Mejorar la seguridad y el cumplimiento empresarial no tiene por qué significar comprometer la productividad.

‍

Los líderes empresariales actuales tienen que navegar por un panorama de seguridad cada vez más complejo. Las organizaciones deben estar preparadas para las amenazas de los ciberdelincuentes, así como para las negligencias internas o las acciones más malintencionadas que pueden ocurrir en cualquier momento. Esta preparación obligatoria se hace aún más compleja en los entornos de trabajo remotos e híbridos, que cada vez son más habituales.

Al mismo tiempo, las normas de cumplimiento y privacidad de datos son cada vez más estrictas. Es posible que las grandes organizaciones tengan que seguir varios marcos regulatorios diferentes y, al mismo tiempo, mantener seguros los datos confidenciales. A veces tienen que confiar en empleados, contratistas y proveedores externos para que lo hagan por ellas.

Estas dos fuerzas suelen tener un profundo impacto en el rendimiento de los empleados. En pocas palabras, cuanto más esfuerzo tengan que dedicar los equipos remotos e híbridos a abordar los problemas de ciberseguridad y cumplimiento, por lo general, menos tiempo dedican a su trabajo principal. Como resultado, la productividad se ve afectada, pero no tiene por qué serlo.

Equilibrar la ciberseguridad, el cumplimiento y la productividad

Cada empresa tiene que equilibrar estos tres elementos en todos los niveles de la organización. Los empleados de nivel inicial, los gerentes de nivel medio y los miembros de la junta ejecutiva deben encontrar formas de mantener una productividad que genere valor y, al mismo tiempo, proteger los datos confidenciales y evitar pérdidas catastróficas.

Sin embargo, no todas las empresas abordan este problema directamente. Son relativamente pocos los líderes empresariales que se toman el tiempo de medir el impacto de las políticas de ciberseguridad en la productividad o de calcular el costo de la auditoría de cumplimiento en términos del rendimiento del equipo principal. Las empresas más exitosas suelen ser aquellas cuyos líderes ven estas cuestiones como una tríada profundamente relacionada.

Siempre que cambien las políticas de ciberseguridad o cumplimiento, existe una alta probabilidad de que esto afecte al trabajo principal. Siempre que cambian los resultados del equipo, también cambia el perfil de riesgo de ciberseguridad de la organización. Del mismo modo, el cumplimiento tiene que adaptarse a los cambios en los flujos de trabajo principales o corre el riesgo de perder relevancia.

Estos problemas se amplifican en los entornos de trabajo empresariales modernos y distribuidos de hoy en día. Cuando algunos (o todos) de sus empleados inician sesión desde fuera de la oficina, se necesita más atención y recursos para abordar los principales riesgos relacionados con la ciberseguridad, el cumplimiento y los principales riesgos relacionados con los productos.

Riesgos de ciberseguridad en el entorno empresarial actual

‍

Los ataques multimillonarios de ransomware se han convertido en una característica habitual de los titulares de las noticias. Los grupos de ciberdelincuentes organizados se salen con la suya con ataques cada vez más audaces, paralizando las líneas de suministro y manteniendo como rehenes a hospitales y gobiernos locales.

Si bien no aparecen en los titulares con tanta frecuencia, las violaciones de datos y las infracciones de cumplimiento se producen con la misma frecuencia. Los perfiles de los contratistas, las direcciones de correo electrónico de los empleados y los datos de los clientes desactualizados suelen tener una protección insuficiente contra las amenazas internas o la negligencia.

Está claro que las organizaciones de nivel empresarial se enfrentan a mayores amenazas de seguridad que nunca. A medida que aumentan la frecuencia y la gravedad de los ciberataques, los líderes de todos los sectores buscan formas de mitigar sus vulnerabilidades.

2020 fue un año récord para los ciberdelincuentes. En 2020 hubo más ataques que en ningún otro año anterior, y parece que lo hará en 2021 encabeza el récord histórico antes de fin de año.

Hemos identificado algunos de los desafíos de ciberseguridad más apremiantes a los que se enfrentan las empresas en el entorno hiperconectado de trabajo remoto e híbrido actual:

‍

La industria de la ciberseguridad se enfrenta a una grave escasez de talento

‍

La industria de la ciberseguridad se ha enfrentado a una grave escasez de talento durante años. La demanda mundial de habilidades de ciberseguridad sigue superando la oferta de personas cualificadas en el mercado laboral, y la brecha se amplía cada año.

Las alarmas empezaron a sonar ya en 2014, cuando había un millón de puestos vacantes en la industria mundial de la ciberseguridad. A finales de 2021, los expertos predicen que habrá 3,5 millones de puestos de trabajo de ciberseguridad sin cubrir en todo el mundo.

Este problema no parece tener una solución fácil. Los líderes empresariales se han acostumbrado a no poder cubrir los puestos de seguridad vacantes. En su lugar, tienen que confiar en los proveedores de servicios gestionados (MSP), que dividen su tiempo entre varios clientes. Esto dificulta que las empresas aprovechen e implementen soluciones internas personalizadas.

Esta situación fomenta el desarrollo de soluciones de ciberseguridad altamente automatizadas que aprovechan la inteligencia artificial y el aprendizaje automático. Sin embargo, las tecnologías emergentes como estas pueden resultar difíciles de integrar en un entorno empresarial complejo: no existen soluciones de inteligencia artificial únicas para la ciberseguridad.

‍

Los ciberdelincuentes tienen recursos prácticamente ilimitados

‍

La industria de la ciberdelincuencia es por valor de billones de dólares — y los hackers lo saben. Los ciberdelincuentes emprendedores han desarrollado plataformas cada vez más sofisticadas para abrir todo un mercado ilícito de productos y servicios relacionados con la ciberdelincuencia. El resultado es similar al que está ocurriendo con la computación de alojamiento en la nube en otros sectores legítimos.

Hace menos de una década, un ciberdelincuente necesitaría disponer de recursos extraordinarios para paralizar una empresa a gran escala. Hacerse con el control de una red de bots lo suficientemente grande como para atacar a una organización importante constituía un serio obstáculo para entrar en el mundo de la ciberdelincuencia.

Ese ya no es el caso. La tecnología en la nube ha permitido a los ciberdelincuentes vender ransomware como servicio con una escalabilidad prácticamente ilimitada. Utilizan el mismo enfoque básico que permite a gigantes de la tecnología en la nube como AWS, Microsoft Azure y Google ofrecer una escalabilidad ilimitada a sus clientes.

En el proceso, han creado una economía de ciberdelincuencia de varios niveles. Los ciberdelincuentes no necesitan una gran cantidad de experiencia técnica para lanzar ataques altamente sofisticados. Simplemente pueden solicitar el kit de ataque en línea, realizar una configuración rápida por su cuenta y lanzarse.

‍

Los rescates son cada vez mayores

‍

Los ataques de ransomware funcionan cifrando la infraestructura crítica para la empresa y reteniendo la clave de descifrado como rescate. Para recuperar tus datos y archivos, debes pagar el rescate (normalmente en bitcoins a una dirección anónima) y esperar a que el ciberdelincuente entregue la clave a cambio.

En 2019, el rescate promedio pagado a cambio de una clave de descifrado fue de 115.123 dólares. En 2020, la suma promedio aumentó un 171% hasta alcanzar los 312.493 dólares. Todo apunta a que en 2021 se registrará un aumento aún mayor: algunos piratas informáticos están pidiendo ahora decenas de millones de dólares para obtener claves de descifrado.

Los líderes empresariales ven esto, con razón, como una amenaza existencial. Si los piratas informáticos pueden aumentar arbitrariamente los rescates que cobran por las claves de descifrado, nada les impide cerrar a toda una empresa con un solo ataque.

No parece haber nada que impida a los ciberdelincuentes aumentar sus rescates a tasas astronómicas. Una empresa indefensa que no tiene más remedio que pagar con frecuencia cederá ante la presión, incluso de decenas de millones de dólares o más.

‍

Los líderes de seguridad no saben qué tecnologías implementar

‍

No faltan tecnologías de ciberseguridad calificadas en el mercado. Las principales empresas de tecnología han apoyado su reputación en una amplia variedad de soluciones, y los pequeños actores especializados se han alzado para cubrir las brechas que existen entre ellas.

Sin embargo, esto significa que el ejecutivo de ciberseguridad empresarial promedio tiene que elegir entre cientos de tecnologías diferentes, todas pretendiendo ser «la mejor solución de ciberseguridad empresarial» del mercado. Como resultado, no es raro que las grandes empresas tengan más de 50 soluciones de seguridad diferentes en su oferta tecnológica.

Este es uno de los principales problemas que más afectan al cumplimiento y al rendimiento del equipo. Las empresas no pueden darse el lujo de escatimar en ciberseguridad, pero tampoco tienen una forma de unificar e integrar sus despliegues de seguridad.

No siempre es posible saber si una solución de seguridad en particular funcionará como se anuncia, por lo que los ejecutivos empresariales implementan tantas como sea posible. Algunas tecnologías, como software de seguimiento de escritorio, son más valiosos que otros. Sin embargo, sin una integración adecuada, el despliegue excesivo afecta al rendimiento del lugar de trabajo y complica el cumplimiento de la normativa.

Cada puesto es un puesto de ciberseguridad

‍

Muchos líderes empresariales piensan que la ciberseguridad es un problema tecnológico, pero no es del todo así. Las habilidades de ciberseguridad son, en realidad, habilidades interpersonales, y cada persona de la organización necesita desarrollar esas habilidades.

Los equipos de seguridad suelen carecer de personal y equipamiento suficientes para gestionar la realidad de los actores de amenazas profesionales, los empleados negligentes y los proveedores externos altamente interconectados. Sin embargo, esta es exactamente la situación que deben abordar los líderes de seguridad empresarial.

En el entorno de trabajo empresarial remoto e híbrido actual, cada empleado tiene un papel que desempeñar en materia de ciberseguridad. Las políticas de ciberseguridad empresarial deben tener en cuenta el cumplimiento y la productividad y, al mismo tiempo, habilitar funciones imprescindibles como el software de seguimiento de escritorio, la protección contra la suplantación de identidad y la prevención del ransomware.

Desafíos de cumplimiento empresarial que afectan a la seguridad y la productividad

‍

El cumplimiento no es fácil de escalar. La gestión del cumplimiento a nivel empresarial requiere el uso sensato de recursos limitados y una buena atención a la realidad cotidiana del rendimiento de los empleados. Los empleados no siempre siguen todas las normas de cumplimiento, y sus errores pueden provocar pérdidas importantes.

Para las grandes empresas, los desafíos de cumplimiento se extienden más allá de los empleados y abarcan también a los proveedores externos. Gestionar estas relaciones y, al mismo tiempo, vigilar a los empleados remotos e híbridos requiere un gran esfuerzo y, a menudo, las empresas no dedican suficientes recursos a su software de supervisión remota de empleados para satisfacer ambas necesidades.

Algunos de los desafíos de cumplimiento más críticos a los que se enfrentan las empresas incluyen las regulaciones específicas de toda la industria, las prácticas internas de recopilación de datos y el comportamiento de los empleados.

‍

El cumplimiento del RGPD protege a los usuarios contra el abuso de los datos de los clientes

‍

Cualquier empresa que recopile datos sobre ciudadanos de la Unión Europea debe cumplir con el reglamento general de protección de datos (GDPR) de la UE. Esta norma es una de las más completas del mundo y las sanciones por incumplimiento son severas.

El GDPR otorga protecciones específicas a los datos de identificación personal de los usuarios y adopta una visión especialmente amplia de lo que constituyen datos personales. Por ejemplo, las direcciones IP y las cookies de terceros disfrutan del mismo nivel de protección que los nombres, las direcciones y los números de seguridad social.

Sin embargo, el GDPR también deja espacio para la interpretación. Depende de la empresa proporcionar un nivel «razonable» de protección de los datos personales. En el texto de la ley no se da ninguna definición de «razonable».

La mayoría de las empresas aceptan que el software de monitoreo de PC de los empleados se rige específicamente por las pautas del GDPR. En consecuencia, todas las herramientas de supervisión del personal que utilices deberán cumplir con el RGPD, lo que repercute tanto en la ciberseguridad como en el rendimiento de la fuerza laboral.

‍

La CCPA de California proporciona diferentes pautas regulatorias

‍

Las empresas que operan en California o manejan información personal de los residentes de California deben cumplir con la ley de privacidad de datos única del estado. Las directrices de la CCPA son similares a las normas europeas del RGPD, pero distintas de ellas.

Una de las formas en que las dos regulaciones difieren es en el tratamiento del consentimiento del usuario. Si bien el RGPD estipula que las empresas deben obtener el consentimiento previo antes de gestionar los datos de los usuarios, la CCPA va un paso más allá y exige que las empresas den a los usuarios la posibilidad de excluirse.

Estas diferencias pueden ser menores, pero requieren que los líderes de TI empresariales creen e implementen marcos de cumplimiento completamente independientes para diferentes poblaciones.

Si tienes oficinas en San Francisco y Berlín, por ejemplo, tendrás que mantener el cumplimiento de la CCPA para tus empleados de San Francisco y, al mismo tiempo, mantener el cumplimiento del RGPD para tu equipo de Berlín. Si utilizas un software para hacer un seguimiento del trabajo principal de los empleados, tendrás que mantener el cumplimiento de ambas normativas.

‍

La cultura empresarial hace que los empleados cumplan con las normas

‍

No son solo los líderes empresariales los que deben tener en cuenta las normas de cumplimiento. Los empleados representan a la empresa en el desempeño de sus tareas y deben seguir las mismas directrices reglamentarias que sus gerentes y supervisores.

Es de vital importancia que las grandes empresas desarrollen e implementen programas de cumplimiento sólidos que satisfagan las necesidades de sus empleados. Construir una cultura empresarial orientada a la ciberseguridad requiere liderazgo y capacitación. La empresa tiene que reconocer cómo cada empleado contribuye a su perfil de seguridad a nivel individual.

Pero no puede medir ni hacer un seguimiento del cumplimiento de los empleados sin software de seguimiento web para empleados. El software de monitoreo remoto del personal que cumple con las normas lo ayudará a garantizar que sus empleados no infrinjan las regulaciones.

‍

Es posible que la productividad, la ciberseguridad y el cumplimiento coexistan naturalmente

‍

Todas las empresas tienen una motivación clara para maximizar el rendimiento de los empleados principales. Sin embargo, los aumentos de productividad logrados a expensas de la ciberseguridad y el cumplimiento representan riesgos a los que ningún líder debería exponer a su empresa.

El panorama actual de ciberseguridad y cumplimiento exige que los líderes empresariales pongan un énfasis renovado en los productos básicos como un activo que genera valor y reduce los riesgos. Software de monitoreo remoto de empleados puede desempeñar un papel vital para mantener a los empleados dentro de las directrices políticas establecidas.

Hasta hace poco, la mayoría de los equipos de gestión empresarial se centraban únicamente en medir la actividad de los empleados en lugar de los resultados o el rendimiento. Los rastreadores de actividad de los empleados no podían proporcionar información valiosa sobre el grado de productividad, cumplimiento o seguridad de los empleados en el día a día.

Esto está cambiando hoy en día. El moderno software de monitoreo remoto de empleados permite a los líderes empresariales centrarse en métricas de rendimiento reales y mensurables, al tiempo que alienta de forma proactiva a los empleados remotos e híbridos a seguir las pautas de cumplimiento y seguridad.

Insightful es un software de seguimiento de escritorio que proporciona a los líderes empresariales datos en tiempo real sobre el desempeño de los empleados en toda la organización. Reduce las brechas entre los riesgos de ciberseguridad, el cumplimiento normativo y la optimización de la productividad, lo que permite a las grandes organizaciones maximizar el rendimiento de los empleados y, al mismo tiempo, mitigar las amenazas internas y externas.