orm_icon

 

Gestión de riesgos operacionales

Identifica, mide, controla y monitorea fácilmente los riesgos operativos de tu organización →
isms-icon

 

Gestión
de seguridad de la información


Garantizar la confidencialidad, integridad y disponibilidad de tus activos de información →
compliance_icon-16

 

Cumplimiento
normativo


Lleva el control de todas las normativas y regulaciones que debe cumplir tu organización →
aml-17

 

Gestión de riesgos de lavado de activos

Identifica, establece controles y monitorea fácilmente los riesgos LAFT→
icono_auditoria

 

Auditoría

Mejora tus procesos de auditoría, apoya el cumplimiento normativo y genera valor a tu organización a través de la mejora continua →
como-hacer-un-flujo-de-gestión-de-eventos-Natalia

Próxima clase: Cómo hacer un flujo de gestión de eventos Jueves 04 de abril, 10:00 a.m. GMT-5.

header_academy_v2

Proteger la seguridad de la información en el teletrabajo

Por Mónica María Jiménez, en abril 27, 2022

Como proteger la seguridad de la información en el teletrabajo

Uno de los principales cambios que nos dejó la pandemia en términos laborales es la modalidad del teletrabajo o trabajo en remoto, que si bien existía desde antes, solo hasta hace un poco más de dos años (marzo de 2020) fue implementada masivamente por empresas de todo el mundo, que vieron en esta una rápida solución para continuar con sus operaciones y la prestación de sus servicios (las que no requerían de la presencialidad).

Y aunque esta modalidad de trabajo, que actualmente sigue siendo implementada por organizaciones de diferentes sectores y tamaños, representa grandes ventajas tanto para los directivos como para los empleados, es importante tener en cuenta que sin las medidas preventivas y de protección adecuadas puede poner en riesgo y generar impactos negativos en la seguridad de la información

Por eso, en el siguiente artículo te compartimos algunas recomendaciones para que directivos y empleados puedan proteger adecuadamente la seguridad de la información desde el trabajo en remoto o teletrabajo y puedan evitar la materialización de riesgos asociados a esta, por ejemplo ciberataques como suplantación de identidad, robo o secuestro de información, que traen consecuencias no solo operacionales y económicas sino también reputacionales. 

¿Qué deben hacer los directivos para proteger la seguridad de la información de la empresa?

Conscientes de que el teletrabajo es una modalidad que cada vez se mantendrá más en muchas organizaciones -algunas con modelos híbridos de trabajo-, es clave poner en práctica diferentes acciones y medidas sólidas que permitan gestionar el personal distribuido y, por supuesto, garantizar la seguridad.

Especialistas en seguridad de la información y ciberseguridad, recomiendan a los directivos de las empresas incorporar buenas prácticas para proteger sus activos de información y los datos almacenados en estos en la modalidad de trabajo en remoto:

  • Proveer las herramientas y equipos necesarios para que el trabajo desde casa pueda ser realizado de manera efectiva y segura por parte de los empleados. Estos equipos deben contar con medidas de seguridad robustas, como lo son los antivirus, el sistema operativo y las aplicaciones que cada empleado requiera para realizar sus funciones. 
  • Tener actualizado tanto el sistema operativo, los antivirus y las aplicaciones, para esto es recomendable tener configurado un control de actualizaciones periódicas.
  • Implementar para los colaboradores de la organización que trabajan en remoto canales de comunicación seguros desde internet, tal como SSL o VPN. Igualmente, incorporar técnicas de cifrado en los equipos y servidores de la empresa para garantizar en mayor medida la protección de la información. 
  • Gestionar correctamente el acceso que tienen los empleados a los datos de la empresa, esto implica conocer y tener claro quiénes pueden acceder a los diferentes documentos e información confidencial o crítica del negocio, así mismo, establecer los permisos que cada uno tiene, es decir, si pueden ver, comentar, editar y compartir información. 
  • Tener una política de almacenamiento de datos en los equipos de trabajo, al igual que para el almacenamiento en la red corporativa y en la nube (hacer uso de soluciones como Drive corporativo). Entre otras acciones, se puede restringir el uso de memorias y dispositivos externos, que si no son usados correctamente pueden contener virus informáticos que infectan los equipos. 
  • Realizar un monitoreo constante a la infraestructura de los servicios y/o aplicaciones que son utilizados por los trabajadores desde sus casas, esto para detectar posibles inconsistencias o acciones no autorizadas. 
  • Tener políticas sobre generación de backups / copias de seguridad periódicas para evitar pérdidas de información confidencial.
  • Configurar medidas de seguridad para salvaguardar la información corporativa en caso de pérdida o robo de equipos informáticos, por ejemplo: geolocalización, bloqueo de pantalla, borrado remoto de datos y seguimiento de las aplicaciones ejecutadas.
  • Contar con herramientas tecnológicas como un software que facilite la identificación y gestión de activos de información y los riesgos a los que estos están expuestos. Con el módulo de Seguridad de Información de Pirani ayudamos a las empresas a hacerlo simple e involucrar a las diferentes áreas. 
  • Capacitar, formar y concientizar a los empleados en la importancia de proteger y aportar desde cada uno de sus roles a la seguridad de la información de la empresa y más cuando trabajan desde sus casas u otros lugares. 

Por ejemplo, deben saber qué hacer para prevenir ataques cibernéticos, cómo actuar en caso de que se presente uno, informar oportunamente sobre posibles vulnerabilidades o fallas y conocer buenas prácticas para proteger y hacer un uso adecuado de los equipos y de la información a la que tienen acceso.

Esta recomendación nunca sobra, pues aunque se cuente con herramientas y plataformas de alto nivel para proteger la seguridad, sin un verdadero conocimiento y compromiso de parte de los empleados la seguridad puede verse quebrantada por los ciberdelincuentes. 

  • Desarrollar un plan de contingencia y continuidad que pueda ser aplicado en caso de ser víctima de un ciberataque. Hay que ser conscientes de que ninguna empresa está exenta de esto, por eso es clave estar preparados y ser una organización ciber resiliente. 
h_teletrabajo_seguridad_informacion

 

¿Qué deben hacer los empleados para proteger la seguridad de la información de la empresa?

La seguridad de la información no es responsabilidad exclusiva de los directivos de una organización, los colaboradores -directos o indirectos- también deben aportar para su protección. 

De hecho, la gran mayoría de amenazas y ataques cibernéticos que se materializan se dan por el desconocimiento que tienen los empleados sobre los riesgos a los que se enfrentan cuando navegan por internet, comparten información o realizan acciones poco seguras.

Algunas buenas prácticas que deberían implementar los empleados para proteger desde sus roles la seguridad de la información de las empresas son:

  • Trabajar en los equipos informáticos asignados por la empresa, es decir, evitar en la medida de lo posible realizar tareas laborales en equipos personales y, en caso de ser necesario, garantizar que estos cuentan con sistemas de protección seguros: sistema operativo, antivirus y aplicaciones actualizadas. 
  • Proteger adecuadamente las cuentas de correos electrónicos, redes sociales y accesos a otros datos. Para hacerlo, una buena recomendación es activar la verificación de identidad en dos pasos, también, utilizar contraseñas fuertes que incluyan más de 10 caracteres y que contengan mayúsculas, minúsculas, números y caracteres especiales como asteriscos, guiones, puntos u otros y no usar información personal (fechas, nombres de familiares, etc.).
  • Asegurar que los software y herramientas antivirus están constantemente actualizadas y no utilizar aplicaciones que no tengan garantías de seguridad, además, eliminar aquellas que por algún motivo ya no se requieren. 
  • Evitar conectarse a redes públicas y abiertas de WiFi porque, muchas veces, pueden no estar protegidas y esto facilita la labor de los ciberdelincuentes que podrían acceder a información confidencial de la empresa o instalar virus o códigos maliciosos en los dispositivos informáticos. 
  • Hacer uso de navegadores confiables, por ejemplo Chrome, que ayudan a proteger frente a sitios que pueden poner en riesgo la seguridad y frente a amenazas como malware. 
  • Cumplir las políticas existentes sobre generación de backups / copias de seguridad. Estas se deben realizar periódicamente y, sobre todo, de aquella información que es fundamental para la empresa, hacerlo permite recuperar más fácil los datos que se ven en riesgo en caso de presentarse una falla o un amenaza cibernética. 
  • Tener cuidado con los mensajes recibidos a través del correo electrónico o mensajes de textos. Verificar siempre que la dirección o el número del remitente es legítima y no ha sido alterada. Si hay duda de que la información es verdadera, una buena opción es contactar con la persona para confirmar que realmente fue quien envió el correo o el mensaje y evitar así caer en un caso de phishing y suplantación de identidad.
  • No instalar programas o extensiones de navegadores de fuentes desconocidas, generalmente estas pueden contener algún malware que infecte el equipo y permita el robo de información confidencial y de valor para la empresa. 
  • Garantizar que todos los archivos y documentos que se descarguen desde el correo electrónico sean analizados por el software antivirus que se tiene instalado en el equipo. 
  • Participar en las capacitaciones y jornadas de formación ofrecidas por la empresa para aprender y adquirir nuevos conocimientos sobre seguridad de la información y cómo protegerla correctamente. 
  • Ser consciente de la importancia de informar oportunamente al área encargada sobre posibles fallas o vulnerabilidades que tengan los equipos y sistemas para así tomar decisiones rápidas y evitar la materialización de amenazas.

    Algunas señales de alerta que pueden significar la presencia de un virus informático son: disminución de la velocidad del equipo, modificación o eliminación repentina de archivos, inconvenientes con las conexiones de red o aparición en el escritorio de íconos desconocidos.
  • Cumplir en todo momento la Política de Seguridad de la Información establecida por la organización, de esta manera no solo se contribuye a la protección de los datos sino también evita recibir llamados de atención o una sanción.

Nueva llamada a la acción

El teletrabajo o trabajo en remoto llegó para quedarse, por eso, es clave que las organizaciones adapten sus estrategias de seguridad a esta modalidad y garanticen que tanto directivos como empleados pongan en práctica recomendaciones como las compartidas en este artículo. 

La seguridad de la información es un compromiso de todos, independientemente de si se trabaja desde la oficina, la casa u otro lugar.

Escribe tu comentario