Tecno Fans

Fans de la tecnología.

Fri. Aug 30th, 2024
Moviles

Consideraciones para la seguridad de los espacios de trabajo en evolución

By Jose Martinez Dec 7, 2023

En julio de 2021, escribí un artículo para Computer Weekly sobre lo que los equipos de seguridad como el mío debían considerar cuando los empleados regresaban a la oficina. En aquel entonces, todos enfrentamos varios desafíos. Uno de ellos era desde dónde podían trabajar nuestros empleados. Básicamente, se dividió en tres categorías:

  • Regreso obligatorio a la oficina;
  • Trabajar permanentemente desde casa;
  • Mezcla híbrida de los dos, ya sea así de flexible o con un número mínimo de días en la oficina.

Sin reabrir el debate sobre si trabajar desde casa es más productivo que en la oficina o viceversa, lo que sí está claro es que ha habido un cambio en la mentalidad de los empleados sobre dónde trabajan. Las empresas que obligaron a los empleados a regresar a la oficina descubrieron que algunos no regresaban y se fueron a empresas que ofrecían más flexibilidad. Hablando con algunos de mis colegas, algunos prefieren estar en la oficina cuando colaboran con otros. Algunos prefieren estar en casa para concentrarse en asuntos que requieren cierto grado de concentración y evitar el carácter algo interrumpido de la oficina.

Cuando se trata de seguridad y protección de datos, dónde trabaja un empleado y qué equipo utiliza puede conllevar riesgos considerables. Por ejemplo:

  • Trabajar desde un área pública, como una cafetería o un espacio de coworking;
  • Trabajar mientras viaja;
  • Trabajando en el extranjero;
  • Usar un teléfono personal para mantenerse en contacto con su equipo mientras está fuera.

Entonces, ¿qué deben considerar los profesionales de la seguridad como nosotros para abordar estos asuntos?

En primer lugar, debemos asegurarnos de que nuestras políticas y procedimientos estén actualizados y describan claramente lo que es y lo que no es aceptable, tanto en términos de dónde trabajan los empleados como de cómo, con consecuencias claras en caso de incumplimiento. No es bueno que las empresas que dicen cumplir con ISO 27001, SSAE 18 o el marco COBIT de ISACA tengan empleados que no los cumplan. Si bien es posible que en ninguno de estos se establezcan requisitos específicos para el trabajo remoto, contar con lo siguiente podría ayudar a prevenir incidentes de seguridad o protección de datos:

  • Documentar una política de trabajo remoto. Esto debería estar separado de una política de trabajo desde casa, por lo que podría cubrir aspectos como la comunidad y el trabajo fuera de casa o en el extranjero;
  • Del mismo modo, documente una política de dispositivos personales, indicando qué está permitido y qué no;
  • Asegúrese de que todas las políticas y procedimientos se comuniquen claramente a los empleados para que no haya confusión y tenga un proceso claro sobre cómo los empleados deben realizar solicitudes relacionadas;
  • Se recomienda encarecidamente contar con un proceso de autorización para que las partes interesadas clave participen y puedan aprobar las solicitudes, como los gerentes de línea, seguridad, TI y asuntos legales.
  • Disponer de medios para documentar y realizar un seguimiento de los empleados que trabajan en el extranjero. Esto podría ser tan simple como una hoja de cálculo que detalla las fechas desde/hasta las cuales están lejos;
  • Si aún no lo ha hecho, habilite las alertas de seguridad para que le notifiquen si se ve a empleados fuera de su país de trabajo típico o en países de alto riesgo, para que pueda suspender sus cuentas si es necesario;
  • Trabaje con su equipo legal o busque asesoramiento legal independiente para garantizar el cumplimiento contractual. Si un contrato de cliente prohíbe trabajar o ver sus datos desde jurisdicciones específicas, entonces a cualquier empleado que se dirija a esas áreas se le deberá revocar el acceso a ese cliente específico hasta que regrese;
  • Revise su registro de riesgos y agregue estos factores si aún no están enumerados. Definir el riesgo residual que está dispuesto a aceptar le ayudará en cualquier decisión futura. Los riesgos aparecen y aumentan constantemente, por lo que es vital que revise este registro y los riesgos asociados con regularidad.

También debemos asegurarnos de que se establezcan los elementos básicos. Estoy seguro de que no soy el único que ha estado en un tren y se ha sentado al lado de alguien que ha estado trabajando. En un caso, vi a la persona sentada a mi lado levantarse y dejar su computadora abierta con sus correos electrónicos a la vista. Un vistazo rápido me dijo que trabajaban en RR.HH. y el correo electrónico que estaban redactando se refería al despido de un empleado. Ahora bien, si tuviera intenciones maliciosas, podría usar esa información contra las personas involucradas o contra la empresa. Si sus empleados trabajan mientras viajan, asegúrese de que sepan que no deben dejar sus artículos desatendidos, no conectarse a puntos de acceso Wi-Fi inseguros y no revelar nada sensible en la pantalla o en conversaciones con otras personas al alcance del oído.

¿Qué podemos esperar en el futuro? Los requisitos para trabajar desde otros lugares continuarán, por lo que si tiene todo lo necesario para atender esas solicitudes, todo estará bien. Sin embargo, eso es sólo la mitad de la batalla. Debe asegurarse de que sus empleados comprendan por qué cuenta con estos procedimientos y los motivos por los que puede rechazar dichas solicitudes. También creo que habrá un aumento de empleados interesados ​​en utilizar sus propios dispositivos para trabajar porque no quieren tener dos portátiles o dos teléfonos. Nuevamente, tener claro lo que permite y lo que prohíbe es clave. Puede permitir un teléfono personal sólo para acceder al correo electrónico pero sin acceso a la red corporativa y prohibir el uso de una computadora portátil personal. Como hemos visto hasta ahora en la investigación de Covid en el Reino Unido, confundir los asuntos laborales y personales en un dispositivo puede generar serios desafíos legales y de seguridad, por lo que tener una separación clara protege no solo a su empresa sino también a los empleados individuales.

Con suerte, esto le ha proporcionado algunas áreas de consideración: es posible que ya haya pensado en algunas y en otras no. En aquellos casos en los que estos temas están empezando a convertirse en puntos de discusión más frecuentes, asegúrese de abordarlos lo antes posible para que no lo dejen a usted, a sus empleados o a su empresa expuestos a incidentes de seguridad o protección de datos. Esto no es de ninguna manera exhaustivo, así que consulte los marcos mencionados para ayudarlo en este viaje.

Simon Backwell, CISM, es gerente de seguridad de la información en Benefex y miembro del Grupo de Trabajo de Tendencias Emergentes de ISACA.

By Jose Martinez

Related Post

Moviles

Nobu Hotels se actualiza con infraestructura de red cableada impulsada por IA

Jose Martinez Aug 30, 2024
Moviles

Los dispositivos FWA habilitados para 5G se generalizan en EE. UU.

Jose Martinez Aug 29, 2024
Moviles

El gobierno del Reino Unido evalúa los riesgos y oportunidades de la evolución de las redes de comunicaciones

Jose Martinez Aug 28, 2024

Leave a Reply

Your email address will not be published. Required fields are marked *

You Missed

Tecnologia

OpenAI y Anthropic Sign llegan a acuerdos con el Instituto de Seguridad de IA de EE. UU.

Apple

The MacRumors Show: invitaciones al evento ‘Glowtime’ y Mac M4

Tecnologia

Las acciones de Alibaba suben al completar una revisión regulatoria de tres años

Apple

Spotify culpa a Apple por la pérdida del control del botón de volumen del iPhone en los dispositivos conectados