Recursos

Ciberseguridad en la oficina híbrida latinoamericana

Las restricciones impuestas por la cuarentena obligó a muchas empresas a trabajar desde casa. Este cambio de paradigma necesitó de la adopción de nuevas metodologías de trabajo pero es un nuevo escenario lleno de riesgos para la seguridad.

3/11/2022

La pandemia del COVID-19 marcó un antes y después en muchos aspectos. Las restricciones impuestas por la cuarentena obligó a muchas empresas a mudar a sus empleados de las oficinas a sus hogares para evitar paralizar sus actividades. Este cambio de paradigma necesitó de la adopción de nuevas metodologías de trabajo, aplicaciones que permitieran el trabajo remoto y de capacitaciones que permitieran que los trabajadores ejercieran sus funciones sin problemas. 

Mientras que la mayoría de los nuevos trabajadores remotos latinos aún se debatían qué corbata usar para trabajar en la sala de su casa, los equipos de IT de muchas organizaciones corrían en círculos buscando maneras de no solo de asegurar la continuidad del trabajo, sino también hacerlo eficiente y digitalmente seguro.

Pero, ¿cuáles han sido los cambios más significativos desde el comienzo de la pandemia a hoy cuando ya podemos ver su final?

La oficina Latinoamericana será híbrida, no remota

Organizaciones latinas ya habían adoptado la modalidad remota antes de que fuera cool

Uno de los datos más interesantes que nos encontramos, es que latinoamérica resonaba junto al resto del mundo en cuanto a la adopción del trabajo remoto. Es fácil pensar que la pandemia fue el catalizador de la adopción del trabajo remoto, pero la verdad es que al menos un 66% de las organizaciones encuestadas ofrecía la posibilidad de trabajar de manera remota.

Eso sí, las empresas apenas estaban adoptando medidas para implementar el trabajo remoto, pues solo un 18% tenía políticas claras relacionadas con este. El resto, un 48%, permitían el trabajo remoto pero aún no tenía una estructura política referente a esto. Cabe decir que el trabajo remoto necesita de regulaciones claras que promuevan la continuidad del trabajo y su seguridad, pues una de las necesidades del trabajo remoto es poder acceder a los sistemas organizacionales de una empresa desde cualquier lugar.

Una elección difícil que ahora no quieren dejar ir

En un principio, aquellas organizaciones latinas que aún no habían implementado el trabajo remoto se mostraron un poco reacias a adoptar esta modalidad de trabajo. Pero ahora que la han implementado es poco probable que vuelvan a mantener una modalidad 100% in-office, ya que solo un 2% de todas las organizaciones que encuestamos para nuestro estudio SHIFT, devolverá a sus trabajadores a sus oficinas.

Ahora bien, existe una forma modalidad de trabajo que satisface las necesidades de los trabajadores que prefieren quedarse en su hogar y la de los gerentes que quieren tener a sus trabajadores in-office: la modalidad híbrida. En esta modalidad, los trabajadores se turnan o eligen los días de la semana en los que trabajan remoto y los días en los que trabajan en la oficina.

Un estudio realizado por WeWork concuerda, ya que se encontraron con que un 81% de los encuestados prefieren el modelo híbrido para el trabajo post-pandemia.

Graficos y datos de la proyección de trabajadores post-pandemia
La mayoría de las organizaciones planea mantener una cantidad significativa de empleados trabajando de manera remota o permitir la oficina híbrida.

BYOD, una amenaza latente a pesar de su atractivo

Sea la nueva oficina latinoamericana remota, híbrida o 100% in-office, las prácticas BYOD (siglas de Bring Your Own Device) se han ido implementando en las organizaciones latinoamericanas de forma progresiva. Según nuestros datos, alrededor de un 64% ya había implementado esta práctica durante la pandemia de COVID-19.

Los motivos para permitir a los trabajadores a usar sus dispositivos son muy atractivos, ya que permiten a los trabajadores usar sus propias herramientas con la que ya se sienten cómodos, lo que a su vez permite a las compañías a ahorrar en costos de equipos. Esto hace posible que una empresa invierta en las herramientas a instalar en los dispositivos sin tener que comprar los dispositivos.

Una práctica de cuidado

Pero las medidas de BYOD no son infalibles ni libres de fallos, es más, las empresas que adoptan esta práctica deben adoptar también medidas que busquen proteger tanto a sus trabajadores como a sus sistemas informáticos. Dos de las preocupaciones más elevadas que mostraron las compañías referente al uso de dispositivos fueron el uso de los dispositivos personales en redes empresariales sin una evaluación de riesgos con un 56%, y la falta de protocolos, políticas y modelos de seguridad de los empleados con un 72%

El adoptar prácticas BYOD sin tomar las políticas de seguridad adecuadas abre las puertas a múltiples riesgos de seguridad, como el phishing, el robo de datos y la transmisión de archivos infectados por malware. Claro, esto también puede suceder con dispositivos que pertenecen a la empresa, pero no con tanta frecuencia como pasa con los dispositivos propios de los trabajadores. Hay que tener en cuenta que los trabajadores que usan sus móviles para trabajar también los van a usar fuera del trabajo para fines personales o de recreación.

Implementar medidas de seguridad obligatorias, como la instalación de software de seguridad, VPNs y antivirus, así como la capacitación del personal para identificar peligros potenciales como el phishing, son algunas de las prácticas recomendadas que una organización debe tomar para prevenir problemas con las medidas BYOD.

El arsenal de ciberdefensa en Latinoamérica es peligrosamente básico

Más del 70% de las organizaciones que participaron en el estudio comentaron que usan VPN, Firewalls y Antivirus para proteger sus sistemas, pero aunque sean números altos, si los ponemos al lado del resto de medidas de ciberseguridad adoptadas nos daremos cuenta de un problema grave.

Porcentaje en gráficos y datos de software de ciberdefensa
Las organizaciones latinas han mantenido el uso del VPN, Antivirus y Software.

Menos del 18% de las organizaciones admitió usar otros mecanismos de seguridad como protocolos de administración de acceso, copias de seguridad y cifrado de datos. Esto nos dice que las organizaciones latinoamericanas aún necesitan incluir en sus sistemas medidas más modernas de ciberseguridad.

De nada sirve tener un VPN, o un antivirus o un Firewall si un criminal informático posee credenciales válidas para acceder a los sistemas de la empresa. Ya no basta con tener esas medidas de seguridad, no sólo porque ofrecen una protección mínima al acceso de plataformas de trabajo en la nube, sino porque tampoco ofrece protección contra ataques de phishing o ingeniería social ni resguardan los datos que el sistema posee.

Así como la inclusión de plataformas de trabajo en la nube permite  a los trabajadores acceder a los sistemas desde cualquier lugar, también les permite hacer lo mismo a los criminales informáticos.

Las organizaciones latinas necesitan implementar medidas preventivas

Una de las conclusiones más interesantes a las que se llegó con nuestro reporte SHIFT, es que las organizaciones latinoamericanas saben que hay grandes problemas de robo de datos  e intrusiones ya que muestran una elevada preocupación sobre estos riesgos, pero muy poca inversión e interés en implementar medidas que prevengan tales problemas.

Solo el 10% de las organizaciones invirtió en cifrado de datos y un 12% invirtió en copias de seguridad, dos de las prácticas más recomendadas para protegerse contra el robo y la intrusión de datos, lo cual son cifras muy bajas si tomamos en cuenta que el 74% de organizaciones latinas fueron víctimas de este tipo de ataques durante el año 2021.

Gráficos y datos de uso de software de ciberseguridad
Las cifras de uso del VPN, Antivirus y Firewall muy por sobre otras soluciones demuestra que Latinoamérica aún necesita ponerse al día con los nuevos métodos de ciberataques.

La región está al día en entrenamientos, pero no es suficiente

Las buenas noticias, es que las organizaciones latinoamericanas se encuentran muy dispuestas a ofrecer cursos y capacitaciones que brinden a sus empleados, y por ende, a sus sistemas, la posibilidad de identificar factores de riesgos y de mejorar los tiempos de respuesta contra incidentes.

Un promedio del 67% de las organizaciones encuestadas comentó sobre la inclusión de entrenamientos sobre identificación de tácticas de phishing y amenazas, así como sobre el uso de software de seguridad y protección. Esto nos da a pensar que a pesar de que las empresas latinas estén conscientes de los peligros a los que están expuestos, aún no están convencidas de invertir en la defensa de sus sistemas.

Cifras de capacitación y entrenamiento del personal latino en cuanto ciberseguridad
Las organizaciones latinas han puesto mucha atención al entrenamiento y capacitación de su personal.

Un buen paso de muchos que faltan

Tan importante como el interés por las capacitaciones y entrenamientos sobre ciberseguridad, es el contenido que estas ofrecen. De nada vale el poder aprender sobre el uso de VPNs y antivirus que pagó la empresa si los empleados aún no saben identificar correos maliciosos o no prestan atención a la seguridad de sus móviles conectados a redes empresariales.

Tomemos en cuenta que hoy día un ataque de ciberseguridad va mucho más allá de un malware, también involucra el phishing, actualización de parches de seguridad,ingeniería social, entre otros. Incluso algo tan simple como compartir una contraseña o perder un teléfono puede ocasionar graves brechas de ciberseguridad, por lo que es imperativo que tanto las instituciones latinas como los trabajadores piensen en la ciberseguridad como una serie de medidas de seguridad y no en una sola solución que abarque todo.

Los incidentes de seguridad informática sí aumentaron durante la pandemia

Si algo han tienen muy claro las organizaciones fueron parte de nuestro estudio, es que las incidencias de ciberseguridad han aumentado. Las empresas latinas no solo están aumentando el interés y las capacitaciones de seguridad por la inclusión progresiva de las metodologías de trabajo remoto e híbridas, también lo hacen porque los delitos informáticos superan sus cifras cada año.

De acuerdo a cifras de Fortinet, durante el año 2021 América Latina sufrió un 600% más de ataques a comparación del año 2020, los criminales informáticos están conscientes de la falta de defensas en la región y no tienen problemas con explotar sus debilidades. Prueba de esto es la ola de ataques a instituciones gubernamentales, como el ataque de ransomware a casi 30 instituciones públicas del gobierno de Costa Rica en el que los delincuentes pidieron un rescate de 10 millones de dólares americanos por los datos, y también el ataque al Poder Judicial de Chile atribuido a la apertura de un único correo electrónico de phishing y que obligó a los jueces a hacer sus audiencias desde sus móviles.

Phishing: Un problema de confianza

A pesar de su efectividad, el phishing es un método de ataque simple y muy fácil de prevenir. Un 72,6% de las empresas nombró este problema como el más preocupante, siendo así el ciberataque que más preocupa a las organizaciones latinas. Este miedo está totalmente justificado, ya que además de ser el ataque más común en Latinoamérica, también es el que más ha crecido este año con respecto al 2021.

Según datos de la empresa de ciberseguridad IRONSCALES, empresas de todo el mundo han reportado un crecimiento de los ataques de phishing un 81% desde marzo del 2020. Por suerte, al menos un 74% de las organizaciones latinas ha capacitado a su personal para identificar este tipo de amenazas.

Cifras sobre las más grandes preocupaciones de organizaciones latinoamericanas
El phishing sigue siendo el problema que más preocupa a las organizaciones latinas.

Mal uso de endpoints

Si hay algo que no nos debería sorprender sobre el estado de la ciberseguridad en Latinoamérica, es el aumento de incidentes relacionados con el mal uso de endpoints. Ahora que hay más trabajadores con dispositivos conectados a los sistemas de las empresas, es natural que aumente el número de problemas relacionados con su mal uso.

Al menos un 84,4% de las organizaciones encuestadas reportó un aumento en la cantidad de dispositivos mal usados. No importa si el dispositivo pertenece al trabajador o a la empresa, es necesario que las organizaciones latinas implementen medidas de seguridad y de gestión de endpoints, ya que es la única forma de hacerle frente a los problemas de seguridad que un mal uso pueda causar.

Cifras que muestran la cantidad de endpoints mal usados en una organización: Al usar más dispositivos en los sistemas de una organización es natural que hayan más dipositivos mal usados.

Latinoamérica está cada vez más consciente de los problemas, pero necesita actuar

Si algo pudimos notar al realizar nuestro estudio, es que las organizaciones latinas están muy conscientes de los graves problemas de ciberseguridad y sobre cómo los ataques a sus sistemas son cada vez más comunes. Que las empresas latinoamericanas hayan decidido usar las capacitaciones y entrenamiento para identificar los problemas actuales es una buena táctica, ya que el phishing se beneficia mucho del desconocimiento de los métodos que usa para atacar.

Pero no solo basta con realizar capacitaciones sobre el phishing y tener al día el antivirus, pues con la expansión del trabajo remoto también aumentó la cantidad de vectores de ataques que pueden usar los cibercriminales y el perímetro de seguridad se expandió o se extinguió. La región se beneficiaría mucho de la adopción de software MDM (Gestión de Dispositivos Móviles),  y de protocolos de seguridad, testeo recurrentes, con acceso más rigurosos y bajo un enfoque zero trust. 

Las organizaciones latinas pueden estar cada día más conscientes de los problemas de seguridad actuales, pero de nada vale que sepan qué problemas existen si no están preparadas para prevenirlos.

Protégelos con la seguridad reactiva de Prey.
Prueba Prey ahora
Ponte al día con el escenario remoto de Latinoamérica leyendo el reporte completo
Leer SHIFT

Sobre el mismo tema

Reporte SHIFT: La ciberseguridad y remoticidad en América Latina

La segunda versión de nuestro reporte, ahora en Latinoamérica, entrega poderoso conocimiento sobre las tendencias de ciberseguridad y trabajo remoto en la región.

13/11/2022
Leer más
// warning: you're editing the spanish website. don't forget add the lang:'es' in the submit form function