Ciberhigiene en 2023: Parte 2 -- Higiene cibernética para espacios de trabajo remotos e híbridos

Introducción

En la primera parte de esta miniserie, identificamos que mostrar a los usuarios de todos los días cómo asegurar los datos puede no ser tan importante como resaltar el porqué de la importancia de la seguridad de los datos. El "porqué" ayuda a los usuarios cotidianos a valorar e internalizar la necesidad de higiene cibernética al demostrar el interés personal, lo que puede mejorar la participación. Ahora, cerremos la serie con dos temas pertinentes del 2023.

Adiós al perímetro

Los factores externos en evolución, incluida la pandemia, forzaron un cambio en los hábitos laborales: los espacios de trabajo remotos, y subsecuentemente híbridos, se han convertido en la norma y es muy probable que permanezcan. Entre los afortunados que siguieron trabajando durante la cuarentena, muchos convirtieron una parte de su casa, la mesa del comedor o la cama en su nueva oficina.

Los avances de la tecnología, como los dispositivos móviles y las conexiones de internet residenciales de alta velocidad, permitieron la operación de una buena parte de las industrias de servicio. Pero, con los beneficios y la eficacia vienen riesgos potenciales: en este caso, la posible erosión del perímetro de seguridad, que podría generar un impacto financiero y operativo que no se experimentó anteriormente en un entorno donde solo hay oficinas.

Desde una perspectiva financiera, se generan costos mediante la adquisición de herramientas de seguridad (por ejemplo, monitoreo, conexión de VPN, dispositivos). En el futuro, los líderes financieros y de la seguridad de la información, en conjunto, deberán manejar los gastos comerciales y determinar qué soluciones cumplen con las demandas para dar un retorno de la inversión apropiado.

Los impactos operativos para los usuarios cotidianos son el resultado del cambio en los hábitos de trabajo. Un espacio de trabajo profesional tiene controles de seguridad inherentes que no se encuentran en una oficina hogareña, un hotel ni tampoco en un espacio de trabajo híbrido (por ejemplo, los acuerdos de "hoteling" en las oficinas pueden reducir los gastos inmobiliarios, pero también pueden acarrear riesgos de seguridad ocultos o involuntarios). ¿Cómo se minimizan estos riesgos?

Vulnerabilidades potenciales en espacios de trabajo remotos e híbridos

Las oficinas en el hogar son convenientes, pero pueden generar un comportamiento más relajado. "¿Quién va a entrar en mi casa y va a meterse en mis archivos digitales de todos modos?"

Bueno, las personas con malas intenciones seguirán un rastro de migas de pan si es atractivo, y un espacio de trabajo remoto es atractivo debido a las potenciales áreas blandas para explotar como:

• Enrutadores y dispositivos hogareños con poca seguridad.
• Falta de precisión o pereza al establecer protocolos de seguridad (por ejemplo, no usar acceso de VPN, usar medios o dispositivos no autorizados para el trabajo como forma de colaboración).
• Fuerza de trabajo distraída o inaccesible que causa degradación operativa.
• Ataques de ingeniería social que se aprovechan de una fuerza de trabajo dispersa.
• Un acceso excesivo a los datos o datos con poca seguridad debido a un establecimiento inseguro.

Si bien muchas cuestiones se pueden mantener mediante programas empresariales, como administración del dispositivo y controles de identidad, se pueden agregar controles adicionales y soporte.

Buenas prácticas de higiene cibernética para trabajadores remotos e híbridos

Algunas buenas prácticas para mitigar los riesgos asociados con los trabajadores remotos e híbridos son:

• VPN obligatoria. Esto implica un costo, pero puede compensarse con la reducción de gasto del inmueble.
• Soporte de oficina en el hogar. Asistir a los usuarios para bloquear o separar los sistemas en el hogar (por ejemplo, cambiar las contraseñas predeterminadas en los enrutadores u ocultar la visibilidad de WiFi para que solo los dispositivos aprobados puedan acceder a la red).
• Facilitar la colaboración. Los protocolos se eluden para "facilitarse las cosas". Gestionar que el equipo de seguridad trabaje en conjunto con el equipo comercial para encontrar una forma segura y productiva de hacer negocios al mismo tiempo que se evitan los métodos de tecnología en la sombra (Shadow IT).

Como se mencionó en la parte 1 de esta serie, para lograr un entorno seguro se necesita más que tecnología; lograr un entorno seguro también requiere del interés personal y la responsabilidad personal. Por lo tanto, si se logran vincular los esfuerzos de control y soporte con el "porqué" de la importancia de la seguridad de los datos, esto permitirá motivar a los usuarios cotidianos para involucrarse personalmente.

Con esto en mente, cerraremos con algunas tácticas para ayudar a los usuarios cotidianos a prevenir los ataques tradicionales y los nuevos.

Valorar la privacidad para lograr la seguridad

Cualesquiera sean sus razones, las personas tienen actitudes diferentes hacia la privacidad digital. Pero con un poco de ayuda en el nivel organizativo, quizás se puedan lograr algunas conductas consistentes. Para los líderes de seguridad de la información y gestión de riesgo, tengan en cuenta que al promover la cultura de la privacidad personal, se puede generar un entorno de operación corporativa más seguro.

Recuerde, con la reducción de las protecciones dentro de la oficina, cada usuario expande la superficie de ataque. Incluso los controles informales, como caminar hacia el espacio de trabajo de un compañero, han desaparecido, lo que afecta la forma en que manejamos, tanto la información benigna como la información sensible. Por ejemplo: las charlas junto al dispensador de agua se han reemplazado por mensajes instantáneos en un grupo, pero las charlas junto al dispensador, generalmente, se olvidan con el tiempo, mientras que Internet nunca olvida.

Estos cambios representan brechas para los ataques de ingeniería social. Al haber perdido las instancias de la comunicación cara a cara, los usuarios cotidianos son más sensibles a la manipulación y, si bien, estas recomendaciones pueden parecer simples, son valiosas:

• Limite lo que llega a Internet. Ya sea que publique información personal (planes de viajes, cumpleaños, opiniones, etc.) en las redes sociales o en conversaciones digitales (por ejemplo, mensajes instantáneos, canales de mensajes, correos electrónicos, videollamadas, etc.) practique la discreción. En algún lugar, alguien podría estar mirando, acechando y recopilando esa información para usarla en su contra o en contra de su organización.
• Hacer amistades; usar el teléfono. Hace poco, acercarse al espacio de trabajo de otra persona para charlar era un procedimiento estándar. Llamar por teléfono no reemplaza esto, pero está cerca. Puede cortar un ataque incipiente y generar buenas relaciones interpersonales.
• Dudar está bien. ¿Aplica usted u otros empleados de la organización la prueba de "siento que algo está mal"? Una táctica de presión es territorio de alerta roja, pero incluso un comentario aparentemente inofesnsivo podría encender las alertas. ¿Acaso un extraño parece saber demasiado sobre usted? Si la persona que llama dice algo del tipo: "Oye, trabajo para la compañía X y vi que viajaste a [insertar ubicación] la semana pasada. ¡Qué bueno! ¿Podemos charlar sobre lo que ofrece tu compañía?", siéntase libre de responder: "Disculpe, ¿quién es usted?". Negarse a confiar ciegamente está bien.
• Esté atento a si nota algo raro. ¿Nota que los dispositivos funcionan mal? ¿Observa que los dispositivos funcionan de forma irregular? ¿Es difícil acceder a los programas y herramientas de productividad? Pecar de precavido es algo bueno porque los usuarios cotidianos, generalmente, no tienen la capacidad de distinguir la diferencia entre una dificultad técnica legítima o un ataque potencial. Levante el teléfono y pregúntele a alguien que sepa más.

Conclusión

A primera vista, estas tácticas podrían no verse como soluciones francas de seguridad cibernética, pero lo son porque se enfocan en las partes pasadas por alto (en negrita) de la siguiente tríada: personas, procesos y tecnología. Estos tres elementos trabajan en conjunto para lograr una buena higiene cibernética. Los elementos en negrita necesitan atención, ya que la seguridad cibernética se ha enfocado tradicionalmente en la tecnología y suele pasar por alto las personas y los procesos.

Para cerrar, permítanos usar una referencia a los deportes para demostrar cómo una pequeña ganancia progresiva puede generar grandes beneficios: si usted mueve la pelotra tres yardas y media en cada partido, cada posesión termina en un touchdown. Así es como se gana la batalla de la seguridad cibernética.

Reconocimientos

​​​​​​​Nos gustaría dar las gracias a nuestros colegas George Platsis y Ron J. Yearwood, Jr., CISSP, CISM, CIPM, por sus conocimientos y experiencia, que fueron de gran ayuda en esta investigación.

Más sobre los colaboradores de J.S. Held

George Platsis es un director sénior que presta servicios de Descubrimiento e Investigación Digital en la práctica de Investigaciones Globales de J.S. Held. El Sr. Platsis es un profesional de los negocios, autor, educador y orador público con más de 20 años en el emprendedurismo. Ha diseñado y proporcionado soluciones, además de dirigir equipos, para mejorar la preparación ante ataques cibernéticos y brindar programas de respuesta a incidentes específicos para unidades comerciales o a nivel empresarial, y ha fortalecido a una serie de clientes incluidos en la lista Fortune 100 en el campo de la atención médica, medios, servicios financieros, fabricación, defensa e industrias comerciales electrónicas, lo que también incluye a brindar soporte a clientes de pequeñas y medianas empresas. Asimismo, aporta su experiencia en la gestión de emergencias e investigaciones complejas a empresas y particulares que deseen reducir sus riesgos. George es un director de seguridad de la información certificado.

Puede contactarse con George enviando un correo electrónico a [email protected] o llamando al +1 321 346 6441.