Preparación para el trabajo a distancia a gran escala tras COVID-19

Por Elad Shapira, Jefe de Investigación de Panorays

A raíz del coronavirus, las empresas están trasladando a sus trabajadores a lugares remotos para mantener los negocios en marcha. Se trata de un intento de mantener a los trabajadores sanos y semicuidados para protegerse de la propagación de una pandemia mundial que no sólo es una amenaza para la salud, sino también para las economías del mundo. La lista de organizaciones mundiales que imponen políticas de trabajo desde casa incluye a Microsoft, Apple, Google y Amazon, y esa lista crece cada día.

Esta repentina transición de la empresa a trabajo a distancia también está presentando una ola de desafíos de ciberseguridad. Los equipos de seguridad tienen que hacer frente a problemas como la falta de apoyo estratégico, la conexión de los empleados a través de sus propios dispositivos y la lucha contra el aumento de los ataques de phishing. Además, las mismas preocupaciones se extienden por la cadena de suministro, donde los proveedores se enfrentan a los mismos retos de seguridad.

Las empresas deben abordar adecuadamente estos retos para conseguir mantener la actividad habitual.

Asegurar el acceso a los datos

Una de las tareas esenciales de la seguridad empresarial es proporcionar un acceso seguro a las cuentas y datos corporativos sin arruinar la productividad por completo. Esto incluye limitar el acceso a la información sensible a una base de necesidad de uso. Las empresas también necesitan desplegar parámetros de seguridad adicionales, como la autenticación de dos factores o controles de acceso adicionales. Esto reducirá la probabilidad de abuso de contraseñas o de ataques relacionados con las credenciales.

Las empresas necesitan educar a sus empleados sobre las amenazas en línea que pueden ocurrir cuando se trabaja desde casa. En particular, los empleados deben ser conscientes de los ataques de phishing y de las solicitudes de pago fraudulentas. Más allá de la comunicación, los empleados deben recibir una formación sobre seguridad en línea que se centre específicamente en los riesgos exclusivos del trabajo desde casa.

Los enlaces de la cadena de suministro

Mientras que las grandes empresas pueden tener los conocimientos y las tecnologías necesarias para apoyar un entorno de trabajo desde casa, las empresas más pequeñas pueden no tenerlos. Esto supone una amenaza para la ciberseguridad de las empresas que dependen de proveedores no equipados para gestionar estos nuevos riesgos.

Sin embargo, las cadenas de suministro son fundamentales para las operaciones empresariales. Para garantizar que la cadena de suministro siga funcionando también en tiempos de prácticas de trabajo desde casa, las empresas deben evaluar la preparación de sus proveedores para un lugar de trabajo remoto seguro.

He aquí algunas preguntas que una empresa debería plantear a los proveedores que han pasado a trabajar desde casa:

  1. ¿Existen prácticas y políticas de trabajo a distancia?
  2. ¿Cuántos empleados tienen ya capacidad de trabajo a distancia?
  3. ¿Qué parte de la actividad diaria es apta para el trabajo a distancia hoy en día?
  4. ¿Cuál es el mecanismo de acceso remoto de la empresa?
  5. ¿Qué dispositivos de los clientes pueden acceder a los activos digitales de la empresa de forma remota?
  6. ¿Aplica la empresa la 2FA a los empleados con capacidad de trabajo remoto?
  7. ¿Impone la empresa contraseñas seguras para todos los empleados con capacidad de trabajo remoto?
  8. ¿Cómo controla la empresa el acceso a los servicios internos para el trabajo a distancia?

La lista completa de preguntas se encuentra en: https://www.panorays.com/blog/service-announcement-the-right-questions-to-ask-your-vendors-in-times-of-large-scale-remote-working/

Este proceso no puede escalar si se hace manualmente; debe ser automatizado. Es importante que las empresas se aseguren de que su proceso de gestión de la seguridad de los proveedores les proporcione la información pertinente sobre sus deficiencias en materia de seguridad, así como la forma de subsanarlas.

Sobre el autor

Elad Shapira, jefe de investigación de Panorays, tiene amplios conocimientos de ciberseguridad a todos los niveles, desde la inversión y el hacking de bajo nivel hasta las aplicaciones web y la ingeniería social. Elad y su equipo se encargan de imitar el comportamiento de los hackers investigando nuevas técnicas y vectores de ataque para probar automáticamente la postura de seguridad de las empresas de forma masiva. Elad es un orador reconocido, habiendo presentado en varias conferencias de hacking como BlueHat IL, ReCon y Defcon meet-ups. Antes de Panorays, Elad era el líder del equipo de investigación de seguridad móvil en las tecnologías de AVG.