Cuando llega una crisis, hay que estar preparado para pasar al teletrabajo. Esa es solo una de las lecciones que la pandemia de la COVID-19 ha enseñado a empresas de todo el mundo. El teletrabajo debe ir siempre de la mano de medidas de ciberseguridad adicionales, y aquí veremos cómo puedes conseguirlas.
Algunas empresas, sobre todo las de tecnología, se pasaron al teletrabajo de un modo bastante rápido. Sin embargo, ese no ha sido el caso para muchas pequeñas y medianas empresas, las pymes, que no tenían experiencia previa con la digitalización y espacios de trabajo flexibles. La situación actual apunta por la apuesta del teletrabajo híbrido, trabajar unos días en la oficina y otros a distancia, en una encuesta publicada por Cepsa y la Fundación Másfamilia se indica que el 68 % de los españoles está a favor de trabajar a distancia combinado con acudir a la oficina. También los altos cargos lo ven con buenos ojos, pues un 44 % de los directivos encuestados este mismo año para un estudio realizado por Vodafone se mostraba a favor de aplicar esta opción. Por tanto, la demanda de espacios de trabajo flexibles va en aumento y las pymes también tendrán que adoptar, si todavía no lo han hecho, por políticas encaminadas a la digitalización, empezando por los pasos básicos pero esenciales.
1. Equipa a todos los empleados tecnológica y psicológicamente
Junto con la tecnología, la psicología desempeña un papel fundamental en el teletrabajo. Si tus empleados se esfuerzan en mantener la moral en el trabajo, intenta compartir algunas sugerencias sobre cómo ser productivo en casa y cómo adoptar una buena rutina.
Para algunos empleados, la oficina remota puede ser su primer encuentro con nuevas soluciones digitales. ¿Cómo puedes asegurarte de que la nueva configuración en línea será un éxito para el personal? El ingrediente clave es la motivación: “Tienes que conocer a tus empleados, sus valores y actitudes, y dirigirte a ellos en consecuencia. Las personas necesitan espacio para su autorrealización y debes asignarles tareas con las que disfruten. Gracias a esto, trabajarán para dar lo mejor y utilizarán las nuevas herramientas con entusiasmo”, comenta Ján Kulich, director de TI en ESET.
2. Céntrate en seguridad adicional para endpoints
Fuera de la red de la empresa, los dispositivos son mucho más vulnerables a los ciberataques y es más probable que los empleados sean víctimas de los hackers. La experiencia con la COVID-19 lo explica todo: según el reciente «Informe de ESET sobre amenazas - 1T 2020», el número de sitios web fraudulentos bloqueados en el 1T de 2020 se incrementó en un 21 % en comparación con el 4T de 2019. Esas amenazas incluyen varios tipos de programas maliciosos, estafas y sitios web de suplantación, muchos de los cuales aprovechan contenidos con temas relacionados con el coronavirus y nombres de dominio que atraigan a tantos visitantes como sea posible.
Por lo tanto, asegúrate de que todos los dispositivos están protegidos con una solución avanzada de seguridad de endpoints que incluya un módulo de protección de acceso web que detecte y bloquee sitios web con contenido malicioso. También necesitarás usar una solución de gestión de endpoints que te permita configurar y solucionar problemas remotamente, así como recibir notificaciones inmediatas sobre las anomalías detectadas. Si alguien intenta hackear los dispositivos de tus empleados, una reacción rápida puede ahorrarte muchos problemas.
SUGERENCIA: Divide a tus empleados en grupos diferentes y crea un entorno estandarizado que te permita hacer cambios y actualizaciones en todos los dispositivos de una vez.
A continuación, asegúrate de que tus empleados saben cómo crear una contraseña segura y utilizar la autentificación multifactor. Estas acciones impedirán que visitas a las que nadie ha invitado accedan a documentos importantes o que usen las contraseñas robadas para tomar el control de las cuentas de los empleados. Proteger las cuentas con contraseñas seguras puede parecer una recomendación básica, pero como han demostrado varios estudios, las contraseñas que más se utilizan todavía siguen siendo «123456», «111111» o, simplemente, «contraseña».
La ciberconcienciación importa, sobre todo cuando se trabaja remotamente. Recuerda a tus empleados que no deben dejar sus dispositivos desatendidos en lugares públicos y que tienen que cerrar la sesión cuando no utilicen sus dispositivos. Estas acciones también pueden ayudar a impedir que los niños envíen mensajes de correo electrónico, divertidos, pero poco apropiados, a compañeros y jefes, o que cambien tu configuración.
3. Garantiza la accesibilidad, pero no te olvides de comprobar quién se lleva qué y a dónde
Quizá tus empleados solo necesitan utilizar servicios en la nube y correo electrónico, recursos a los que se puede acceder fácilmente y sin medidas especiales de seguridad. Pero ¿qué ocurre si necesitan acceder a tu red interna de la empresa? En ese caso, una conexión con una red privada virtual, o VPN, es un requisito indispensable. Entre otras ventajas, impide los ataques de tipo «Man in the middle», que pueden amenazar gravemente tu seguridad.
De preferencia, los empleados solo deben utilizar los dispositivos de la empresa, incluso cuando trabajen remotamente, y deben tener en cuenta todos los dispositivos externos adicionales que utilizan, tanto si son unidades de disco duro, discos USB o tarjetas SD. Si necesitan utilizar sus ordenadores privados, equipa a tus empleados con las mismas soluciones de seguridad de los endpoints que proporcionas para los dispositivos de la empresa.
También es bueno seguir una regla sencilla: cuanto más material descargan tus empleados de Internet, mayor es la probabilidad de que un archivo infectado se abra camino hasta sus ordenadores. Por lo tanto, limita la capacidad de descargar, copiar y almacenar datos.
Los dispositivos también pueden quedar expuestos con las visitas a sitios web que no son de fiar o al hacer clic en conexiones fraudulentas. Al trabajar desde casa y no tener cerca a otros compañeros, es más probable que los empleados asuman riesgos. Una posibilidad de limitar el acceso a contenido que podría ser dañino es utilizar máquinas virtuales: es una solución más sofisticada, pero a largo plazo puede mejorar la seguridad de los empleados remotos.
Algunos de los ataques más habituales contra personal remoto
Ataques de suplantación de identidad: La suplantación de identidad, o phishing, es una forma de ataque de ingeniería social en el que el delincuente suplanta a una entidad de confianza y solicita que la víctima haga clic en una conexión malintencionada o que visite un sitio web poco fiable.
Estafas: Pueden abarcar desde fraudes a tiendas electrónicas y ofertas falsas. Durante la COVID-19, las estafas más habituales incluían tiendas electrónicas falsas de venta de equipos médicos que el cliente nunca recibía o que eran de calidad inferior.
Ataques que ponen en riesgo el correo electrónico de la empresa (BEC): Una petición falsa enviada por una persona malintencionada que solicita la transferencia urgente de fondos, sin la capacidad de validar la solicitud en persona.
Ataques de tipo «Man in the middle» (MITM) : Un ataque en el que el hacker intercepta la comunicación entre dos partes sin que se note. Los cibercriminales pueden supervisar y controlar las conversaciones, así como los intercambios de archivos.
Ataques con programa malicioso: Cualquier ataque que busca hacer daño, espiar o robar en dispositivos instalando troyanos, puertas traseras, software espía, mineros de monedas virtuales y otros programas maliciosos. Especialmente perjudicial es el ransomware, que cifra los datos del usuario y exige el pago de un rescate que puede o no llevar a la restauración de los datos cifrados.
4. Enfoque en una comunicación eficaz
Cuando se trabaja fuera de la sede de la empresa, la comunicación puede complicarse. Por lo tanto, asegúrate de preguntar a menudo al empleado si está contento con la nueva realidad de su trabajo, y utiliza apps de confianza que faciliten estar en contacto de modo virtual. También puedes implementar herramientas colaborativas, que son útiles para ayudar a organizar el trabajo en equipo y permitir que los empleados estén al día sobre qué hacen sus compañeros.
A medida que empieces a integrar nuevas soluciones digitales, algunos empleados pueden necesitar una orientación exhaustiva y se plantearán muchas preguntas. Responde a todas ellas con paciencia, explica las ventajas del teletrabajo y, si es posible, crea una dirección de correo electrónico específica a la que los empleados pueden enviar sus consultas.
Tus tareas iniciales para digitalizar el lugar de trabajo pueden ser difíciles, pero el esfuerzo bien vale la pena. En los meses y años venideros, los puestos de trabajo flexibles no solo serán una ventaja competitiva que puede atraer al talento, sino también una necesidad para que las empresas puedan sobrevivir a una crisis en el futuro.