, ya que permite mejorar la eficacia de la capacitación y a su vez ayuda a incentivar a los empleados para que inviertan más en su propia formación y habilidades.
Si comprendemos que el elemento humano en la seguridad cibernética es tan importante como el técnico, habremos dado el primer paso en la construcción de protocolos holísticos que tengan en cuenta las fortalezas individuales y los puntos débiles.
Las empresas deben buscar la forma de crear entornos seguros para quienes trabajan desde su casa. Esto va desde exigir que implementen el doble factor de autenticación en todos los sistemas y tecnologías que ofrezcan esta opción, así como el uso de una solución VPN para acceder a redes corporativas.
También lograr que los teletrabajadores habiliten las actualizaciones automáticas y que evalúen la seguridad de sus redes Wi-Fi, ya que por aquí también pueden entrar los cibercriminales.
No menos importante, en la medida de lo posible los teletrabajadores deberán utilizar equipos brindados por la empresa para sus labores, y sobre todo, estar alertas e informados sobre las formas más comunes que tienen los atacantes de comprometer a sus víctimas.
Las grandes compañías, como Google y Microsoft, alientan u ordenan a sus empleados que trabajen de manera remota desde sus casas. Para las empresas tecnológicas modernas, la infraestructura y las políticas necesarias para el trabajo remoto ya están establecidas y probablemente la mayor parte de los trabajadores sean usuarios de computadoras portátiles.
Sin embargo, para muchas empresas y organizaciones, fundamentalmente las Pymes, es probable que la situación sea muy diferente. Trabajar desde la casa es una opción que se limita a unos pocos y principalmente para quienes utilizan solamente el correo electrónico y otros sistemas que no son operativos.
El sector educativo es un buen ejemplo: las universidades han estado ofreciendo educación a distancia como una opción desde hace ya algún tiempo, mientras que las escuelas primarias y secundarias son más dependientes de la presencia del docente y de los alumnos para llevar adelante las tareas de aprendizaje.
Este escenario también debe considerar el personal administrativo y de operaciones de la escuela, ya que probable sean trabajadores con menos capacidad de movilidad y que usen dispositivos de escritorio en lugar de computadoras portátiles.
Dividir la organización en unos pocos grupos con diferentes requisitos y el tratamiento de las necesidades de cada uno para lograr el éxodo masivo puede parecer un enfoque simplista, pero probablemente sea esencial dada la urgencia en algunos casos.
Usando la educación como ejemplo, hay estudiantes (los clientes), docentes, personal de administración y de operaciones. La escuela no puede funcionar sin una participación significativa de estudiantes, los maestros necesitan herramientas para realizar conferencias virtuales y los equipos de administración necesitan acceso a la red, y esto es solo lo mínimo.
Para ser productivo, hay requisitos comunes que todos los trabajadores remotos necesitan. Como alguien que ha trabajado de forma remota durante la mayor parte de su vida laboral, puedo dar fe de los dos últimos:
¿Por qué el teléfono es opcional? En el entorno actual puede no ser necesario, especialmente porque la mayoría de las aplicaciones de chat permiten realizar llamadas directas. La necesidad de un teléfono puede ser más un requisito comercial y no tanto un dispositivo esencial.
Es importante destacar que las empresas y organizaciones también deben prepararse a sí mismas y a sus empleados para enfrentar los riesgos vinculados a la ciberseguridad con el trabajo remoto.
Los empleados estarán exponiendo a un mayor riesgo los dispositivos de la empresa en la medida que no tengan presente la seguridad del lugar de trabajo. Los dispositivos deben protegerse contra pérdidas y robos con opciones como:
Lo ideal sería solicitar a los empleados que auditen las vulnerabilidades de su propio entorno doméstico antes de conectar los dispositivos de trabajo. Hay revelaciones continuas sobre dispositivos vulnerables de Internet de las cosas (IoT), y este es un excelente momento para que los empleados tomen medidas para asegurarlos con contraseñas seguras y actualizando tanto el firmware como el software a las últimas versiones disponibles.
Considere la posibilidad de promocionar, o incluso exigir, el uso de una aplicación de monitoreo antes de permitir que los dispositivos de trabajo se conecten a las redes domésticas.
El escaneo o monitoreo resaltará los dispositivos con vulnerabilidades conocidas, la existencia de software o firmware obsoleto o la presencia en uso de contraseñas predeterminadas que deberían cambiarse.
Establezca si el empleado necesita acceso a la red interna de la organización o simplemente acceso a servicios y correo electrónico basados en la nube. Y tenga en cuenta si debe otorgarse el mismo nivel de acceso a los datos confidenciales disponibles en el sitio cuando el empleado está trabajando de manera remota.
Fuente: iProfesional