11 Consejos Sobre Ciberseguridad En El Trabajo Remoto

11 Consejos Sobre Ciberseguridad En El Trabajo Remoto

La seguridad y privacidad de los datos es fundamental para tu empresa y tus clientes. Aquí te contamos más sobre las soluciones para gestionar esto cuando se trabaja de forma remota.

Talin Terzakyan
Written by Talin Terzakyan
diciembre 22, 2022
Contenidos
¿Necesitas ayuda con el onboarding de talento internacional?
Prueba Deel

El sector de TI dio creció muchísimo con la pandemia.

El auge del trabajo remoto cloud-based introdujo nuevas vulnerabilidades, lo que requirió mayores esfuerzos por parte de TI: mejorar en un 100% la administración de dispositivos y accesos, las actualizaciones de seguridad y las capacitaciones para mantener segura la información confidencial de la empresa. A su vez, con el rápido aumento de la contratación global, la industria de TI también debe cumplir con las leyes internacionales de privacidad de datos y las configuraciones seguras de WFH en todo el mundo.

En esta guía te compartimos 11 soluciones prácticas para resolver los grandes desafíos de seguridad de datos que pueden presentarse cuando se manejan equipos internacionales remotos.

1. Utilizar el encriptado para evitar que los hackers lean tus datos

Los equipos remotos almacenan online datos de la empresa, con el fin de que estos sean accesibles para toda la empresa. Pero cuando tienes datos online, la información confidencial y la propiedad intelectual se vuelven más vulnerables a los ciberataques y al malware.

El encriptado de datos se refiere al uso de un código especial para representar los datos de la empresa. Solo puedes leer si tienes la clave de descifrado para ese código, protegiendo de ataques externos los datos que almacenas online. Incluso si los hackers logran robar tus datos a través del phishing, por ejemplo, no pueden desencriptarlos y usarlos indebidamente porque no tienen la clave de descifrado.

Existen muchas herramientas de encriptado que puedes usar, como AxCrypt o Folder Lock. Sea cual sea el que elijas, asegúrate de encriptas los datos de todos los dispositivos que utiliza tu personal remoto (incluidos los dispositivos móviles), tanto si lo están usando como si no.

2. Hacer periódicamente scans de vulnerabilidad y tests de penetración para evitar infracciones

Cuando se trata de ciberseguridad, la proactividad es primordial. Los departamentos de TI realizan escaneos de vulnerabilidades y pruebas de penetración regulares, idealmente una vez al mes, para encontrar lagunas y debilidades antes de que los ciberdelincuentes las encuentren. De esa manera, tiene la oportunidad de actualizar y mejorar el sistema antes de que ocurran problemas reales.

Los scans de vulnerabilidad rastrean tu red para buscar servidores, dispositivos, firewalls, entre otros, con el objetivo de encontrar posibles debilidades. Si tu herramienta de scaneo (Snyx o AWS GuardDuty por ejemplo), identifica alguna vulnerabilidad, te lo notificará para que puedas corregirla de inmediato.

Los tests de penetración utilizan el phishing y la interceptación de contraseñas para intentar ingresar en el sistema. Esto te ayuda a identificar puntos débiles en tus procesos que pueden conducir a exponer tus datos de manera no intencional.

3. Limitar el acceso de los colaboradores a los datos

Cuantas más personas tengan acceso a los diferentes servicios que utiliza tu empresa, más vulnerable se vuelve tu sistema a las infracciones de seguridad por hackeo de contraseñas, emails de phishing y dispositivos perdidos.

Los colaboradores no pueden dar los datos a una persona no autorizada voluntariamente. Aún así, vas a querer limitar la cantidad de información a la que puede acceder un hacker si logra entrar en la cuenta de un colaborador. Puedes confiar en tus colaboradores, pero nunca está de más ser cauteloso.

Para reducir el riesgo, limita al mínimo el acceso de los colaboradores a los datos confidenciales. Solo deberían tener acceso a estos las personas que realmente los requieren para hacer su trabajo. Los colaboradores que necesiten un acceso único a un servicio específico pueden acceder a los datos con la ayuda de un compañero de trabajo o con un permiso temporal.

Además, ten en cuenta que algunos datos son más sensibles en términos de responsabilidad legal, así que debes tener mucho cuidado con las bases de datos que contienen:

  • Números de seguridad social
  • Números de identificación fiscal (TINs)
  • Números de ID nacional o de pasaporte
  • Información médica
  • Información financiera (tarjetas de crédito y números de cuenta bancaria)
  • Cualquier dato que identifique inequívocamente a una persona

4. Usar la función de single sign-on (SSO) para reaccionar rápidamente en caso de una infracción

El single-sign-on (SSO) te permite iniciar sesión en varios servicios utilizando un set de credenciales de inicio de sesión: piensa en el botón que te permite iniciar sesión con tus credenciales de Gmail.

El SSO es conveniente para los colaboradores porque no tienen que recordar un millón de contraseñas únicas. Este también es más seguro porque pueden bloquear el acceso a todas las cuentas conectadas en caso de hackeo, en lugar de cerrar sesión manualmente en las cuentas una por una.

5. Facilitar el acceso a apps y dispositivos aprobados por la empresa

En ocasiones, los colaboradores remotos pueden instalar softwares de terceros o aplicaciones externas en sus dispositivos de trabajo; también pueden usar dispositivos personales para acceder al software de la empresa sin el conocimiento de TI. Esto se llama Shadow It y causa serios problemas de seguridad de datos para empresas de todo el mundo. Una encuesta de 2021 de Tessian reveló que más del 33 % de los encuestados no seguían buenas prácticas de ciberseguridad cuando trabajaban desde casa.

Una forma de controlar la seguridad de las aplicaciones externas y los dispositivos para tus trabajadores remotos es darles dispositivos propios de la empresa con una amplia gama de herramientas de calidad administradas internamente, así no necesitaran instalar nada adicional para uso en el trabajo. Si los empleados usan sus dispositivos personales para fines laborales, no tienes forma de monitorear esto, por lo tanto solo te queda confiar.

Anima a tus colaboradores a usar los dispositivos proporcionados por la empresa para sus actividades laborales. Al usar estos, se reduce el riesgo de ataques indeseados porque los especialistas de TI tienen acceso remoto. Con una supervisión adecuada de la red, puedes asegurarte de que el software de antivirus y los controles de seguridad de cada dispositivo de que estén actualizados, o incluso borrar de forma remota todos los datos de una láptop en caso de que esta sea robada.

6. Hacer que tus colaboradores usen solo redes seguras

Tus trabajadores remotos pueden usar una variedad de redes WiFi, especialmente si trabajan desde espacios como aeropuertos o cafeterías, lo que puede amenazar la seguridad de tus datos. Estas redes públicas no tienen contraseñas y permiten a los hackers robar datos, espiar y distribuir malware a otros dispositivos en la red.

Para evitar problemas, puedes establecer firewalls y VPNs para proteger las redes del trabajo desde casa, y si los colaboradores viajan o trabajan desde otros lugares, aconséjales que se conecten a redes de Wi-Fi confiables que requieren contraseñas: la mayoría de los espacios de co-working tienen redes seguras. Los colaboradores debería deshabilitar la opción de conexión automática a Wi-Fi en sus dispositivos de trabajo para evitar problemas de seguridad de la red al conectarse accidentalmente a redes Wi-Fi públicas.

7. Hacer capacitaciones en ciberseguridad

La educación de los colaboradores en relación a los riesgos de ciberseguridad y las prácticas de seguridad simples pueden prevenir muchos problemas. Estas capacitaciones deberían ser una parte esencial y continua de tu política de trabajo remoto y un requisito para cada nuevo colaborador en tu empresa, especialmente si este usará su propio dispositivo para el trabajo.

Aprender sobre ciberseguridad no tiene por qué ser aburrido. Riot's Albert es una herramienta que brinda capacitación de forma divertida en temas de seguridad para los colaboradores a través de una interacción chat-based que puedes agregar a tu Slack. Los "cursos" generalmente duran aproximadamente cinco minutos, con conclusiones enfocadas. Los cursos incluyen: cómo reconocer el phishing, crear una contraseña segura y más.

8. Requerir el uso de autenticación multifactor

La autenticación multifactor es un método de seguridad que requiere que los usuarios verifiquen su identidad mediante dos canales diferentes para iniciar sesión en una cuenta. Por ejemplo, si quieres iniciar sesión en un servicio de e-mail en tu laptop, recibes un código a través de un SMS que debes ingresar para poder acceder.

Entonces, deberías requerir el uso de autenticación de dos factores (mínimo) para cada servicio que usan tus colaboradores. Estos recibirán una notificación si un hacker intenta entrar en tu sistema y los administradores de seguridad podrán reaccionar rápidamente para evitar la exposición.

9. Informar a tu equipo sobre estafas de phishing y ataques de ransomware

Los ataques de phishing son una táctica común para robar datos confidenciales, como información de inicio de sesión o detalles de tarjetas de crédito. Un hacker te envía un e-mail, un SMS o un mensaje en las redes sociales, con un link que al abrirlo puede instalar un virus en tu dispositivo. Este virus le da acceso al hacker a información confidencial o encripta tus datos para impedir que puedas acceder a ellos hasta que le pagues (en ataques de ransomware).

El hacker generalmente se hace pasar por alguien que tu conoces y en quien confías, por ejemplo, tu compañero de trabajo, tu jefe o el CEO, por lo que te sentirás apurado para responder a su solicitud sin prestar demasiada atención.

Enseñar a tus colaboradores a cómo reconocer e-mails de phishing, SMS, mensajes de WhatsApp e incluso llamadas sospechosas (que son más difíciles de identificar) puede ser de gran ayuda para proteger los datos de tu empresa.

La mejor práctica es siempre usar un canal secundario para verificar el mensaje: si recibes un e-mail, un mensaje de texto o una llamada, puedes usar Slack para confirmar que no se trata de fraude. Si no tienes Slack, llama o envía un mensaje de texto a tu compañero de trabajo para confirmar que se trata del número real de este.

10. Haz que tus colaboradores usen un password manager

Un password manager es una herramienta que encripta toda tu información de inicio de sesión para diferentes sitios web y softwares en tus dispositivos, y la mantiene segura en un solo lugar. De esta manera, tus colaboradores no necesitan recordar varias contraseñas para los diferentes servicios que utilizan y pueden evitar usar las mismas contraseñas para todo, lo que aumenta los riesgos de seguridad.

Los password managers también te ayudan a generar contraseñas aleatorias, que son difíciles de descifrar. En Deel usamos Keeper porque tiene las funciones más potentes para equipos grandes.

11. Garantizar la privacidad de los datos y el cumplimiento del GDPD cuando contrates a nivel internacional

Los conceptos de seguridad y privacidad de los datos son ligeramente diferentes.

La privacidad de los datos se refiere a la protección de los datos personales de una persona que se pueden utilizar para identificarla, ubicarla o exponerla de alguna manera: nombre, dirección, información de contacto, datos financieros, etc. La seguridad de los datos hace refrencia a que la persona que controla o posee los datos puede elegir con quien compartirlos, manteniendo los datos a salvo de accesos no autorizados.

En contratación internacional, la privacidad de los datos de los colaboradores representa una preocupación adicional ya que muchos países tienen leyes estrictas sobre esto.

Por ejemplo, el Reglamento General de Protección de Datos (GDPR) se aplica a cualquier persona ubicada en la Unión Europea. Las nuevas normas de protección de datos entraron en vigor en 2018, por lo tanto, al día de hoy, cualquier empleador que controle o procese datos personales de un empleado ubicado en la UE, está sujeto al cumplimiento del GDPR. Las posibles sanciones por incumplimiento incluyen multas económicas que en ocasiones alcanzan millones de euros.

Las empresas pueden tomar varias medidas para garantizar que los procesos de protección de datos estén vigentes cuando quieran contratar empleados de la UE.

Firma un Acuerdo de Procesamiento de Datos (DPA) con terceros que acceden a tus datos

El empleador debe tener un Acuerdo de procesamiento de datos (DPA) firmado con todas las partes involucradas en el procesamiento de datos, incluidos los proveedores de servicios de global payroll. El DPA describe cómo las partes procesarán y almacenarán los datos, al tiempo que garantizan el cumplimiento del GDPR: políticas de seguridad adecuadas, encriptación siempre que sea posible, medidas de protección de datos físicos, evaluaciones de riesgos, entre otros.

Encuentra un fundamento legal para procesar datos personales

El empleador debe tener un fundamento legal claro para procesar datos personales, como ejercer el acuerdo laboral o para temas de compliance. Es posible que no siempre sea suficiente tener el consentimiento del empleado por escrito, ya que algunas leyes, como las de Reino Unido, lo consideran inválido debido al desequilibrio de poder entre el empleador y el empleado.

Contrata a través de un employer of record (EOR) para garantizar el compliance

Para el pleno cumplimiento de los requisitos legales y la protección contra las responsabilidades, las empresas pueden contratar trabajadores remotos en la UE, por ejemplo, a través de un employer of record. Un EOR crea contratos legales y ofrece experiencia legal para cada región donde tiene subsidiarias. Por ejemplo, Deel garantiza la seguridad y la privacidad de los datos con políticas estrictas y un hosting seguro del que se realiza una copia de seguridad y el cual se encripta todos los días, todo esto mientras lleva a cabo diferentes tests para identificar cualquier vulnerabilidad en el sistema.

Contrata internacionalmente y de forma segura con Deel

Construir un equipo global es complejo y va mucho más alla de simplemente firmar un contrato y hacer pagos regulares a los colaboradores extranjeros. Los asuntos legales, el compliance, la seguridad de los datos son solo algunos aspectos a tener en cuenta si quieres acceder al pool de talentos global o expandir tu empresa a nuevos mercados.

Afortunadamente, Deel simplifica la contratación internacional legal. Permitimos que las empresas contraten en cualquier parte del mundo, mientras garantizamos el pleno cumplimiento de las leyes laborales locales y ofrecemos una gestión sencilla de los pagos de los empleados en una misma plataforma.

¿Quieres saber más sobre cómo funciona Deel? Habla con uno de nuestros expertos y descubre cuál es el plan se adapta a tu empresa.

Deel hace muy simple el crecimiento de los equipos remotos e internacionales.
¿Estás listo para empezar?

Solicita un demo

+

Países

+

Clientes

+

Firmas legales

+

Monedas
    © Copyright 2024. All Rights Reserved.