El auge del teletrabajo durante la pandemia de la Covid-19 se ha vuelto caldo de cultivo para que los ciberdelincuentes hagan de las suyas, robando información y datos privados de las empresas.
Los cibercriminales, y su nueva forma de operar consiste, en la mayor parte de casos, en hacerse pasar por organismos internacionales de salud (como la Organización Mundial de la Salud) y otras entidades gubernamentales. Esto, a través de campañas de correo electrónico maliciosas, diseñadas para invocar al miedo, con la esperanza de desencadenar acciones que les brinden la oportunidad de obtener acceso a sistemas de información sensible.
Sin embargo, este momento también se puede convertir en una gran oportunidad para que las empresas tengan una adaptabilidad a los desafíos cibernéticos. Aquí algunas recomendaciones:
Los riesgos cibernéticos aumentan al realizar trabajo remoto o desde casa (home office). Las medidas proactivas pueden mejorar la experiencia de los usuarios y su seguridad al momento de trabajar bajo este esquema. Los dispositivos que no cuenten con la protección necesaria podrían provocar la pérdida de datos, violaciones de privacidad y/o ser víctimas
de ataques del tipo ransomware.
AUMENTO DE CONCIENCIA ANTE NUEVAS AMENAZAS
Ante las constantes amenazas, se debe tener cuidado al manejar cualquier correo electrónico con asunto, archivo adjunto o hipervínculo relacionado con COVID-19; además, se debe utilizar fuentes confiables, como sitios web legítimos del gobierno para obtener información actualizada y basadas en hechos sobre COVID-19.
Asimismo, se recomienda no revelar información personal o financiera en el correo electrónico y no responder a solicitudes de correo para esta información.
GESTIÓN DE LAS CONEXIONES REMOTAS
Las empresas deben identificar y clasificar los requisitos de conexión remota, reconociendo los riesgos y confirmando rápidamente el umbral de seguridad del negocio permitido bajo esta situación. Al mismo tiempo, deben evitar la aceptación de una gran cantidad de excepciones que socavan el nivel de gestión y control de seguridad de la información.
PLAN DE GESTIÓN DE CRISIS CIBERNÉTICA
Las organizaciones pueden mejorar su postura de defensa y preparación para los ciberataques con una buena higiene cibernética, una estrategia de respuesta a incidentes y el diseño e implementación de soluciones de recuperación cibernética, las cuales permitirán mitigar el impacto de los ciberataques.
CONSIDERACIONES PARA DEPENDIENTES DE LA SITUACIÓN DE LA COMPAÑÍA
1. Para las empresas que no han implementado soluciones de colaboración y acceso remoto y no cuentan con oficinas remotas a gran escala, deberán evaluar el alcance y modelo de colaboración empresarial remota en función del tamaño de la compañía y las características de la industria; asimismo, es importante seleccionar herramientas de colaboración razonables; clarificar el alcance del acceso a servicios de oficina; y mejorar el monitoreo de seguridad y protección de los servicios y sistemas de información de la empresa.
2. Para empresas con acceso remoto flexible y soluciones de colaboración ya implementadas, deben llevar a cabo actividades de concienciación y entrenamiento de seguridad de la información y ciberseguridad; además, es clave realizar seguimiento oportuno de accesos sospechosos y situaciones anormales; centrar la atención en garantizar instalaciones de servicio que proporcionen acceso remoto y colaboración de forma segura.
3. Para concluir, para empresas con oficinas corporativas desatendidas, es importante reforzar las restricciones de acceso físico a las oficinas; organizar el monitoreo de seguridad física en el sitio; definir esquemas para responder de manera oportuna; establecer un sistema de servicio remoto para el personal en servicio; y apagar equipos innecesarios de red periférica. Asimismo, en cuanto a la protección de datos privados de los empleados, las empresas deben controlar el acceso, transmisión y uso de dichos datos en el proceso de estadísticas de información de salud y gestión de empleados; finalmente, deben establecer el nivel de protección de datos clínicos y médicos, evitando el uso de plataformas de terceros para su almacenamiento o transmisión.