Consideraciones de seguridad y privacidad de la fuerza de trabajo

En 2012, un desarrollador de software que trabajó principalmente a distancia para una empresa estadounidense tuvo la idea de externalizar totalmente su trabajo a China.¹ Finalmente fue capturado después de unos meses debido a las sospechas sobre el origen de sus conexiones de red privada virtual (VPN). De hecho, literalmente envió su clave de acceso VPN física a su “empleado” remoto para permitirle acceder a los sistemas de la empresa. Aunque esta historia puede parecer en cierta medida anecdótica, plantea algunos problemas graves sobre las consideraciones de seguridad e incluso la privacidad en torno al trabajo remoto y lo que implica. ¿Cómo es posible que un empleado dio acceso no autorizado a la información de su empresa a un externo durante tanto tiempo sin que sea notado? ¿Cuáles son las consecuencias legales y de reputación para la empresa? ¿Se monitorean siempre las conexiones de los empleados y cuáles son las intenciones del empleador al monitorearlos?

El trabajo a distancia tiene muchas ventajas, tanto para la empresa como para los empleados. En los últimos años, se ha convertido cada vez más utilizado por las empresas como un beneficio. En algunos países, como el Reino Unido, es incluso un derecho de los empleados a solicitar el trabajo móvil.² El deseo de movilidad proviene del sentido de flexibilidad, libertad y autogestión que conlleva, especialmente para aquellos que necesitan vigilar a sus hijos y/o tener un largo tiempo de desplazamiento para llegar a su oficina física. También da una sensación de propiedad del trabajo a los empleados, aunque a menudo agrega una presión “oculta” sobre ellos. Por ejemplo, los empleados remotos no quieren que su gerencia piense que, si no están entregando como esperado, es porque el trabajar remotamente los está afectando/retrasando; Por lo tanto, trabajarán incluso más que las horas contractuales para cumplir. También ayuda a las empresas a reducir costos, especialmente en renta y utilidades, y encontrar empleados calificados, independientemente de su ubicación. Con el progreso de la tecnología, la fuerza de trabajo móvil es una tendencia que no va a detener e incluso se expandirá. Se prevé que para 2020, el 72,3 por ciento de la mano de obra estadounidense será remota.³

También está claro que esta mano de obra moderna viene con riesgo, que puede ser sustancial si no se aborda adecuadamente.

Fuerza de trabajo móvil y tecnología

La tecnología permite la fuerza de trabajo móvil. En los últimos años, muchas empresas tecnológicas como Google, Amazon e IBM han comenzado a invertir masivamente para ofrecer servicios basados en la nube para responder a las necesidades de las empresas. Además de estar dispuestos a promover la movilidad de la mano de obra, se debería invertir en Tecnología para implementarlo efectivamente.

Con el desarrollo y la mejora continua de las tecnologías en la nube, ahora es muy fácil traer casi todas las herramientas utilizadas en el lugar de trabajo físico a los hogares de los empleados e incluso a sus teléfonos inteligentes. En muchas empresas, los empleados pueden incluso usar sus propios dispositivos e instalar seguridad para asegurar la información.

También hay muchas compañías que ofrecen diversas herramientas para videoconferencias, llamadas en conferencia y uso compartido de documentos como Skype, Webex y Hangout de Google, que permiten la conexión y la colaboración entre empleados y clientes. Un reciente ejemplo importante de inversión en tecnología basada en la nube es la asociación de PricewaterhouseCoopers (PwC) con Google para cambiar a herramientas colaborativas para mantenerse a la vanguardia de la tecnología y aprovechar toda la oportunidad que ofrece la fuerza de trabajo móvil.⁴ Según una encuesta realizada por PwC, el 77 por ciento de los directores generales (CEOs) creen que las tecnologías son un motor de alto valor para la colaboración.⁵ Esta es otra indicación de que la tendencia de la movilidad de la fuerza laboral es probable que continúe. Nuevas soluciones y conceptos relacionados todavía están por venir.

Otros de los principales beneficiarios de estos servicios en la nube son los empresarios y las nuevas empresas, que no sólo han visto una disminución dramática en los costos de TI y la dependencia de las habilidades desde donde estaban hace años, sino que también han podido encontrar a las personas adecuadas alrededor del mundo para apoyar sus negocios sin tener que preocuparse por la inmigración. Esto es particularmente importante ya que el mundo está experimentando actualmente una oleada de nuevas empresas, desafiando los modelos de negocio existentes mediante la introducción de la digitalización y los grandes datos (Big Data). En respuesta a eso, las empresas están transformando sus negocios para sobrevivir siguiendo las tendencias. Cada vez más, los datos de los clientes son y se analizan para predecir las necesidades de los clientes.

Principales riesgos asociados con la fuerza de trabajo móvil

Como se señaló anteriormente, el objetivo de la movilidad de la fuerza de trabajo es permitir que los empleados trabajen donde quieran. Ellos podrían estar trabajando en casa, que es relativamente seguro, o podrían optar por trabajar en áreas públicas como cafés, parques o paradas de autobús. Por supuesto, esto provoca graves amenazas, no sólo a la integridad de los datos, pero también a la seguridad física de los empleados. Estas amenazas son más fáciles de mitigar cuando se trabaja en una oficina física porque hay un montón de contramedidas que las empresas han estado implementando durante décadas. Si bien la negligencia de los empleados remotos puede ser una fuente importante de riesgo relacionado con los activos de la empresa, también existe un riesgo relacionado con la tecnología en la nube. A continuación, se describen las principales áreas de riesgo a considerar cuando se trata de una fuerza de trabajo móvil.

Activos de la empresa
El mayor riesgo en esta área es la pérdida o daño a los activos cuando están en posesión de los empleados remotos. Estos activos pueden ser físicos (computadores portátiles, teléfonos móviles, tabletas) o lógicos (datos de los clientes, datos de los empleados, otra información crítica). Las amenazas pueden variar desde que un niño vierte agua en una computadora portátil a un dispositivo compartido dentro de la familia del empleado sin las salvaguardias apropiadas a una pantalla de computadora inadvertidamente dejada desbloqueada mientras que exhibe la información sensible. Hay muchas situaciones que pueden conducir al deterioro de los activos. En un simple ejemplo, Kendi, que es un empleado de ABC, tiene una llamada importante para discutir información confidencial. Ella decide hacer la llamada desde su jardín y su vecino e incluso uno de sus invitados está escuchando la conversación. En el peor de los casos, la parte de la conversación de Kendi puede ser grabada y dicha Información sea divulgada al público en general. Las consecuencias podrían ser catastróficas para su empresa, sus clientes e incluso ella misma.

Además, los hackers u otras personas u organizaciones que estén dispuestas a robar datos de una empresa pueden aprovechar los trabajadores remotos para realizar sus tareas sabiendo que es más probable que tengan éxito al atacar a un empleado aislado que romper las Capas de seguridad de toda una organización.

Seguridad personal
Los empleados que llevan o almacenan activos importantes de las empresas en el hogar están en mayor riesgo de ser atacados para tomar el control del activo. Puede ser un ladrón que está dispuesto a robar un teléfono móvil y revenderlo sin ningún conocimiento de los contenidos, o puede ser un grupo criminal más organizado que es plenamente consciente del valor de los datos en posesión del empleado.

Esto es particularmente cierto para los trabajadores que trabajan de manera consistente en casa porque el nivel de seguridad en el hogar es poco probable que sea tan riguroso como en un edificio de oficinas, y los criminales se dan cuenta, a partir de la rutina diaria del trabajador, que pueden tomar tiempo para planificar sus actividades Y, por lo tanto, aumentar su probabilidad de éxito.

Tecnologías de la nube
Si una empresa externaliza parcial o totalmente sus sistemas e infraestructuras, el riesgo típico de TI relacionado con la confidencialidad, la integridad y la disponibilidad en torno a la administración y gestión de TI, el acceso a los programas y datos, la gestión del cambio y las operaciones aún se mantiene. Además del riesgo que suele existir en un entorno de oficina, el riesgo derivado del uso de Internet y todo lo que conlleva aumenta significativamente. De hecho, debido a que los proveedores de nube tienen muchos clientes, la información que almacenan y administran tiene un gran valor para los piratas informáticos, que tratarán de aprovechar el uso de Internet para encontrar brechas en el sistema de información y obtener acceso a los datos.

Es fundamental que las empresas sean conscientes de que los proveedores de la nube tienen sus propios empleados que pueden acceder a los datos de las empresas (por lo tanto, los datos de los clientes) y robar esos datos para diversos fines.

Regulación y Cumplimiento
Dependiendo de sus actividades, las empresas están obligadas a cumplir con diversas leyes y reglamentos sobre sus sistemas de información y los datos que manipulan. Estos reglamentos difieren de un país a otro. En los EE.UU., la seguridad de los datos de atención de la salud se rige principalmente por el Seguro de Salud de EE.UU. (HIPAA), mientras que en el Reino Unido existen la Ley del Servicio Nacional de Salud (NHS) de 2006, la Ley de Salud y Asistencia Social de 2012 y la Ley de Protección de Datos.

Las empresas deben ser extremadamente cuidadosas con las regulaciones con las que deben atenerse todas las partes interesadas involucradas en el trabajo móvil. En general, las empresas son responsables de la seguridad de sus sistemas de información, independientemente de si externalizan o no su TI. Es responsabilidad de la compañía asegurarse de que los datos de los clientes permanezcan Confidencial y precisa. Si el proveedor de la nube o un trabajador remoto se encuentra en una región o país donde la protección de datos no es estricta, los datos podrían estar en riesgo.

Preocupaciones sobre la privacidad

Al establecer políticas relacionadas con la fuerza de trabajo móvil, las empresas pueden tomar acciones que pueden ser vistas como violaciones de privacidad para los empleados. Algunas compañías monitorean todas las actividades (incluyendo la comunicación) y los archivos de los dispositivos dados a los empleados e incluso rastrea su ubicación. Por supuesto, si no hay una regulación obligatoria que proteja la privacidad de los empleados, puede haber abusos que pueden tener consecuencias trágicas.

Las compañías siempre promoverán los beneficios de monitorear sus dispositivos por razones de seguridad o de negocios, pero los empleados deben estar conscientes de sus preocupaciones sobre la privacidad y asegurarse de que su vida personal e información no se verán afectadas. Según una encuesta realizada por MobileIron, el 30 por ciento de los empleados móviles están dispuestos a abandonar su empresa si sus dispositivos son supervisados.⁶

Trabajar remotamente a menudo puede afectar o exponer a su familia. Recientemente, los hijos del profesor Robert Kelly entraron en su oficina durante su entrevista televisiva con la BBC, seguida por su esposa, que trataba de sacarlos de la vista.⁷ Ese video fue visto millones de veces en las redes de medios sociales, y su familia se hizo pública.

Recomendaciones

Hay varias medidas que las empresas pueden tomar para proteger sus activos y recursos. El primero es identificar y documentar claramente todas las áreas potenciales de seguridad y privacidad relacionadas con el trabajo móvil. Ayudará a la empresa a estructurar su respuesta a esas áreas de riesgo y a encontrar medidas apropiadas. Algunas respuestas típicas que se pueden implementar siguen.

Políticas de seguridad y privacidad
Las políticas apropiadas y los procedimientos relacionados deben ser definidos para dar instrucciones claras sobre cómo los activos y los recursos deben utilizarse a distancia para garantizar su seguridad. La política de uso aceptable debe indicar claramente lo que pueden o no pueden hacer los empleados remotos con los activos de la empresa, haciendo especial hincapié en el uso personal.

Las políticas de recursos humanos tienen que ser claras en cuestiones de privacidad, por lo que esas políticas deben definir claramente los límites dentro de los cuales se llevará a cabo el monitoreo y (potencialmente) rastreo y cómo la privacidad de los empleados está protegida por la empresa. Las empresas deben asegurarse de que sus empleados son conscientes de esas políticas y han dado su consentimiento. Estas políticas deben ser aplicadas y supervisadas por una función independiente, y los empleados deben tener una persona o equipo dedicado para hablar si sienten que su privacidad no se respeta.

Programas de Capacitación y Concientización
Una de las maneras más eficaces de asegurar los activos de la empresa es ofrecer campañas de formación y sensibilización periódicas. Estos eventos deben describir el riesgo asociado con los sistemas de información utilizados por los empleados que están trabajando a distancia y las posibles consecuencias de una violación de privacidad para el empleado, la empresa, sus clientes y el personal. Las comunicaciones de concientización deben discutir temas que van desde evitar accidentes domésticos que pueden dañar los activos a no conectar una unidad de bus serie universal (USB) desconocida en una computadora portátil de la empresa o usar dispositivos públicos para acceder aplicaciones de negocios. En última instancia, los empleados tienen que comprometerse a la seguridad de la información; de lo contrario, muchas otras medidas podrían ser inútiles.

El involucrar activamente a los empleados en la definición y el monitoreo de la seguridad de los activos de la empresa les da un mejor sentido de propiedad y aumenta el cumplimiento de las políticas de seguridad. Además, los trabajadores remotos tienen que ser constantemente conscientes de que su seguridad personal podría estar en riesgo y deben hacer todo lo posible para evitar estar en situaciones amenazantes.

Seguro
Si se divulgan los datos de los clientes, los daños financieros pueden ser significativos. Al contraer una póliza de seguro contra pérdidas o daños de activos, las empresas pueden protegerse contra tales costos. Por supuesto, la prima del seguro puede aumentar potencialmente debido al aumento del riesgo derivado del trabajo a distancia.

Supervisión de proveedores en la nube
La elección del proveedor de la nube es la decisión clave que deben tomar las empresas una vez que se comprometen a utilizar los servicios en la nube. El proveedor debe ser apropiado no sólo en términos de coste, sino también reputación, cumplimiento de regulaciones y evidencia de una cultura de control fuerte.

En relación con el último punto, el proveedor debe poder producir un informe de aseguramiento de terceros, firmado por un auditor independiente, que muestre el estado de su control interno de seguridad. Por supuesto, el sistema de control interno del proveedor siempre debe ser adicional a los controles administrados y operados por la propia empresa. Vale la pena señalar que apenas recibir el informe no es suficiente; las empresas necesitan analizarla en detalle y asegurar que el nivel de seguridad sea apropiado para su negocio.

Comunicaciones remotas seguras
La comunicación remota es definitivamente una de las áreas clave a considerar cuidadosamente con respecto al trabajo móvil. Los sistemas de la empresa no sólo se acceden desde sus oficinas, sino también desde lugares desconocidos que pueden presentar sus propios riesgos y debilidades. Para evitar, o al menos disminuir significativamente, el riesgo de intrusión en la empresa, el monitoreo continuo de la red debe ser realizado usando la tecnología más avanzada y actualizada que la compañía puede permitirse. Además, las comunicaciones críticas entre los dispositivos y los servidores de la empresa deben ser cifradas. Los empleados deben ser informados regularmente para evitar el uso de Wi-Fi pública, a menos que se hayan implementado medidas de seguridad apropiadas (por ejemplo, conexión VPN).

Dispositivos seguros y su contenido
Si se pierde un dispositivo, los intrusos pueden acceder fácilmente si no se ha asegurado adecuadamente. Por lo tanto, los datos críticos deben ser cifrados, y la contraseña fuerte y la configuración de seguridad de la sesión debe ser aplicada. El bloqueo de pantalla después de un período de inactividad debe establecerse en un valor bajo. El software antivirus debe actualizarse periódicamente mediante un método de “empuje” y los dispositivos cuyo software antivirus no esté actualizado deben restringirse de la conexión remota a sistemas críticos.

Desde una perspectiva física, cerraduras de computadora se puede dar a los empleados para que puedan bloquear físicamente su computadora cuando están lejos de ella. En teléfonos móviles o tabletas, las aplicaciones de administración de dispositivos y suites como Good o MobileIron pueden ayudar a proteger los datos empresariales.

Notas finales

¹ BBC, “US Employee ‘Outsourced Job to China’,” 16 January 2013, www.bbc.co.uk/news/technology-21043693
² Gov.UK, “Flexible Working,” https://www.gov.uk/flexible-working/overview
³ The Telegraph, “Today’s Mobile Workforce: Any Time, Any Place,” 5 September 2016, www.telegraph.co.uk/business/ready-and-enabled/todays-mobile-workforce-any-time-any-place/
⁴ Archer, T.; M. Daigle; “PwC and Google for Work,” https://gsuite.google.co.uk/intl/en_uk/learn-more/pwc_and_google_bringing_transformation_to_work.html
⁵ PricewaterhouseCoopers, “Redefining Business Success in a Changing World—CEO Survey,” January 2016, https://www.pwc.com/gx/en/ceo-survey/2016/landing-page/pwc-19th-annual-global-ceo-survey.pdf
⁶ Cook, D.; “Employees Expect Mobile Device Privacy at Work,” BenefitsPro, 22 July 2015
⁷ BBC, “BBC Interview With Robert Kelly Interrupted by Children Live on Air,” 10 March 2017, www.bbc.co.uk/news/world-39232538