Freelancers y personal externo: pueden ser riesgos de ciberseguridad

Por: Juan Manuel Luna, Director para México, Centroamérica y el Caribe de Netskope

Van a la oficina ocasionalmente y el resto del tiempo, por lo general, trabajan en forma remota. Y esto nada tiene que ver con la pandemia de Covid-19. De hecho, los conocemos desde hace varios años: son profesionistas independientes (como freelancers de diversas disciplinas) o colaboradores de empresas pequeñas y medianas que proveen servicios profesionales (despachos fiscales, legales, de diseño gráfico, de contabilidad, etc.). Ya son parte del paisaje de muchas organizaciones mexicanas; incluso, sus visitas suelen causar buen ánimo.

Estas visitas, sin embargo, podrían dar inicio a una pesadilla de ciberseguridad. Por lo general, las personas que no tienen un lugar en la nómina realizan su labor con recursos propios (equipos, aplicaciones, conexiones a internet), que no siempre están respaldados por óptimas herramientas de protección digital.

Además, al final del día considerados “externos”, su interacción con la empresa (para colaborar en tiempo real u obtener documentos) tiende a no estar en el radar de la ciberseguridad corporativa, más enfocada en la infraestructura interna –la red de la compañía y sus equipos y usuarios.

¿Qué podría salir mal? Algo así: a un freelance se le da acceso a un servidor de la organización ubicado localmente o en la nube (“toma lo que coloquemos en la carpeta, para no andar enredados con miles de emails”). Por otro lado, el colaborador independiente manipula el material en una suite de apps en la nube; usa una computadora con un antivirus desactualizado; cuando tiene dudas o comentarios, ingresa a una aplicación pública de colaboración (app en la nube que el gerente de un departamento, sin avisarle al departamento de Sistemas, instaló para trabajar con proveedores externos); y la mayor parte del tiempo se conecta desde el internet gratuito que ofrece su cafetería preferida.

En dichas situaciones, la integridad digital de la empresa se expone a riesgos serios, que pueden materializarse en robo de información o en un ciberataque de gran escala. Y para terminar de entender lo que podría salir mal, basta con asomarse a algunos datos. De acuerdo con un estudio reciente (febrero 2021):

• 61% de todo el malware se entrega a través de aplicaciones de nube.
• 27% del total de descargas de malware involucra a un documento de Office malicioso.
• En organizaciones de entre 500 y 2,000 empleados, cada mes, se utiliza un promedio de 690 apps de nube distintas;
• El 97% de las apps señaladas en el punto anterior son normalmente gratuitas y están diseñadas para un uso personal (no empresarial), y su factor de amenaza se incrementa porque no están bajo el control del área de Sistemas de la empresa; es decir, son aplicaciones de “Shadow IT”, es decir, apps que las personas instalan por su cuenta, sin considerar reglas o restricciones corporativas.
• Principales apps corporativas desde las que se descarga información, para luego subirla a una instancia personal: Microsoft OneDrive (84.4% del total), Box, Gmail, Microsoft Sharepoint y Google Drive. Aplicaciones que, en una relación de trabajo con un colaborador externo, son sumamente habituales.
• Principales aplicaciones a las que se sube información delicada: Microsoft OneDrive (82.1% del total), Google Drive, Gmail, iCloud y WeTransfer. Como en el caso anterior, son apps típicas en el trabajo con especialistas independientes.
• Principales tipos de archivo que se suben a instancias personales: archivos PDF, documentos de Office, código fuente, imágenes y archivos Zip.

Remoto y externo: así será el capital humano

Las empresas no pueden prescindir de este talento externo. En primer término, para las organizaciones, este modelo laboral ofrece ventajas competitivas que no serían fáciles de sustituir. Por otro lado, los especialistas independientes (personas o PyMEs proveedoras) representan una tendencia de capital humano que ganará mucha fuerza en los próximos años, la cual, por si fuera poco, se combinará con el actual impulso al trabajo remoto.

De acuerdo con algunas estimaciones de sitios especializados en recursos humanos, por desempleo y otras circunstancias (como reducción de salarios) que generó la pandemia de Covid-19, el número de freelancers en México ha crecido en 12%; y el 65% de los nuevos colaboradores independientes está recurriendo a este modelo laboral por primera vez. A la par, según un estudio-encuesta de la consultora KPMG, el 89% de las organizaciones mexicanas usará un modelo híbrido (trabajo en instalaciones y remoto) durante 2021; con el 52% de las empresas grandes manteniendo a distancia a la mayoría de sus colaboradores.

Así, en el corto plazo, una buena parte del trabajo empresarial –en manos de un colaborador remoto o uno independiente– ocurrirá lejos de la organización, fluyendo lejos de su red (y mecanismos de protección digital), de sus equipos, de sus aplicaciones oficiales y de sus conexiones seguras. De ahí la importancia de ajustar la estrategia de ciberseguridad a las nuevas condiciones.

Un reto de ciberseguridad de esta naturaleza, por principio de cuentas, exige una mirada distinta: reconocer que la nube, al margen del nivel de adopción que se tenga internamente, está redefiniendo muchas actividades cotidianas, entre ellas, la forma en que trabajamos a distancia. Esto implica reflexionar sobre las tecnologías de ciberseguridad que usa la organización: ¿son aptas para este entorno? Y en ese sentido, vale la pena considerar que el 55% del tráfico web actual viaja a través de apps y servicios de nube, un flujo de información que las soluciones de protección tradicionales no logran atender eficientemente.

Por eso, la mejor opción para las empresas es apoyarse en innovaciones de ciberseguridad que dejan atrás el concepto de fronteras (dentro/fuera de la organización) y se enfocan en seguir a los datos a cualquier lugar y en todo momento. Estas soluciones, para demostrar que pertenecen a una categoría distinta, deben proveer funciones como:

• Capacidad para analizar y proteger el tráfico digital que involucra a servicios, plataformas y aplicaciones de nube (y no sólo tráfico web tradicional).
• Visibilidad y trazabilidad de todo el recorrido de la información, abarcando nubes privadas y públicas, dispositivos (fijos o móviles, corporativos o personales), sitios web, e infinidad de apps y servicios Cloud.
• Habilidad para detectar las amenazas oportunamente y llevar los recursos de ciberseguridad a cualquier lugar y situación que las necesiten, por ejemplo: cuando se mueve información entre una instancia privada y un servicio de nube pública; o cuando los datos se mueven entre diversos equipos (laptop corporativa, computadora en casa, teléfono inteligente).
• A partir de una visión completa del contexto (quién está moviendo datos, hacia dónde los traslada, qué equipo está usando, qué privilegios de acceso tiene el usuario), facilidad para aplicar medidas puntuales –como autorizar o bloquear acciones, encriptar o borrar información, colocar en cuarentena– en cualquier etapa del viaje de los datos.
• En el caso de las soluciones más robustas, las que están orientadas a una arquitectura SASE (Secure Access Service Edge), disponibilidad de funciones integradas de ciberseguridad, tales como Protección Avanzada contra Amenazas (ATP, por sus siglas en inglés) y Acceso de Red de Confianza Cero (ZTNA, por sus siglas en inglés).

El futuro, al parecer, implica instalaciones corporativas con menos escritorios ocupados, y más talento humano (interno y externo) aprovechando la nube la impulsar la productividad del negocio. Esta situación sólo será problemática para las organizaciones mexicanas que se sumen al cambio sin cumplir un requisito: adoptar soluciones de ciberseguridad realmente concebidas para el mundo Cloud donde trabajamos.