En un mundo post-Covid todas las organizaciones han tenido que adaptarse a nuevas formas de trabajar. La transición al trabajo remoto fue rápida, reactiva y no segura por diseño. Como resultado, ha requerido un desarrollo continuo para respaldar el entorno en evolución.
El trabajo flexible e híbrido sigue presentando nuevos riesgos para las organizaciones debido a la falta de visibilidad de la fuerza laboral. Para crear un entorno híbrido seguro, debemos ayudar a los usuarios a comprender por qué se necesitan controles, generar comprensión y responsabilidad, utilizar análisis de datos para informar la aplicación de controles y capacitación, e implementar controles técnicos.
Comprender por qué se necesitan controles
Trabajar desde casa es menos seguro que trabajar en un entorno de oficina y comunicar esto de manera efectiva a la fuerza laboral les ayudará a comprender por qué se están implementando controles de seguridad y capacitación adicionales. Esto significará que aceptarán más esas medidas.
Esto debería ser reforzado por altos directivos que actúen como modelos de comportamiento seguro. Deben proporcionar el contexto y los motivos de sus solicitudes, y dar ejemplo para alentar a las personas a priorizar la capacitación en seguridad cibernética y otras actividades relacionadas.
Proporcionar comunicaciones de ciberseguridad sobre la vida hogareña y el trabajo puede ayudar a los empleados a interactuar con el contenido. Los buenos hábitos en la vida personal de un empleado se trasladarán a su trabajo. Empoderarlos para que se eduquen a sí mismos y a sus amigos y familiares influirá e incorporará su comprensión sobre cómo actuar de forma segura en su organización.
Fomentar la comprensión y la rendición de cuentas
Las personas sólo pueden actuar de forma segura si tienen el conocimiento para identificar amenazas y la confianza para denunciarlas. Fomentar una cultura de seguridad positiva alentará a las personas a comportarse de manera segura independientemente del entorno en el que trabajen.
Debemos asegurarnos de que todos los empleados reciban capacitación relevante en seguridad cibernética sobre cómo trabajar de forma segura desde casa o desde ubicaciones alternativas fuera de la oficina. La formación periódica debería permitir el desarrollo continuo de habilidades de seguridad cibernética e incluir simulaciones de phishing. Existen muchas plataformas de concientización y capacitación en seguridad cibernética que se pueden utilizar para brindar capacitación atractiva y relevante a la fuerza laboral. Estas plataformas también respaldan las métricas de riesgo y permiten una capacitación específica, a menudo breve y oportuna, para grupos con mayor riesgo.
Se acabaron los días en los que se dejaba la seguridad en manos del equipo de TI o cibernético y es importante que las personas comprendan el papel que desempeñan en la seguridad más amplia de una organización, tanto en su comportamiento como en cómo hacen su trabajo.
La fuerza laboral debe comprender qué se espera de ellos y los procesos que deben seguir. Esto sólo es posible si existe un proceso establecido para definir un comportamiento de seguridad positivo y comunicarlo claramente. Informar de incidentes cibernéticos o enlaces sospechosos ayuda a desarrollar una comprensión más clara del panorama de amenazas. A su vez, esto respaldará una mayor conciencia sobre el equipo de seguridad cibernética y alentará a las personas a comunicarse con ellos si tienen alguna inquietud o pregunta.
Utilice análisis de datos para informar la aplicación de controles y capacitación.
El análisis de datos, combinado con la comprensión de las posibles amenazas, puede ayudar al equipo de seguridad cibernética a comprender las áreas de vulnerabilidad y riesgo. Esto les permite priorizar y perfeccionar los controles y la capacitación para gestionar el riesgo.
Para permitir que su empresa identifique comportamientos inseguros a medida que ocurren, su gestión de riesgos humanos debe ser proactiva e iterativa. Identificar riesgos en un entorno híbrido puede ser particularmente desafiante, pero los datos de comportamiento pueden proporcionar una comprensión más clara de la huella digital de un individuo y de sus acciones en todos los sistemas comerciales. El uso de estos análisis de comportamiento aumentará la visibilidad de los comportamientos inseguros en toda su fuerza laboral y brindará soporte “justo a tiempo” para evitar que los riesgos aumenten.
Sin embargo, al utilizar análisis de comportamiento, debe considerar cualquier restricción regulatoria, como las leyes de privacidad e intrusión. Si su organización opera en varias jurisdicciones, es posible que se apliquen regulaciones adicionales.
Implementar controles técnicos.
Además de educar a su fuerza laboral, es vital que los apoye implementando controles técnicos. Estos deben incluir el uso de software de protección de terminales en el dispositivo empresarial de cada usuario, plataformas de administración de correo electrónico basadas en la nube y la implementación siempre de controles de red privada virtual (VPN). Para garantizar que su organización no sea vulnerable a riesgos adicionales, también debe tener una política clara sobre el uso de Wi-Fi público y describir los riesgos asociados.
La implementación de esta mejor práctica ayudará a gestionar los riesgos del trabajo híbrido. Los datos correctos proporcionarán una mayor comprensión y eso permitirá una mejor aplicación de los controles y un mejor comportamiento. Adoptar un enfoque proactivo para influir en el comportamiento de seguridad le permitirá cuantificar y gestionar con precisión su riesgo humano. Esa gestión de riesgos humanos debe integrarse en la estrategia empresarial más amplia y actualizarse continuamente para reflejar la evolución del panorama de amenazas tanto para quienes están en la oficina como para quienes trabajan de forma remota.
Olivia Rofe es experta en ciberseguridad en PA Consulting.
