Nueva Zelanda ha lanzado un marco de confianza para la identidad digital, un paso crucial hacia la transformación digital del país.
Cómo evitar que el trabajo en remoto cree una brecha de seguridad en la empresa
Trabajar a distancia comporta ciertos riesgos que pueden comprometer la identidad digital de empresas y trabajadores, así como la seguridad de la información.
L
os conceptos de trabajo en remoto y trabajo híbrido ya son familiares para la mayoría de la gente. Hace apenas unos años la mayor parte de la población no había experimentado nunca el trabajo en remoto. Las empresas, por lo general tampoco lo consideraban una ventaja y no lo ofrecían. Tras la crisis de 2020, el porcentaje de trabajadores a distancia se expandió por todo el mundo. En la actualidad, tras un periodo de estabilización, un 55% de las empresas1 a nivel global sigue ofreciendo opciones de trabajo en remoto y el 18% de los trabajadores desarrolla su actividad de esta manera de forma permanente.
La tecnología disponible y la apertura de miras de empresarios y emprendedores han modificado el mercado laboral, en muchos casos, en un sentido muy positivo. La desventaja más notable, no obstante, es la que se refiere a los riesgos para la seguridad de las propias compañías, propiciados por débiles protocolos o comportamientos irresponsables.
Uno estos riesgos sería el acceso no autorizado a la información y los sistemas. Con la dispersión del personal en diferentes ubicaciones y la dependencia de redes y conexiones externas, aumenta la superficie de ataque para posibles intrusos.
La falta de controles adecuados y el uso de canales de comunicación no seguros originan brechas que pueden poner en entredicho la confidencialidad de las comunicaciones y negociaciones comerciales con socios y clientes.
Además, la reputación en línea de una empresa también está en juego. Las acciones y comportamientos inapropiados de los empleados ya sean intencionales o no, pueden difundirse rápidamente a través de las redes sociales y dañar la imagen y credibilidad de la organización. Un error de este tipo deja una huella que luego es muy difícil borrar.
Estos “huecos” en la gestión del trabajo en remoto pueden afectar los valores corporativos y las oportunidades de negocio, así como ser críticos para la solidez de las identidades digitales.
Capas de seguridad para el mejor onboarding
Desde el mismo proceso de selección es crucial identificar y evaluar a los candidatos de manera rigurosa. Para ello, ha de aplicarse un procedimiento de onboarding integral y confiable, basado en soluciones tecnológicas con varias capas de autenticación que garanticen la consistencia de su identidad, evitando problemas en una posible incorporación a futuro.
- Videoidentificación. En la primera toma de contacto, se puede solicitar a los candidatos que participen en una videollamada o entrevista en línea. Una solución de videoidentificación con detección de deepfakes e identidades sintéticas permitiría verificar la identidad del candidato al comparar su apariencia con la información proporcionada en su currículum y documentos personales. Las tecnologías de videoidentificación apuntalan la relación entre empresa y postulante desde el inicio, aportan transparencia y ayudan a completar con rigor las normativas KYC.
- Facematch, aplicado durante la videollamada para comparar la imagen en vivo con una imagen previamente registrada. Ayuda a garantizar que la persona que participa en el proceso de selección sea la misma que aparece en los documentos y que no se esté utilizando una identidad falsa. Utilizando Inteligencia Artificial, la tecnología de coincidencia facial extrae características distintivas del rostro del solicitante y determina las coincidencias con el selfi capturado. Los algoritmos de IA utilizados en el facematch pueden adaptarse y mejorar con el tiempo a medida que se les proporciona más información y datos de entrenamiento. Esto permite una mayor precisión y capacidad de reconocimiento facial a medida que se procesan más imágenes.
- Verificación documental (documentos de identidad oficiales, licencias de conducir, etc.) y comparación con listas oficiales, lo que es determinante para cumplir con los reglamentos en materia de AML (Anti-Money Laundering, Contra el lavado de dinero). Las soluciones que se apoyan en el reconocimiento óptico de caracteres y además añaden Inteligencia Artificial son muy precisas a la hora de detectar falsificaciones e inconsistencias antes de establecer un trustscore.
Es recomendable incluir una evaluación de la aptitud para trabajar de forma segura y responsable en un entorno remoto. Esto puede involucrar una revisión exhaustiva de su historial de seguridad, comprobación de referencias y verificación de sus habilidades para utilizar herramientas de colaboración en línea de manera segura.
Una llamada a la responsabilidad: gestión de identidad digital y contraseñas
Según una encuesta llevada a cabo por la compañía de ciberseguridad OpenVPN, el 54% de los profesionales de Tecnologías de la Información considera que el trabajo en remoto implica un riesgo mayor que el de los trabajadores “en oficina” para la seguridad de las empresas.
Las vulnerabilidades a las que pueden enfrentarse se generan muchas veces desde los propios hábitos de los empleados. Un estudio realizado sobre una muestra de 3000 trabajadores a distancia revelaba que el 43% de ellos utilizaba sus propios dispositivos en vez de uno proporcionado por la empresa. Es una tendencia que se conoce como BYOD (Bring your own device o Trae tu propio dispositivo) y que plantea desafíos en términos de seguridad, gestión de datos y protección de la información corporativa. El 92%, además, según el mismo estudio, realiza alguna tarea con un dispositivo personal. El peligro de incorporar estos dispositivos a la rutina laboral es que, en algunos casos, se comparten con conocidos o familiares, que no mantienen medidas de seguridad concretas.
Por otra parte, si los empleados no mantienen sus equipos personales actualizados con los últimos parches de seguridad y actualizaciones de software, pueden estar expuestos a brechas que los ciberdelincuentes explotarán.
El asunto de la higiene de las contraseñas, otro punto caliente de la seguridad empresarial, parece muy enquistado, a tenor de los datos que siguen arrojando las encuestas. Cerca del 50% de los trabajadores utiliza la misma contraseña para servicios personales y profesionales.
Estos hábitos ponen en entredicho la coherencia de la identidad digital de las compañías, y también la de cada empleado a nivel individual.
Qué pueden hacer las empresas contra el phising y otros ataques
El primer consejo que señalan los expertos para evitar los riesgos más comunes del trabajo en remoto es establecer una unidad específica para gestionarlo. Desde este equipo, se debe promover formación continua y concienciación sobre seguridad cibernética, fundamentales para ayudar a los empleados a comprender los peligros asociados y cómo mitigarlos. Esto incluye la enseñanza de buenas prácticas, el reconocimiento de ataques de phishing y la protección de la información confidencial.
Es recomendable llevar a cabo auditorías periódicas para evaluar la seguridad de los sistemas, identificar posibles vulnerabilidades y permitir a la organización tomar medidas preventivas y correctivas.
Las políticas de prevención pueden requerir el cifrado de datos, la adopción de administradores de contraseñas y la combinación de autenticaciones multifactoriales, la prohibición de BYOD o considerar el borrado remoto de información en caso de violaciones de privacidad o detección de una brecha. El uso de servicios en la nube con autenticación segura y una jerarquía de permisos adecuada es otra vía de prevención.
Confianza cero
Todas estas medidas deben estar apoyadas en una cultura muy sólida de la privacidad que impregne toda la estructura. Existe un modelo cada vez más popular llamado Confianza Cero (Zero Trust) en el que, precisamente, muchas empresas basan esa cultura de protección de la identidad digital corporativa.
Desde que el término fuese acuñado por primera en 2010 por el analista John Kindervag, el enfoque confianza cero, no ha dejado de ganar adeptos. Esta estrategia podría resumirse en que “cada máquina, usuario y servidor no son de confianza hasta que se demuestre lo contrario”. En lugar de otorgar automáticamente confianza a los usuarios, dispositivos o servicios, la confianza cero adopta una estrategia más restrictiva y verifica continuamente la identidad y la seguridad de cada solicitud antes de permitir el acceso.
Estos son los conceptos clave que definen la Confianza Zero:
- Autenticación estricta. Cada usuario y dispositivo debe ser autenticado de forma segura diariamente antes de acceder a los recursos o servicios de la red, con métodos como los que mencionábamos antes (identificación multifactor o MFA, biometría, etc.)
- Control de acceso granular o basado en atributos. Basado en políticas para determinar qué usuarios o dispositivos tienen permiso para acceder a determinados recursos. Se utilizan políticas de acceso basadas en factores como la identidad del usuario, el tipo de dispositivo, la ubicación y el contexto de la solicitud.
- Segmentación de red. Se divide la red en segmentos más pequeños y se aplica una segmentación basada en políticas para limitar el movimiento lateral de los usuarios y los dispositivos dentro de la red. Esto ayuda a contener cualquier actividad maliciosa y minimizar el impacto de una posible violación de seguridad.
- Monitoreo continuo. Monitorización constante de las actividades de los usuarios y los dispositivos para detectar comportamientos anormales o actividades sospechosas. Se utilizan herramientas de análisis y detección de amenazas para identificar posibles amenazas y tomar medidas correctivas de forma proactiva.
Los trabajadores suelen subrayar la flexibilidad y autonomía en la organización de sus tareas o un mejor equilibrio entre el trabajo y la vida personal como ventajas para trabajar en remoto. También la eliminación de las barreras geográficas, que permite a las personas conectarse y colaborar con equipos y colegas de diferentes partes del mundo, lo que fomenta la diversidad y el intercambio de ideas. Los desplazamientos se reducen y, por tanto, también lo hacen los gastos asociados y el estrés. En general, la posibilidad de trabajar de forma remota brinda a las personas más libertad y comodidad, lo que se refleja también en las relaciones dentro de los departamentos. Diversos estudios ponen de relieve, asimismo, que la productividad se incrementa. De acuerdo a un informe de Accenture, el 83% de los trabajadores piensa que un modelo híbrido sería el más adecuado para su futuro. Pero para que todas estas ventajas no solo mejoren la vida de los empleados, sino que protejan la identidad digital de la empresa, no hay que perder de vista que, aunque cambie el entorno, la precaución debe ser igual o mayor.
1 Evolución del trabajo en remoto 2020 – 2022. Audara. 11 febrero, 2022.