Las soluciones de lugares de trabajo digital han jugado un papel importante para agilizar la transición hacia el trabajo remoto. Mejoró la experiencia de los empleados y la productividad organizacional, así como también generó que el trabajo remoto fuera igual de eficiente que el presencial. Si bien es verdad que les simplificó la vida tanto a los empleados como a los managers por igual, desde el punto de vista de la ciberseguridad, tener una única interfaz integrada con toda la información de la organización en un único lugar deja a la empresa completamente vulnerable.
Al ser el lugar en el que se realiza todo el trabajo de la organización, un ataque al sistema del lugar de trabajo digital puede detener toda la producción de la empresa. Por tal motivo, la seguridad del digital workplace es un aspecto muy importante de la estrategia de ciberseguridad de la organización.
¿Por qué es importante la seguridad del digital workplace?
Implementar una solución de digital workplace trae muchos beneficios para la organización, pero sin una estrategia de ciberseguridad adecuada, puede crear numerosos puntos débiles en el sistema. Esto les da lugar a hackers u otros agentes maliciosos a aprovecharse de las vulnerabilidades y crear una pesadilla de ciberseguridad para la empresa.
En particular, en la modalidad de trabajo remoto, el digital workplace crea muchos puntos de acceso para los atacantes. La gestión de dispositivos puede ser algo engañosa cuando los empleados se conectan desde sus hogares, ya que pueden estar utilizando sus dispositivos personales para trabajar o viceversa, lo que los hace más susceptibles a sufrir ataques de ingeniería social y phishing por fuera del ecosistema de la oficina.
La falta de seguridad en el digital workplace aumenta el riesgo de filtraciones de datos
Las empresas se enfrentan a un riesgo enorme de filtración de datos todos los días. Los hackers y atacantes pueden beneficiarse mucho con los datos de una empresa. Una filtración de datos también puede provocar un daño mucho mayor, dependiendo de la naturaleza de la compañía. Por ejemplo, una empresa farmacéutica que desarrolla medicamentos innovadores o una empresa de IT que desarrolla nuevas tecnologías pueden perder su ventaja competitiva si les roban su propiedad intelectual. Incluso algo tan simple como una nota interna puede arruinar un plan de marketing o la campaña de presentación de un producto.
Además de esas pérdidas indirectas, amenazas como ransomware, en donde los hackers bloquean el acceso a los datos de la compañía a cambio de dinero, pueden causarle pérdidas directas a la empresa. El costo promedio de un incidente de ransomware alcanzó los $283.000 dólares durante el período comprendido entre 2018 y 2020.
Sin una estrategia adecuada de seguridad para el digital workplace, el riesgo de sufrir filtraciones de datos es aún mayor.
El costo promedio de un incidente de ransomware alcanzó los $283.000 durante el período comprendido entre 2018 y 2020.
Seguridad y privacidad de los empleados y clientes
Además de proteger a la empresa, la seguridad del digital workplace también es importante para garantizar la seguridad y privacidad de sus empleados y clientes. Si un atacante obtiene acceso al sistema, puede ocasionar problemas muy graves. De hecho, la Comisión Federal de Comercio de los Estados Unidos reportó 1,4 millones de casos de robo de identidad en 2020.
Un atacante puede corromper o filtrar datos de tus empleados o clientes, o incluso obtener acceso a sus dispositivos y provocar aún más daño. Por ejemplo, si eres un proveedor SaaS, es probable que almacenes información de tus clientes en tus servidores. Un ataque a estos servidores podría hacer que tus aplicaciones no estén disponibles para ellos e interrumpiría los procesos de su negocio. Además, podría filtrar datos de su organización. Si tu empresa desarrolla productos de IoT (internet de las cosas), es probable que aquellos dispositivos utilicen tus servidores en la nube y, como estos servidores a su vez están conectados a tu digital workplace, un hacker podría obtener acceso a ellos y provocar una reacción en cadena que perjudicaría notablemente a tus clientes.
Riesgos legales de una seguridad ineficiente en el digital workplace
Una filtración de datos o un ataque al digital workplace también podría traer problemas legales. Los usuarios finales y los clientes, incluso tus propios empleados, podrían iniciarte acciones legales por todo el daño que hayan sufrido debido a la falta de seguridad de tu sistema. Si bien es imposible eliminar por completo la amenaza de un ciberataque, contar con una estrategia efectiva puede mitigarlo en gran medida. Además, un mecanismo de ciberseguridad sólido también puede limitar en mayor medida los puntos débiles de tu organización en caso de un ataque.
Además de las acciones legales que podrían iniciar tus clientes, medidas de ciberseguridad insuficientes podrían traer más problemas legales por parte de los entes reguladores. Por ejemplo, una violación de la Ley de Portabilidad y Responsabilidad del Seguro Médico (HIPAA) podría significar multas que van desde $50 y $50.000 dólares hasta $1,5 millones de dólares al año. Otras leyes similares como el Reglamento General de Protección de Datos (RGPD), la Ley de Privacidad del Consumidor de California (CCPA) y la Ley de Seguridad de Datos de China podrían poner a tu empresa en riesgo legal si la seguridad de tu digital workplace no cumple con estos estándares.
La ciberseguridad del digital workplace se ve reflejada directamente en la confianza del cliente y la reputación de la marca
Un digital workplace seguro y sólido es fundamental para ganar la confianza de los clientes. Si trabajas en la industria de los servicios de IT, sabrás que la mayoría quiere saber cómo llevas a cabo tus proyectos, te comunicas y colaboras. A los clientes también les interesa conocer tus protocolos de ciberseguridad, ya que la seguridad del digital workplace puede ser un factor importante para ellos.
Además de las posibilidades directas que puede traer un digital workplace seguro para tu negocio, las medidas de ciberseguridad también pueden afectar el valor de la organización. Cada vez que se conoce una noticia sobre una violación a la seguridad de una organización, el valor de las acciones desciende. Algunas investigaciones sugieren que un año después de una filtración de datos, las organizaciones deben gastar una enorme cantidad de dinero en publicidad para reconstruir su reputación.
¿Cómo reconciliar al digital workplace con la ciberseguridad?
A menudo, la seguridad y la practicidad entran en conflicto. Esto se debe a que la mayor parte del tiempo una se ve comprometida por la otra. Y dado que la razón principal de invertir en un digital workplace es la practicidad, es muy probable que sea la seguridad la que quede relegada a un segundo plano. Por ejemplo, para alentar a los empleados a adoptar la nueva solución de digital workplace, las organizaciones optan por implementar un método de autenticación simple y familiar en lugar de uno seguro.
Sin embargo, tal como lo mencionamos más arriba, las consecuencias de una violación de seguridad son tan altas que las organizaciones deben encontrar una forma de reconciliar a la ciberseguridad con la practicidad en el digital workplace. Un informe reciente de Interpol registró un aumento del 569% en el registro de dominios maliciosos entre febrero y marzo de 2020. En particular, durante la etapa inicial de implementación de una solución de digital workplace y la transición hacia el trabajo remoto, los hackers mal intencionados podrían aprovecharse de la confusión y llevar a cabo un ciberataque contra la organización.
Empieza por el principio
Para reconciliar a la ciberseguridad con el digital workplace, la estrategia debería implementarse desde el principio. Dado que el cuerpo directivo suele ser el objetivo principal de los hackers, tiene sentido que ellos guíen al resto. Los CTO y CIO tienen que enfatizar la importancia de la seguridad dentro de la organización.
La ciberseguridad no es solo una característica extra, sino un parámetro de diseño.
Mientras capacitas y concientizas a tu fuerza de trabajo sobre la importancia de la ciberseguridad, introducir funcionalidades de seguridad a tu digital workplace le dará a tu equipo una mejor perspectiva de la importancia de un lugar de trabajo seguro. Por ejemplo, características como una comunicación encriptada, autenticación de dos factores y almacenamiento redundante en tu solución de digital workplace enfatizarán la importancia de la seguridad en el lugar de trabajo digital. Desarrollar una solución segura desde cero, o implementar estas mejoras de seguridad desde el principio, garantizarán que tu digital workplace sea más seguro.
La autenticación de dos factores previene el 99,9% de los ataques automatizados.
Gestión de activos de IT para la ciberseguridad del digital workplace
La mayoría de las soluciones de digital workplace cuentan con módulos orientados a la seguridad, de modo que los departamentos de IT pueden utilizar estas herramientas para aumentar la protección del digital workplace, además de que les permite agregar nuevas características de seguridad. Por ejemplo, las herramientas de gestión de activos les dan la posibilidad a diversas organizaciones de todo el mundo tener un registro de su hardware y mantener su software actualizado con los últimos parches de seguridad. Sin embargo, con una solución de gestión de activos conectada a tu digital workplace, puedes monitorear mejor estos activos. Por ejemplo, si una laptop asignada a uno de los empleados se conecta a una red de Wifi poco segura, o intenta conectar un pendrive infectado, un sistema automatizado de gestión de activos de IT podría tomar medidas inmediatas para aislar al dispositivo y mantener al resto del sistema seguro.
Integra, pero también microsegmenta
Uno de los impulsores principales de la productividad y automatización en el digital workplace es el nivel de integración. Aunque también puede ser motivo de preocupación desde la perspectiva de la ciberseguridad. Conectar todo en un único lugar podría crear un único punto de falla en la organización, lo que significa que si alguien obtiene acceso al digital workplace, obtiene acceso a todo lo que la organización tenga en línea. Los expertos recomiendan implementar un enfoque de microsegmentación como una posible solución a este problema. Tradicionalmente, se consideraba a la seguridad como un perímetro enorme que englobaba a todos los ciberactivos de una organización. Si un atacante obtenía acceso a uno de ellos, podía acceder a todos. Gracias a la microsegmentación, se crean perímetros de seguridad individuales alrededor de los distintos activos, lo que les provee una capa de seguridad propia a cada uno de ellos.
¿Cómo se ve un digital workplace transparente y seguro?
En un digital workplace, la practicidad significa transparencia y, tal como mencionamos más arriba, ambas deben ir de la mano con la seguridad. Las características de seguridad implementadas en un digital workplace no deberían restringirles ni dificultarles el acceso a los empleados. El digital workplace y todas sus funcionalidades deben seguir siendo de fácil acceso y uso.
Un digital workplace transparente y seguro entiende la importancia de ser transparente en cuanto a sus medidas de seguridad. Esto significa que, si bien la transparencia y la seguridad pueden parecer opuestas, un lugar de trabajo que no es transparente podría crear grietas en su seguridad. Tomemos por ejemplo el caso de IT en las sombras o shadow IT. Es un fenómeno presente en muchos lugares de trabajo y alude a una situación en la que los empleados utilizan software o herramientas no autorizadas en lugar de las que provee la organización. Y no es culpa suya, ya que lo único que quieren es realizar su trabajo de la mejor manera posible. Sin embargo, como puedes imaginar, esto genera un enorme riesgo de seguridad.
Entonces, al implementar estrategias destinadas a fortalecer la seguridad del digital workplace, es importante garantizar la participación de sus usuarios y hacer que el resultado final aún sea de fácil acceso. Un lugar de trabajo transparente y seguro cuenta con sistemas sencillos de autenticación y sistemas de almacenamiento segmentado y de baja latencia. Además, es probable que tenga una política de BYOD, en la que los empleados llevan sus dispositivos personales para realizar tareas del trabajo. Sin embargo, esto significa que es importante realizar programas de capacitación intensivos de modo que los trabajadores sean conscientes de los riesgos de seguridad y tomen las medidas de precaución necesarias. Por otro lado, el digital workplace puede permitir el uso de aplicaciones con alto nivel de seguridad, pero esto también significa que es necesario contar con un Service Desk de IT eficiente que resuelva rápido todas las consultas, a fin de que los empleados no recurran al Shadow IT.
Mejores prácticas para minimizar los riesgos de seguridad en el digital workplace
Si bien el concepto de digital workplace es relativamente nuevo, los expertos en ciberseguridad han elaborado algunas mejores prácticas para mitigar o minimizar los riesgos en el lugar de trabajo digital.
Integra todo, pero también agrega capas de seguridad individuales
Para sacarle el máximo partido a las herramientas de seguridad utilizadas para un digital workplace, es necesario contar con un alto nivel de integración. Por ejemplo, en el caso de herramientas de gestión de activos de IT o de detección automatizada de amenazas a través de una IA, es conveniente recopilar información de todas las herramientas para diferenciar comportamientos normales y anomalías.
Sin embargo, un alto nivel de integración también significa que una falla o brecha de seguridad podría dejar vulnerable a todo el digital workplace a amenazas externas. Por tal motivo, las capas de seguridad de los servicios o módulos individuales de un digital workplace deben estar microsegmentadas para contener y poner en cuarentena a amenazas externas antes de que estas afecten a todo el sistema. Además, se recomienda personalizar el control de acceso de los empleados individuales según sus necesidades. Asegúrate de que tengan acceso a todo lo que puedan necesitar, pero no más que eso.
Capacitación exhaustiva
Tal como lo mencionamos más arriba, la capacitación de los empleados es una parte fundamental para lograr una implementación exitosa del digital workplace. Es recomendable que introduzcas estas prácticas de seguridad a la cultura de trabajo de la organización hasta que se vuelvan un hábito. Implementa métodos de autenticación de dos factores para cada dispositivo y servicio que utilicen los empleados, y aliéntalos a que también los utilicen en sus dispositivos personales.
Seguridad desde el principio
Integra características de seguridad en el digital workplace desde el principio y considera a la seguridad como un parámetro de diseño primario.
Aprovecha la inteligencia artificial y el machine learning para realizar análisis y detección de amenazas, entre otras cosas
Las herramientas de inteligencia artificial son de gran ayuda para analizar amenazas y calcular los riesgos. Además, estas pueden reducir la carga de trabajo del equipo de ciberseguridad, ya que les permite monitorear, detectar y contener amenazas automáticamente con regularidad.
Recomendaciones para fortalecer la seguridad de tu digital workplace en los próximos meses
Implementa métodos de autenticación de dos factores a lo largo de toda la organización
Si aún no lo haces hecho, implementa la autenticación de dos factores para el digital workplace. Asegúrate de que todos los dispositivos, servicios y software utilizado en la organización cuenten con autenticación de dos factores para acceder a ellos. Un informe de Microsoft realizado en 2019 demostró que la autenticación de dos factores previene el 99,9% los ataques automatizados.
Contempla todos los dispositivos y software que se utilizan en la organización
Una vez que tengas un inventario de todos los dispositivos y software que utilizan tus empleados, podrás garantizar una mayor seguridad en el digital workplace.
Ni bien obtengas esta información, analiza cada uno de estos dispositivos para conocer fallas de seguridad y actualiza tu política de ciberseguridad para cubrirlas. Reemplaza dispositivos desactualizados, actualiza el firmware y software con las últimas versiones, y asegúrate de que todo el software cuente con las licencias correspondientes.
La mayoría de las organizaciones tienen cierto grado de Shadow IT. Es común que los empleados utilicen herramientas que encuentren en el camino o que les resulten útiles a espaldas del departamento de IT. Al contar con una lista completa de los activos de la organización, el departamento de IT puede brindar alternativas más seguras o implementar estrategias para mitigar los riesgos de estas aplicaciones. Puedes empezar con una simple tabla de Excel, aunque a largo plazo, es recomendable que consigas un software de gestión de activos de IT.
Capacita a todos los empleados en cuestiones de ciberseguridad
Asegúrate de que tus empleados sean conscientes de los riesgos y conozcan las mejores prácticas de seguridad. Realiza ejercicios y simulacros para asegurarte de que retengan esta información y la pongan en práctica.
Revisa tu política de ciberseguridad
Revisa tu política de ciberseguridad para asegurarte de que incluya amenazas como ransomware y cryptojacking, muy en auge en estos días. Incluso si cuentas con un equipo de ciberseguridad fuerte, lo mejor es hacer que un tercero evalúe tus políticas de seguridad con frecuencia para asegurarte de que nada se te haya pasado por alto.
Preguntas frecuentes
¿Qué hace que un digital workplace sea susceptible a ciberamenazas?
A diferencia del lugar de trabajo físico, un digital workplace presenta más vectores o puntos de acceso para que un atacante malintencionado ingrese a tu sistema. Como los dispositivos no se encuentran en un espacio físico, puede incluso acceder a los dispositivos de tus empleados. En pocas palabras, un digital workplace crea muchos puntos de acceso para que los atacantes ingresen al sistema y para que las organizaciones se defiendan.
¿Qué características básicas debe tener un digital workplace seguro?
- Autenticación de dos factores para todos los dispositivos y servicios.
- Almacenamiento redundante y seguro para información sensible.
- Herramientas de gestión de activos de IT para mantener actualizado el software y el firmware de los dispositivos.
- Políticas de seguridad de IT sólidas.
¿Qué es el Shadow IT y por qué puede ser una amenaza para el digital workplace?
El Shadow IT alude a una situación en la que los empleados de una organización utilizan servicios y software no autorizados para realizar su trabajo, en lugar de los que les brinda la organización. Estos servicios y software pueden presentar riesgos de seguridad desconocidos y ser una amenaza para la ciberseguridad de la organización.