Krypton Solid

Krypton Solid
Krypton Solid

La última tecnología en raciones de 5 minutos

6 formas en que RR.HH. puede garantizar la ciberseguridad para los trabajadores remotos

El aumento exponencial del trabajo remoto ha proporcionado a los piratas informáticos una variedad de puntos finales vulnerables.

Si bien el trabajo remoto no es nuevo, el porcentaje de personas que trabajan de manera remota no tiene precedentes, dijo Daniel Kennedy, analista de investigación senior de 451 Research, una parte de S&P Global Market Intelligence, con sede en Nueva York.

Aumentar la conciencia de los empleados es clave para hacer de la empresa un objetivo poco atractivo y frustrar cualquier brecha de seguridad cibernética. Y los líderes de RR.HH. y sus equipos, que trabajan con TI, tienen un papel importante en esa conciencia.

Aquí hay seis estrategias que los equipos de RR.HH. pueden seguir para lograrlo.

1. Comprender el papel de RR.HH. en la concienciación sobre la seguridad.

Los equipos de recursos humanos deben comprender completamente los peligros que puede traer a su empresa trabajar desde casa.

«Los atacantes se aprovecharán de las vulnerabilidades del software de terminales, exploits web, phishing de correo electrónico y otras formas de ingeniería social para comprometer los terminales», dijo Heidi Shey, analista principal de seguridad y riesgo de Forrester.

La participación de RR.HH. es crucial para aumentar la conciencia de seguridad de los empleados, que es vital para frustrar los ataques de ciberseguridad.

«Si bien las empresas pueden tomar medidas para proteger los puntos finales, los datos y el acceso a la red, no es suficiente», dijo Shey. «También deben ayudar a guiar a los empleados a comprender los riesgos de trabajar de forma remota».

2. Adaptar las políticas de seguridad de los dispositivos personales

Los tiempos de crisis exigen medidas de seguridad nuevas y más sólidas.

RR.HH. y TI deben trabajar juntos primero para crear una política clara y coherente para el uso de dispositivos personales, dijo Shey.

«Comunique claramente a los empleados lo que significa si van a utilizar un dispositivo personal con fines laborales», dijo. «Puede significar que los empleados deben descargar e instalar software específico para que TI administre el dispositivo o que TI pueda borrar su dispositivo de forma remota».

Los trabajadores pueden tomar diferentes decisiones sobre dispositivos cuando entienden que usar dispositivos personales para el trabajo significa ceder ciertos derechos de privacidad y control a su empleador.

«Algunos empleados pueden desear mantener una separación entre su trabajo y su vida personal y, como resultado, optar por no usar un dispositivo personal con fines laborales», dijo Shey.

3. Manténgase actualizado sobre las amenazas a la seguridad cibernética

Los hackers siempre están mejorando e improvisando sus modos de ataque. Sin embargo, TI puede monitorear continuamente el panorama de amenazas y descubrir los métodos preferidos antes de un ataque. TI y RR.HH. pueden mantener una línea de comunicación abierta para que RR.HH. pueda aumentar inmediatamente la conciencia de los empleados.

Dos de las amenazas más comunes que probablemente persistan en el futuro previsible son el phishing y las intrusiones en la red.

Los correos electrónicos de phishing engañan a los trabajadores para que revelen sus contraseñas, códigos de acceso y otra información de identificación del usuario, que los atacantes utilizan para acceder a los datos, el dinero y los sistemas de la empresa.

«[While] No considero [phishing] una nueva amenaza, están apareciendo nuevas variaciones dirigidas al empleado que trabaja desde casa, y algunas son bastante efectivas «, dijo Kennedy.

«Por ejemplo, piense en un correo electrónico que haga referencia al rastreo de contactos», dijo. «Contiene todas las características de un buen esquema de phishing: [it’s] oportuno [and] urgente y [it] genera una respuesta basada en la preocupación o el miedo «.

Sin embargo, no es solo el correo electrónico lo que otorga a los atacantes la salida a los puntos finales.

Las redes domésticas son fundamentalmente diferentes a las redes corporativas y, por lo tanto, son más vulnerables, dijo Kennedy.

Un ejemplo de un punto final débil son los enrutadores domésticos con interfaces de administración de fácil acceso a través de contraseñas predeterminadas o débiles, dijo.

Esto puede exponer servicios que normalmente no están permitidos por un firewall corporativo.

«Es posible que la red Wi-Fi no esté protegida con tanta eficacia y que el comportamiento de otros usuarios en la red compartida sea diferente», dijo Kennedy. «Por ejemplo, es probable que la mayoría de los compañeros de trabajo de su oficina no jueguen a los juegos descargados después de terminar el trabajo del día, pero [their] los niños son.»

IoT también presenta una variedad diferente de puntos finales y representa una amenaza mayor en las redes domésticas que en las redes comerciales. Smart TV, teléfonos móviles y electrodomésticos inteligentes son todos ejemplos de dispositivos conectados a redes domésticas.

La persona promedio tiene seis dispositivos conectados, dijo Shey.

Y eso significa más oportunidades para los piratas informáticos.

«Incluso antes de la pandemia, vimos cómo los dispositivos de IoT de los consumidores estaban aumentando la superficie de ataque», dijo Shey.

Sin embargo, hay cosas que las empresas pueden hacer para mitigar estos problemas de forma eficaz.

«RR.HH. puede trabajar con [chief information security officer] para hacer una lluvia de ideas sobre una serie de estrategias de seguridad, desde un aumento de las iniciativas de concienciación sobre la seguridad hasta una nueva mirada a los controles de terminales en las computadoras portátiles de los empleados «, dijo Kennedy.

4. Aproveche la experiencia en relaciones públicas y marketing

La ciberseguridad funciona mejor cuando todos en la empresa se preocupan y comprenden exactamente qué es y cómo impulsar la eficacia de la empresa. Eso significa que RR.HH. y TI pueden querer comunicarse con otros departamentos para obtener ayuda para aumentar la conciencia sobre la seguridad.

En particular, los departamentos de relaciones públicas y marketing tienen habilidades para ayudar a impulsar la eficacia de los mensajes.

«La gente de marketing y relaciones públicas de una empresa pasa gran parte de su día pensando en cómo crear mensajes que llamen la atención», dijo Kennedy. «Algunas de las mejores campañas de concientización parecen campañas publicitarias».

No tenga miedo de involucrar a estos expertos en el programa para ayudar a crear el mensaje, dijo.

5. Centrarse en la colaboración de RR.HH. y TI para implementaciones de control de seguridad

RR.HH. y TI deberán trabajar en estrecha colaboración para mejorar la seguridad sin sobrecargar a los empleados.

«Lo más importante que RR.HH. puede hacer en este momento de incertidumbre y estrés para los empleados es empatizar y concentrarse en la experiencia del empleado», dijo Shey. «La mayor [security] El riesgo para las empresas en este clima es cómo tratan a sus empleados ya que las dificultades financieras, el miedo a los despidos y el descontento hacia los empleadores crean un entorno perfecto para las amenazas internas «.

Asegúrese de que los empleados comprendan el por qué detrás de la medida de seguridad, qué se espera que hagan y a quién contactar si tienen problemas o preguntas.

Heidi SheyAnalista principal de seguridad y riesgo, Forrester

Por ejemplo, una mala experiencia de los empleados puede motivarlos a luchar contra los cambios, en lugar de aceptarlos. Una de las respuestas más comunes que puede tener un empleado es trabajar alrededor de los controles o no apoyarlos. Esa falta de soporte abrirá a la empresa a más ciberataques..

«A los empleados a veces se les da poca importancia cuando se trata de la implementación de controles de tecnología de seguridad», dijo Kennedy. «El proceso de pensamiento es que están sujetos a lo que sea que implemente la empresa; sin embargo, [employees] generalmente tienen más capacidad de acción de lo que la gente cree «.

Esto significa que TI realmente necesita confiar en el conocimiento de RR.HH. sobre la experiencia de los empleados al implementar nuevos controles de seguridad.

«RRHH y TI [should] Piense en la implementación de estos controles como, aunque no al nivel de implementar algo para un cliente o cliente, más cerca de ese nivel «, dijo Kennedy.

Hay formas de fomentar la adopción por parte de los usuarios, dijo Kennedy. Aquí hay algunas ideas que pueden ayudar:

  • Pruebe cuidadosamente la usabilidad de cualquier control de seguridad antes de la implementación.
  • Explique detalladamente el razonamiento y lo que se pretende que aborde el control, por ejemplo, con la capacitación en concientización.
  • Esté abierto a recibir comentarios sobre la fricción que crea un control o cómo dificulta el trabajo de los usuarios.
  • Sopese esa fricción con los riesgos que se están mitigando y decida si debe continuar o si debe ajustarse el control.

6. Apelar a los intereses personales

Una regla principal de marketing es comprender a la audiencia y apelar a sus inquietudes. Dado que los problemas de seguridad pueden parecer distantes de cualquier preocupación personal, RR.HH. debe trabajar doblemente duro para vincular la seguridad a algo que le importa a la audiencia.

«Hay muchas formas de educar a los empleados sobre la importancia de la ciberseguridad y cómo funciona la ciberseguridad», dijo Charles Russman, abogado de empleo y ciberseguridad en Clark Hill, un bufete de abogados internacional. «Los dos más críticos son la personalización y el compromiso de los ejecutivos».

La personalización significa explicar a los empleados que la ciberseguridad es fundamental no solo para la continuidad del negocio, sino que también protege sus propios datos y los datos que la empresa tiene sobre sus familiares, como los del plan de salud de la empresa, dijo.

Es más probable que los empleados estén atentos cuando comprenden que su seguridad y la seguridad de su familia está en riesgo.

Explicar por qué los empleados deben tomar acciones de seguridad específicas, y el daño que puede resultar de no hacerlas, tiende a ser más efectivo que simplemente dar instrucciones sobre cómo tomar varias precauciones de seguridad.

«Asegúrese de que los empleados comprendan por qué detrás de la medida de seguridad, qué se espera que hagan y a quién contactar si tienen problemas o preguntas «, dijo Shey.

También te puede interesar...

Comprender los beneficios de las funciones sin servidor

Las API RESTful de hoy y las plataformas sin servidor pueden ser una combinación perfecta. A pesar del nombre, la informática sin servidor en realidad no significa que no haya servidores involucrados. Simplemente significa que

¿Qué es la autonomía como servicio?

La autonomía como servicio es la oferta de sistemas automatizados y totalmente no tripulados por un proveedor de servicios. La oferta permite a las empresas con poca experiencia en automatización utilizar sistemas automatizados que de

¿Qué es Cellular Vehicle to Everything (C-V2X)?

Cellular Vehicle-to-Everything (C-V2X) es una plataforma de conectividad unificada diseñada para ofrecer vehículos de baja latencia de vehículo a vehículo (V2V), infraestructura de vehículo a carretera (V2I) y de vehículo a peatón (V2P) comunicación. Al

Una mirada al interior de su mundo confuso

Cuando Susan Taylor, vicepresidenta del proveedor de la plataforma de participación del paciente Pegasystems, comienza a desesperarse por la lentitud del CRM en la atención médica, intenta recordar una cosa: «Amazon tardó 20 años en

Tipos definidos por el usuario

Otra característica nueva importante en SQL Server 2005 que está habilitada por la integración de .NET CLR es la capacidad … para crear verdaderos tipos definidos por el usuario (UDT). Con los UDT, puede ampliar

Los socios se abren sobre el conflicto del canal

La longevidad de una relación, al parecer, no es necesariamente una buena métrica de cuán exitosa es. Pregúntele a AGJ Systems. El proveedor de servicios administrados (MSP) con sede en Gulfport, Mississippi, ha tenido una

Cómo unir CI, CT y CD en una canalización de DevOps

La integración continua, las pruebas continuas y la entrega continua aceleran el proceso de publicación del código y, por lo tanto, son cruciales para DevOps. Estos procesos a menudo se denominan Canalización de CI /

¿Es RPA el futuro de la automatización de pruebas?

Las habilidades de prueba de software se pueden trasladar a otras áreas de TI, como el diseño, el análisis y la programación de aplicaciones, incluso la automatización inteligente. Las tecnologías emergentes, como la automatización de

Rendimiento del procesador y la memoria del servidor host

Conclusión del proveedor de soluciones: Aunque VMware ESX Server es compatible con una amplia variedad de hardware de servidor, no siempre es recomendable virtualizar servidores antiguos. Este extracto de capítulo, de VMware ESX Essentials en

¿Qué es un análisis de seguridad autenticado?

Un escaneo de seguridad autenticado es una prueba de vulnerabilidad realizada como un usuario registrado (autenticado). El método también se conoce como análisis con sesión iniciada. Los análisis autenticados determinan qué tan segura es una

¿Qué es el derecho al olvido?

El derecho al olvido es el concepto de que las personas tienen el derecho civil de solicitar que se elimine información personal de Internet. En la Unión Europea, el derecho al olvido también se conoce

Cómo definirlos y usarlos

El estado de una empresa puede ser poderoso. Un área donde las métricas son extremadamente importantes es en el centro de operaciones de seguridad (SOC). Sin embargo, a pesar de su importancia, muchos equipos de

Clave una propuesta de proyecto de TI

Llegará un momento en el que necesitará gastar dinero en el entorno de TI. Los gastos pequeños que mantienen las luces encendidas en TI permanecen en gran medida ocultos a la vista, financiados por los

Se rumoreaba: Tiffani Bova se une a Salesforce

Rumor, rumor, rumor, llámelo como quiera, la verdad del asunto es que esta vez el rumor acertó con la noticia oficial de que Tiffani Bova, vicepresidenta, distinguida analista e investigadora de Gartner Group, se ha

¿Qué es Wi-Fi (estándar 802.11x)?

Wi-Fi es un término para ciertos tipos de redes de área local inalámbricas (WLAN) que utilizan especificaciones de la familia 802.11, por ejemplo, Wi-Fi Direct, una especificación de igual a igual que permite dispositivos certificados

Diez cambios clave con SQL Server 2008 R2

La última versión de Microsoft SQL Server es bastante diferente de sus predecesoras. Si bien la base de código básica no ha cambiado, muchas otras cosas sí lo han hecho, incluidas dos ediciones completamente nuevas,

Fall Creators Update obtiene ADK simultáneo

Bien, todo el mundo sabe que Fall Creators Update para Windows 10, también conocido como Build 1709, se lanzará el 17/10. Pero el viernes 13 de octubre, MS publicó información sobre qué más está disponible

Deja un comentario