El trabajo remoto, inicialmente adoptado como respuesta a la disrupción causada por la pandemia, ha consolidado su arraigo, evolucionando frecuentemente hacia un modelo híbrido. Con la difuminación de los límites entre el ámbito laboral y el doméstico, la demanda de acceso a recursos laborales desde cualquier ubicación y dispositivo se ha vuelto imperativa para muchas personas. Esto ha propiciado el uso de dispositivos personales tanto para realizar tareas laborales como para acceder a datos corporativos. Sin embargo, esta práctica conlleva riesgos significativos para la ciberseguridad, especialmente si no se respalda con medidas sólidas de protección. En la pequeña y mediana empresa es bastante habitual esta práctica, puesto que no cuentan con los mismos recursos económicos que las grandes, sin embargo, esta práctica conlleva riesgos significativos para la ciberseguridad, especialmente si no se respalda con medidas sólidas de protección online, por este motivo, en ESET hemos desarrollado ESET Small Business Security, la solución de ciberseguridad que aborda específicamente las necesidades de la pequeña empresa. Esta nueva solución es fácil de usar y ofrece diversas funciones adaptadas para salvaguardar las transacciones en línea, bloquear y localizar dispositivos en caso de pérdida o robo, gestionar contraseñas, proteger servidores, cifrar datos confidenciales y contrarrestar estafas de phishing, entre otras funcionalidades.
La importancia de blindar la información corporativa en la práctica del BYOD
“A pesar de que las preocupaciones relacionadas con los protocolos para integrar dispositivos personales en el trabajo no son precisamente nuevas, la creciente popularidad de esta práctica ha revitalizado la conversación sobre los desafíos en torno a la seguridad de los datos corporativos. Esto exige revisar y ajustar las normativas vigentes para que estén en sintonía con las dinámicas actuales del mundo laboral”, señala Josep Albors, director de investigación y concienciación de ESET España. “Adoptar una postura demasiado laxa hacia las políticas de seguridad de “Trae Tu Propio Dispositivo”, o BYOD por sus siglas en inglés, puede acarrear grandes riesgos para las empresas, ya que la presencia de dispositivos personales dentro de las redes corporativas crea una mezcla potencialmente explosiva”.
Seis estrategias para blindar la información corporativa en la práctica del BYOD
Desde ESET, compañía líder en ciberseguridad, desvelamos seis estrategias clave para mitigar los riesgos asociados al empleo de dispositivos personales en el trabajo, esenciales para proteger los datos corporativos en la práctica de políticas BYOD.
- Reducir la superficie de ataque corporativo: es esencial para las organizaciones realizar un inventario completo de los dispositivos que acceden a sus redes y establecer estándares de seguridad para garantizar una protección mínima. Las aplicaciones no autorizadas y el software no controlado en estos dispositivos representan riesgos significativos para la seguridad de los datos. Para mitigar este riesgo, las organizaciones pueden implementar medidas como listas negras, que prohíben el uso de aplicaciones o software específicos considerados peligrosos, o listas blancas, que permiten únicamente el uso de aplicaciones o software aprobados. Además, es importante explorar soluciones de gestión de dispositivos móviles que ayuden a mantener la seguridad de la red corporativa sin invadir la privacidad de los empleados.
- Actualizar el software y los sistemas operativos: considerando la constante detección de nuevas vulnerabilidades en software y sistemas operativos, es crucial instalar regularmente las actualizaciones de seguridad requeridas, ya que, habitualmente, tienen como objetivo corregir las vulnerabilidades. Cuando los empleados son responsables de actualizar su propio software, las organizaciones pueden fomentar la diligencia al recordarles la disponibilidad de parches, proporcionar guías y monitorear su aplicación. Además, el uso de software de gestión de dispositivos también ayuda a reforzar la seguridad al facilitar la instalación de actualizaciones y supervisar el cumplimiento de los empleados.
- Establecer una conexión segura: para proteger a los empleados remotos y los datos corporativos, las organizaciones deben adoptar medidas de seguridad robustas, como el uso de redes privadas virtuales (VPN) correctamente configuradas que permitan un acceso seguro a los recursos empresariales -como si el empleado estuviera en la oficina-, minimizando así la vulnerabilidad ante posibles ciberataques. Además, el aumento del trabajo remoto ha elevado el uso y los ataques al Protocolo de Escritorio Remoto (RDP). Los ciberdelincuentes a menudo explotan las configuraciones inseguras de RDP o las contraseñas débiles para infiltrarse en las redes empresariales. Para contrarrestar esto, es vital asegurar el acceso RDP con medidas como desactivar el RDP accesible desde Internet, y exigir contraseñas fuertes y complejas para todas las cuentas susceptibles a través de RDP.
- Proteger los datos ante actores maliciosos: almacenar información confidencial de la empresa en dispositivos personales conlleva grandes riesgos, especialmente si el dispositivo se extravía o es sustraído y carece de protección mediante contraseña o cifrado de disco duro. Además, permitir el uso de estos dispositivos por parte de terceros, incluidos miembros de la familia, puede exponer aún más los datos críticos de la empresa, ya sean almacenados localmente o en la nube. En este sentido, implementar medidas básicas como la obligatoriedad de contraseñas seguras, bloqueo automático, y educar a los empleados sobre la importancia de restringir el acceso a sus dispositivos, son pasos clave para salvaguardar la información corporativa. Adicionalmente, para minimizar el acceso no autorizado a datos sensibles, las organizaciones deben cifrar los datos tanto cuando estos se encuentran en tránsito como en local, aplicar la autenticación multifactor y asegurar las conexiones de red, protegiendo así efectivamente los activos digitales de la empresa.
- Videoconferencias seguras: es crucial elegir software que ofrezca fuertes medidas de seguridad, como cifrado de extremo a extremo y contraseñas para las llamadas, para mantener la información lejos de accesos no autorizados. Además, actualizar regularmente el software de videoconferencia es clave para evitar vulnerabilidades y mantener seguras las comunicaciones empresariales.
- Contar con un software de ciberseguridad robusto y multicapa: con funciones clave como la defensa contra las últimas versiones de malware, la protección de datos corporativos en caso de pérdida o robo del dispositivo, y el mantenimiento de la conformidad con las políticas de seguridad de la empresa, este tipo de software no solo mitiga riesgos significativos, algo que se traduce en ahorro de tiempo y dinero al prevenir problemas antes de que sucedan. Además, complementar esta tecnología con copias de seguridad regulares, verificando su estado periódicamente, junto con ofrecer concienciación en materia de ciberseguridad al personal, son pasos críticos.
“Estas estrategias son esenciales para prevenir el robo de propiedad intelectual o el secuestro de archivos corporativos para solicitar un posterior rescate o estafas financieras, entre otras cosas, cuando se utilizan dispositivos personales en el ámbito laboral. No obstante, en la medida de lo posible, resulta mucho más efectivo proporcionar equipos desde la propia empresa que cuenten con soporte de TI que asegure su correcto funcionamiento”, concluye Albors.
Christian Ali Bravo. Accede al artículo en inglés aquí.