Por Peter Bäckman, director de Seguridad Corporativa de INICIA y Assistant Regional Vice President for Region 7B de ASIS
Cuando los empleados trabajan de forma remota, por lo general, no empacan toda la oficina y su seguridad tecnológica para la casa. Esto significa que pueden recurrir al uso de smartphones personales, IoT e impresoras domésticas para realizar su trabajo.
Trabajar desde casa sin medidas de seguridad corporativa establecidas puede potencialmente conducir a violaciones de datos, fraude de identidad y una serie de otras consecuencias negativas. Si bien trabajar desde dispositivos personales puede hacer que los empleados se sientan libres y flexibles, estos dispositivos pueden presentar riesgos de seguridad cibernética.
Como podemos aprender del reciente hack a Facebook, donde la información privada de más de 533 millones de usuarios fue violada y hecha pública, el uso de las redes ha traído grandes beneficios a nuestras vidas personales y profesionales, pero conlleva riesgos que pueden poner tu comunidad y tu empresa en riesgo. Recuerda: al momento que te des cuenta de que ocurrió un hack, y aún más si se hace público, quiere decir que el atacante tiene meses dentro tu sistema buscando información valiosa y confidencial.
Factores de riesgo y amenazas del uso de las redes sociales
1. Robo de Identidad
El robo de identidad es la principal amenaza para muchos usuarios de redes sociales, ya que millones de usuarios en línea utilizan su información personal para registrarse en una o más plataformas de redes sociales. Una fuente tan rica de información con datos personales es uno de los objetivos más fáciles para muchos ciberdelincuentes.
Muchos usuarios también reciben información sobre su tarjeta de crédito o débito y usan esas tarjetas para comprar diferentes productos, artículos o servicios a través de estas plataformas de redes sociales. Esta es la razón por la que los ciberdelincuentes de todo el mundo intentan continuamente ingresar a los datos personales de muchos usuarios de esas plataformas de redes sociales.
¿Qué podemos hacer?
Capacitar a los empleados sobre cómo detectar y evitar los correos electrónicos de suplantación de identidad puede reducir en gran medida el riesgo de que los correos electrónicos de suplantación de identidad supongan para la seguridad de los datos de la empresa. Para construir un programa integral de capacitación en concientización sobre seguridad cibernética, implementarlo desde el momento en que los nuevos empleados entren por la puerta.
2. Revelar información personal o confidencial
En el mundo de las redes sociales, y más aún ahora que el trabajo remoto se ha vuelto parte de la normalidad, no es simple discernir para el empleado que puede compartir en sus redes y que no. Por ejemplo, un empleado puede encontrar divertido compartir una foto donde se vea la pantalla de sus computadoras o pueden revelar su locación, lo cual puede facilitar el trabajo de encontrar vulnerabilidades cibernéticas.
¿Qué podemos hacer?
Al educar a los empleados sobre las mejores prácticas de uso de redes sociales, así como información actualizada sobre el phishing y seguridad cibernética desde el primer día y educación continúa con boletines informativos, pruebas de phishing y capacitaciones periódicas, se inculcará en toda la empresa una cultura laboral de seguridad cibernética sólida.
3. Contraseñas débiles
Incluso si su empresa utiliza VPN, firewalls y otro software de seguridad cibernética para proteger su red remota, el error humano entra en juego cuando los empleados protegen sus cuentas de redes sociales con contraseñas débiles.
Los piratas informáticos saben que el error humano es más fácil de explotar que tratar de superar un software de seguridad sofisticado, por lo que intentarán descifrar las contraseñas de las cuentas para acceder a información confidencial de la empresa. Recuerda: Aunque de manera personal tomemos medidas de seguridad, la red misma está sujeta a vulnerabilidades.
¿Qué podemos hacer?
Las políticas de contraseñas pueden ayudar a fomentar una cultura de responsabilidad personal en su organización. Las frases de contraseña y la prohibición del uso de información personal y la repetición de contraseñas para iniciar sesión en la cuenta son cláusulas de política de contraseñas recomendadas.
Trate de agregar una cláusula en su política de contraseñas que desaliente la escritura de contraseñas. Si los empleados deben escribir contraseñas para recordarlas, deberían considerar un programa seguro de almacenamiento de contraseñas.
Cuando se trata del uso de sus smartphones, la mayoría de la gente no piensa en ponerle encriptación, especialmente cuando se trata de datos tan banales como notas de audio o conversaciones por chat con sus colegas. Sin embargo, cuando el trabajo se realiza desde un teléfono celular personal, por ejemplo, haciendo inicios de sesión en cuentas de redes sociales comerciales asociadas a la empresa, los piratas informáticos pueden acceder a estos datos a menos que el teléfono esté encriptado.
Los sitios de redes sociales están destinados a conseguir tantos usuarios en una plataforma como sea posible, y para los atacantes hay un gran retorno de inversión en perseguirlos. Este tema es una oportunidad para que los líderes de empresas y gubernamentales reorienten la atención hacia la seguridad de la información y la gestión de riesgos involucrados en el trabajo remoto.
En las palabras del experto en ciberseguridad y colega, Andy Watkins-Child: “Vivimos en una economía global, digital y dependiente de los datos, donde los datos tocan todos los aspectos de las operaciones de la empresa; esto hace que la gestión del riesgo cibernético sea un riesgo para toda la empresa”.