HPE entre los líderes de almacenamiento de Gartner
Estas herramientas de seguridad ayudarán a que los dispositivos personales y las cuentas de los empleados no amenacen a la empresa.
Por Tim Ferrill
Original de IDGNS
No es ningún secreto que los humanos son la mayor vulnerabilidad de cualquier red corporativa.
Ya sea que se trate de una incapacidad para administrar adecuadamente la complejidad de las contraseñas en múltiples sistemas, malos hábitos en las redes sociales o incluso una falta de conocimiento con cosas como el correo electrónico, compras en línea o uso de aplicaciones y software.
Un problema importante para las empresas – particularmente en un mundo posterior a COVID con tanta gente trabajando de forma remota – es el hecho de que estos desafíos de seguridad que enfrentan los empleados se extienden muy fácilmente a sus dispositivos personales, mientras que su visibilidad y control como TI corporativa no.
El truco, por supuesto, es encontrar una manera de ayudar a los empleados a protegerse a sí mismos como un medio para proteger mejor los recursos corporativos mientras se mantiene un presupuesto y se evitan las invasiones de la privacidad.
Una forma de hacerlo es alentar a los empleados a utilizar herramientas de seguridad personal como las que se enumeran a continuación.
Las organizaciones incluso pueden pagar por ellas u ofrecer incentivos para que los empleados las compren por su cuenta.
Veamos los 10 mejores herramientas de seguridad para trabajadores remotos:
1. Entrenamiento en ciberseguridad
De acuerdo, contar al entrenamiento entre las herramientas de seguridad puede ser una exageración, pero escúchame. Muchas empresas ya cuentan con algún tipo de capacitación en ciberseguridad, pero lograr que los empleados se den cuenta del riesgo que implica su vida personal y sus finanzas es una tarea ardua.
Considere la recompensa: hacer que los empleados inviertan en proteger sus propias vidas digitales da como resultado que los intereses corporativos se protejan como un beneficio secundario significativo.
Algunos proveedores ofrecen capacitación en ciberseguridad a diferentes rangos de precios y con diferentes áreas de enfoque.
Un área importante de enfoque en sus herramientas de capacitación debe ser ayudar a vender el valor de los hábitos digitales adecuados como herramientas de seguridad para el bienestar personal de un empleado y lograr que inviertan en protegerse en línea.
2. Carteras digitales (Wallets)
Aunque, tradicionalmente, no se consideran herramientas de seguridad, las billeteras digitales pueden ser útiles desde este punto de vista por un par de razones.
Por un lado, cuanto menos entre y salga una persona de su billetera física, menor será la oportunidad de que deje caer una tarjeta u otro documento (como una licencia de conducir o una identificación corporativa) y se convierta en la base de una identidad comprometida.
En segundo lugar, las billeteras digitales se pueden usar en línea en lugar de una tarjeta de crédito o como una forma de establecer un perfil sin crear una cuenta.
Esto ayuda a minimizar la huella digital de un individuo y restringe esa huella a los servicios que mantienen altos niveles de seguridad.
En muchos casos, es probable que los empleados ya tengan billeteras digitales disponibles como parte del sistema operativo de su teléfono inteligente (Apple Pay o Google Wallet).
Solo necesitan ser educados sobre el valor y, potencialmente, cómo configurarlo.
3. Monitoreo de crédito / identidad digital
La mayoría de las personas están familiarizadas con el monitoreo de crediticio que rastrea su historial para cosas como nuevas tarjetas de crédito o préstamos que, potencialmente, fueron creados para delincuentes.
El monitoreo de crédito proporciona un sistema de alerta temprana para una identidad comprometida, lo cual a su vez es potencialmente crítica para la seguridad personal y corporativa.
Una identidad comprometida puede hacer que los usuarios malintencionados tengan suficiente información sobre un empleado como para comprometer aún más las cuentas de correo electrónico de los usuarios o los teléfonos celulares y, luego, aprovecharlos para vulnerar recursos más críticos como las cuentas corporativas.
El monitoreo de identidad digital es similar, pero se enfoca en tipos específicos de información, algunos confidenciales (números de Seguro Social, cuentas bancarias y números de ruta o de tarjetas de crédito) y otros un poco más públicos como direcciones de correo electrónico y números de teléfono.
El objetivo de monitorear la identidad digital es que, si cualquier información de la cuenta (detalles financieros o un nombre de usuario y contraseña) se ve comprometido y se filtra en línea, se notificará dando oportunidad de tomar medidas correctivas como cambiar una contraseña o reemplazar una tarjeta de crédito.
4. Administradores de contraseñas
Las contraseñas han sido durante mucho tiempo la clave del reino corporativo y, aunque las empresas están tomando medidas para eliminar los riesgos relacionados con la autenticación basada en contraseñas, estamos muy lejos de deshacernos de ellas.
El lado del consumidor está en peor forma. Pocos servicios para el consumidor tienen opciones de autenticación sin contraseña y, en general, se limitan a los servicios ofrecidos por gigantes de la industria como Microsoft y Google.
La siguiente mejor opción es hacer todo lo que esté a su alcance para fomentar la administración adecuada de contraseñas: contraseñas únicas y complejas (no solo caracteres especiales, sino con la longitud suficiente para lograr la entropía suficiente) para cada servicio en línea.
Esperar que sus empleados sean capaces de gestionar esta tarea por sí mismos no es un principio, lo que lleva al requisito de un sistema de gestión de contraseñas.
Un buen administrador de contraseñas:
- Fomentará buenos hábitos en esta práctica
- Advertirá a los empleados cuando se utilice la misma contraseña en varias cuentas
- E incluso admitirá contraseñas seguras generadas a partir de caracteres aleatorios.
Muchas veces, los servicios de administración de contraseñas también ayudarán a monitorear su identidad digital, vigilando las credenciales de cuenta comprometidas disponibles en la web oscura o, advirtiéndole cuando los servicios que usa han sido violados (lo que solicita un cambio de contraseña).
5. Fichas de dos factores
Idealmente, todos usarían la autenticación de dos factores (2FA) para todas las cargas de trabajo críticas, pero como mínimo, los empleados deberían usar un factor adicional para cosas como el correo electrónico (que es en sí mismo un factor de autenticación de facto) y las cuentas financieras.
Hay sistemas 2FA como las contraseñas de un solo uso basadas en el tiempo (TOTP) con las que los empleados pueden simplemente aprovechar un teléfono inteligente, pero hay valor en los tokens de hardware como Yubico Yubikey que funcionan con una gran variedad de aplicaciones y servicios (tanto web-basados como locales).
También se ha descubierto que los tokens de hardware brindan una protección más sólida contra ataques dirigidos que, incluso, los autenticadores basados en aplicaciones, según un estudio de Google que compara el éxito de diferentes tipos de desafíos 2FA con diferentes categorías de ataques.
6. Software antimalware
Otra entrada que es un poco obvia, el software antimalware ayuda a proteger los dispositivos de los empleados de la mayoría de las categorías y variantes de malware utilizando técnicas que van desde la coincidencia de firmas hasta la detección basada en IA.
Ha quedado claro en las últimas décadas que el antimalware no es la solución definitiva para la seguridad de los dispositivos pero, sin duda, es un componente clave.
Los ataques basados en dispositivos siguen siendo una forma popular de robar credenciales u otros datos confidenciales del usuario, independientemente del tipo de dispositivo o sistema operativo.
Lo bueno del antimalware es que debería ser trivial convencer a los usuarios de que es algo que deberían tener en sus dispositivos teniendo en cuenta el largo historial de ataques.
7. Servicios VPN
Las VPN son bastante ubicuas para las redes corporativas en estos días, en gran medida porque son:
- Relativamente fáciles de implementar
- Brindan una medida de privacidad en redes que no son de confianza
- Y pueden permitir a los usuarios acceder a recursos corporativos como si estuvieran sentados en la oficina corporativa.
Muchas empresas tienen preocupaciones legítimas acerca de permitir la conectividad de los dispositivos de propiedad de los empleados a la red corporativa, pero todavía existen beneficios de simplemente aprovechar una VPN para proporcionar una conexión a Internet privada para cuando sus empleados estén usando redes públicas de Wi-Fi.
Si el uso de una conexión VPN corporativa no pasa la prueba de rastreo, varios servicios VPN confiables y centrados en el consumidor ofrecen beneficios de privacidad similares a sus empleados, sin consumir recursos corporativos en términos de soporte, hardware o ancho de banda.
8. Soluciones de respaldo
Con la amenaza en la que se ha convertido el ransomware, es esencial tener una forma de restaurar datos críticos.
Proporcionar a los empleados una solución de respaldo para sus dispositivos personales tiene un valor obvio si es posible que estén realizando funciones comerciales en esos dispositivos.
Incluso si la política corporativa prohíbe a los empleados el uso de dispositivos personales para uso comercial, se debe defender la estabilidad de la vida personal de un empleado y el impacto que la pérdida de datos críticos puede tener en la familia de un empleado.
Una alternativa de presupuesto potencial es una solución de almacenamiento en la nube que es resistente al criptolocker, lo cual significa que puede detectar un ataque de ransomware y proteger los archivos de los empleados para que no se cifren.
Si está contemplando esta ruta, asegúrese de considerar la funcionalidad que pierde: hacer una copia de seguridad automática de ciertos archivos o carpetas en un horario y las herramientas de monitoreo o informes que a menudo están disponibles en una solución de copia de seguridad completa.
9. Pantallas de privacidad
No todos los problemas requieren una solución de alta tecnología.
Trabajar de forma remota hace que más personas utilicen sus dispositivos en lugares públicos y utilicen cámaras web personales para reuniones de trabajo.
Ofrecer soluciones simples como pantallas de privacidad para computadoras portátiles o cubiertas físicas para cámaras web puede proteger tanto la privacidad de los empleados como los recursos corporativos.
Estas protecciones de privacidad física también se encuentran en el extremo más bajo del espectro de precios, lo que las convierte en una ganancia fácil para sus empleados.
10. Computadoras portátiles, teléfonos, hardware de red
Antes de dejar de leer, considere el hecho de que la seguridad corporativa siempre requiere un acto de equilibrio entre invertir en seguridad por adelantado o arriesgar los costos resultantes de una infracción posterior.
Esto, junto con las realidades presupuestarias inherentes a las empresas grandes y pequeñas, generalmente, se manifiesta en las grandes organizaciones que priorizan las inversiones en infraestructura de seguridad a un ritmo mucho mayor.
Incluso las pequeñas empresas deben evaluar si los riesgos que implica la falta de gestión y supervisión de los usuarios justifican un gasto adicional, aunque sea para un grupo limitado de usuarios como los ejecutivos.
La compra de dispositivos o hardware de red para que los empleados los usen en casa brinda mayor seguridad al extender el alcance (y el control) de la administración de TI corporativa, lo que le permite estar atento a las amenazas potenciales y eliminarlas de raíz.
Las computadoras portátiles y los dispositivos móviles son inversiones comunes para el uso doméstico de los empleados, pero el hardware de red (puntos de acceso Wi-Fi, enrutadores / firewalls u otros dispositivos de seguridad de red) son otra área a considerar, ya que son cada vez más atacados por entidades maliciosas y colocan a todos los dispositivos de la red en riesgo si se ve comprometida.
