A medida que las organizaciones navegan por un panorama de negocios digitales en medio del COVID-19, el 88% de las empresas han alentado o requerido que los empleados trabajen de forma remota. Este nuevo período de trabajo remoto representa un territorio desconocido para millones de trabajadores y miles de organizaciones en todas las industrias, independientemente de su tamaño o sector. Por supuesto, el trabajo remoto presenta su propio conjunto de desafíos, pero ninguno es mayor que el riesgo de datos dispersos en estaciones de trabajo dispersas.

Muchos líderes confían en sus empleados para que no divulguen información confidencial, pero como los datos financieros confidenciales, la propiedad intelectual, la información del cliente y más se comparten en varios dispositivos y plataformas, es probable que la información se pierda en la confusión. En un solo escenario, los líderes deben preguntarse: ¿dónde almacenan los profesionales de ventas las propuestas de prospectos, contratos y otra información necesaria durante la incorporación? La respuesta es confusa, ya que los empleados almacenarán estos materiales sensibles en una variedad de ubicaciones: dentro de carpetas localizadas; sincronizado en carpetas de almacenamiento en la nube; cargado en sistemas CRM; archivado en cadenas de correos electrónicos; capturado en ubicaciones temporales por aplicaciones y compartido a través de aplicaciones de chat interno. Este tipo de decisiones de datos, aunque están destinadas a las operaciones comerciales necesarias, presentan un nuevo riesgo que puede explotarse cuando no se gestiona adecuadamente.

A medida que las fuerzas laborales se expanden más allá de las cuatro paredes de una oficina, también lo hacen los datos de la organización. Las siguientes mejores prácticas proporcionarán a las organizaciones la información que necesitan para crear sistemas y políticas que promuevan un entorno de trabajo remoto seguro, preparándolas para estos tiempos sin precedentes y para el futuro:

Definir la propiedad del dispositivo

office-work-1149087_1920_Free-Photos_pixabay.original.jpg

A medida que los empleados hacen la transición para trabajar de manera remota, comience por establecer una posición clara de la compañía sobre la propiedad del dispositivo. Para la mayoría de las organizaciones, hay tres categorías de propiedad del dispositivo que incluyen: propiedad completa del dispositivo, propiedad del dispositivo del empleado o una combinación de ambas.

La propiedad completa del dispositivo por parte de la compañía es el escenario ideal para la mayoría de las organizaciones; sin embargo, los altos costos y el mantenimiento continuo pueden hacerlo inviable. La propiedad completa del dispositivo representa la menor cantidad de riesgo para la empresa y permite un control total sobre todos los dispositivos, lo que permite un monitoreo remoto para validar que cualquier dispositivo sea seguro para su uso.

En algunos casos, particularmente cuando el trabajo desde el hogar se implementó a corto plazo, los empleados se ven obligados a usar sus propios dispositivos cuando trabajan de forma remota. Si bien esta es una opción de bajo costo y tiene un proceso de incorporación rápido, los riesgos de seguridad son altos. A medida que los empleados almacenan grandes cantidades de datos de la compañía en dispositivos que no son de la compañía, el potencial de violaciones e infracciones de cumplimiento solo puede aumentar.

Las organizaciones que implementan un enfoque híbrido de dispositivos propiedad de la empresa y de los empleados crearán la peor pesadilla de un equipo de TI. Sin la capacidad de determinar "usuarios seguros" a partir de "usuarios deshonestos", crean políticas de seguridad fragmentadas que causan confusión interna y una falta general de visibilidad. Independientemente de la estrategia, el liderazgo ejecutivo debe transmitir una posición clara de la compañía para que la seguridad de TI implemente niveles de control apropiados para mitigar los riesgos asociados.

Garantizar la seguridad reconoce el trabajo remoto

Una vez que las organizaciones han tomado una decisión sobre los estándares de propiedad del dispositivo, es importante llevar a cabo una revisión exhaustiva de los estándares y políticas de seguridad existentes para definir las mejores prácticas en la oficina y el entorno de trabajo remoto.

Por ejemplo, las políticas de seguridad estándar pueden exigir que solo los dispositivos de almacenamiento propiedad de la compañía se puedan usar para el almacenamiento de datos de archivos de la compañía, y que el uso de dispositivos de impresión personales esté prohibido. Tradicionalmente, este tipo de política ha funcionado cuando el personal con privilegios de trabajo remoto trabajaba desde casa una vez por semana. Sin embargo, la practicidad de tal política se vuelve defectuosa con una alta probabilidad de violación bajo un escenario de trabajo continuo desde el hogar.

Otros factores comunes incluyen dónde se han implementado los dispositivos propiedad de la compañía. Imagine a un empleado que permite que una familia u otro miembro del hogar usen ese dispositivo por razones que no sean de trabajo, como el aprendizaje electrónico externo o la transmisión. Esto a menudo entra en conflicto con el hecho de que muchas organizaciones supervisan las métricas de uso por motivos de seguridad. Por lo tanto, es importante que los empleados sean plenamente conscientes de estas políticas para mitigar el riesgo de usuarios no aprobados.

A lo largo de todo el proceso de creación, establecimiento y aplicación de estos estándares, las organizaciones necesitan mantener continuamente informados a sus empleados a través de una comunicación regular. Hacer que todos los empleados lean los estándares y firmen es importante, sin embargo, la comunicación de estas políticas no se detiene después de que se haya asignado la responsabilidad.

En última instancia, el componente más importante de tener políticas y estándares de seguridad es la educación. Invierta tanto tiempo educando a sus empleados sobre las mejores prácticas en términos con los que puedan relacionarse. Representan su primera línea de seguridad, tomando decisiones diarias de datos que impactan a la empresa en su conjunto. Por lo tanto, la capacitación interactiva regular y del tamaño de un bocado es una de las mejores inversiones que una organización puede hacer.

Conozca todos los datos, sin importar dónde se encuentren

Incluso con los mejores procesos y tecnologías de seguridad, con el tiempo se formarán grietas que resultarán en el almacenamiento de datos de la compañía en ubicaciones desconocidas o no aprobadas. Para superar esta incógnita, las organizaciones deben implementar regularmente el descubrimiento de datos en todas las áreas de almacenamiento configuradas para monitorear y detectar datos de la empresa, personales y otras formas de datos confidenciales. Estas exploraciones de descubrimiento de datos deben incluir cualquier servidor, como archivos, correo electrónico, bases de datos, estaciones de trabajo o computadoras portátiles, incluidos los utilizados de forma remota y todos los datos almacenados en la nube.

El uso de una estrategia de descubrimiento de datos bien definida y correctamente implementada permite a una organización establecer un verdadero nivel de confianza en la seguridad de sus datos más valiosos, que conlleva el mayor nivel de riesgo, se contabiliza y no se maneja mal o se almacena de forma insegura ubicaciones.

Muchas organizaciones se vieron obligadas a implementar estrategias de trabajo remotas sin el tiempo apropiado para considerar todos los riesgos asociados, y ahora deben revisar retrospectivamente cómo se pueden abordar. Inicialmente, el trabajo remoto se consideraba un problema a corto plazo que se puede resolver con soluciones temporales. Las organizaciones están ajustando esta visión con la aceptación de que el trabajo desde casa debe tratarse como una estrategia a largo plazo y requiere un cambio en la forma en que se hicieron las cosas en el pasado. Las decisiones de seguridad que tomarán tanto los ejecutivos como los empleados tendrán un impacto duradero en el futuro del negocio, particularmente cuando se trata de cómo y dónde se manejan los datos en una situación de trabajo remota. En lugar de ver el trabajo remoto como una condición no deseada o temporal, las organizaciones deberían revisar la postura del riesgo de seguridad de los datos con una vista que incorpore el trabajo desde el hogar como una norma comercial continua.

Por Stephen Cavey, Cofundador de Ground Labs