Home »

TI

Seguridad en el trabajo remoto: Proteger los datos y prevenir las ciberamenazas en un lugar de trabajo digital

AuthorSangavi Senthil Especialista en ciberseguridad, ManageEngine  

En esta página

  • Seguridad en el trabajo remoto
  • Prevención y riesgos de seguridad en el trabajo remoto
  • Ventajas financieras de implementar la SIEM
  • ROI de implementar la SIEM
  • Otras consideraciones de seguridad
  • Métricas de seguridad clave para tener en cuenta
  • Soluciones relacionadas

A medida que el trabajo remoto se convierte en la nueva realidad, las organizaciones se enfrentan a un aumento de los problemas de seguridad, desde redes domésticas inseguras hasta amenazas crecientes de ataques cibernéticos y violaciones de los datos. Proteger la información sensible en entornos dispersos nunca ha sido tan crítico, ni tan complejo. Se prevé que el mercado de la seguridad en el trabajo remoto aumente a una CAGR del 21.7% entre 2024 y 2033, pasando de un valor de USD 54,8 mil millones a unos USD 390,6 mil millones.

En este artículo exploraremos por qué ocurre esto y cómo evitarlo.

¿Qué es la seguridad en el trabajo remoto?

La seguridad en el trabajo remoto se refiere a las medidas y prácticas que protegen los datos sensibles, los dispositivos y las redes cuando los empleados trabajan fuera de los entornos de oficina tradicionales. Proteger los datos confidenciales fuera de los entornos tradicionales de oficina se ha vuelto crucial a medida que las organizaciones adoptan modelos de trabajo remotos e híbridos. Algunas ciberamenazas como el phishing, el malware y el acceso remoto inseguro plantean riesgos significativos, por lo que es esencial contar con directivas de seguridad robustas. Las organizaciones deben implementar soluciones de acceso seguro que logren un equilibrio entre la experiencia del usuario y la protección para que los trabajadores puedan realizar su trabajo con efectividad sin sacrificar la seguridad. La autenticación multifactor, las comunicaciones cifradas y la protección de los endpoints son componentes de un sistema de seguridad remota que está bien organizado. Sin estas protecciones, las organizaciones corren el riesgo de sufrir pérdidas financieras, daños a su reputación y violaciones de la seguridad de los datos.

Riesgos de seguridad en el trabajo remoto y cómo prevenirlos

A medida que se generaliza el trabajo remoto, las empresas se ven expuestas a mayores amenazas para la seguridad debido a endpoints desprotegidos, mayores superficies de ataque y vulnerabilidades en el comportamiento del usuario. A continuación, encontrará un análisis exhaustivo de las amenazas críticas para la seguridad asociadas al trabajo remoto y las técnicas de mitigación a nivel de CISO.

Riesgo #1: Red doméstica y pública inseguras.

Los trabajadores remotos se conectan a redes compartidas sin seguridad de nivel empresarial, puntos de acceso públicos o el WiFi de sus casas. Esto ofrece a los atacantes la posibilidad de interceptar información confidencial de la empresa lanzando ataques Man-in-the-Middle. A cambio, los empleados pueden ser redirigidos a sitios maliciosos mediante la suplantación de DNS y puntos de acceso maliciosos.

Estrategias de prevención:

Exigir el uso de VPN para proteger el acceso
  • Para cifrar todo el tráfico remoto, utilice una VPN que esté activa siempre con el túnel dividido desactivado.
  • Para garantizar que sólo se conectan los usuarios y dispositivos autenticados, emplee el acceso a la red de confianza cero.
Proteger la red doméstica de sus empleados
  • Proporcione routers gestionados por la empresa con controles de seguridad integrados.
  • Se necesita un cifrado WPA3 seguro para el WiFi doméstico.
Monitorear los puntos de acceso maliciosos
  • Para detectar redes no autorizadas, implemente sistemas inalámbricos de prevención de intrusiones.
Utilizar la seguridad de DNS y gateways web seguros
  • Implemente la protección de la capa de DNS
  • Para bloquear el phishing y los dominios maliciosos, aplique el filtrado de URL.

Riesgo #2: Phishing y ataques de ingeniería social.

Verizon afirma que 66% de los ataques de ingeniería social que se vieron en la administración pública fueron ataques de phishing. Según los informes, el fraude contra CEO, el spear-phishing y los ataques de vishing son los que más se dirigen a los trabajadores remotos. Además, se ha descubierto que las estafas con IA pueden eludir los filtros de correo electrónico tradicionales.

Estrategias de prevención:

Seguridad avanzada del correo electrónico
  • Implemente el filtrado de correo electrónico basado en IA.
  • Utilice DMARC, DKIM y SPF para evitar la suplantación del correo electrónico.
Autenticación multifactor
  • Implemente MFA resistentes al phishing (FIDO2, claves de acceso, tokens de hardware).
  • Bloquee la 2FA basada en SMS debido a los riesgos del intercambio de SIM.
Formación sobre concienciación en materia de seguridad y simulaciones de phishing
  • Cada mes, realice simulaciones de phishing con programas como Cofense y KnowBe4.
  • Eduque a los empleados para que verifiquen las solicitudes de restablecimiento de credenciales o de pagos urgentes.
Monitoreo de la web oscura e inteligencia sobre amenazas
  • Monitoree regularmente las credenciales filtradas y exija el restablecimiento de contraseña cuando estén expuestas.

Riesgo #3: Riesgos para la seguridad del endpoint, como dispositivos sin parches e inseguros.

Los dispositivos personales (BYOD) utilizados por los empleados suelen tener sistemas operativos obsoletos y carecen de parches de seguridad. En ocasiones, estos endpoints inseguros pueden resultar en la apropiación de cuentas, la exfiltración de datos o infecciones de ransomware.

Estrategias de prevención:

Implementar la detección y respuesta de endpoint
  • Todos los dispositivos remotos deben tener instalado el software de EDR.
  • Monitoree el comportamiento de los endpoints para detectar malware, robo de datos o accesos no autorizados.
Aplicar la gestión de dispositivos móviles y la seguridad de confianza cero
  • Para borrar a distancia los datos de los dispositivos robados o extraviados, utilice las soluciones de MDM.
  • Antes de conceder el acceso, utilice la arquitectura de confianza cero para verificar la conformidad del dispositivo.
Gestión de parches y escaneo de vulnerabilidades
  • Automatice la aplicación de parches para el sistema operativo, los navegadores y las aplicaciones de terceros.
  • Utilice herramientas de gestión de la superficie de ataque para identificar los riesgos de TI invisible.

Riesgo #4: Amenaza interna y acceso no autorizado a los datos.

Los empleados suben diversos documentos privados a sus propias cuentas de almacenamiento en la nube. Los privilegios de usuario excesivos son el resultado de una identificación y un control de acceso inadecuados. Los usuarios privilegiados o los empleados descontentos pueden robar datos confidenciales o sabotear los sistemas.

Estrategias de prevención:

Implementar la IAM y la confianza cero
  • Adopte el acceso "justo a tiempo" para las cuentas privilegiadas.
  • Utilice la autenticación continua y el acceso basado en el riesgo.
DLP y CASB
  • Aplique las reglas de DLP para bloquear los USB no autorizados, las cargas a la nube y el reenvío de correo electrónico.
  • Implemente soluciones de CASB para monitorear el uso de TI invisible.
UEBA
  • Detecte descargas anómalas de archivos, intentos de inicio de sesión y escalamientos de privilegios.
Desvinculación y monitoreo de los empleados
  • Revoque el acceso inmediatamente después de la terminación.
  • Monitoree la inteligencia de seguridad de las personas internas de alto riesgo.

Riesgo #5: Ataques de ransomware y malware.

El ransomware tiene como objetivo los dispositivos remotos porque a menudo carecen de protección de nivel empresarial. Los ataques de fuerza bruta del RDP, las descargas drive-by y el phishing son formas de propagar el ransomware. La falta de segmentación de la red permite especialmente el movimiento lateral del ransomware.

Estrategias de prevención:

Implementar antivirus de nueva generación y EDR
  • Bloquee el malware sin archivos, los exploits de PowerShell y las variantes de ransomware.
Aplicar la confianza cero y la segmentación de la red
  • Bloquee el acceso de RDP y SMB desde redes no autorizadas.
  • Utilice la microsegmentación para evitar la propagación del ransomware.
Respaldos aislados e inmutables
  • Asegúrese de mantener respaldos fuera de línea y cifrados que se conserven en un formato inalterable.
Monitoreo del SOC 24/7 e inteligencia sobre amenazas
  • Para identificar y detener automáticamente las amenazas de ransomware, utilice SIEM + SOAR.

Riesgo #6: TI invisible y aplicaciones de SaaS no aprobadas.

Los empleados comparten archivos y colaboran utilizando aplicaciones no aprobadas (como Google Docs, Dropbox y WhatsApp). Debido a la falta de visibilidad sobre los datos externos compartidos y las interconexiones, existe el riesgo de que se exfiltren datos.

Implementar CASB
  • Detecte y bloquee las aplicaciones SaaS no autorizadas.
  • Monitoree los permisos de la aplicación de MFA que se conceden a las aplicaciones de terceros.
Implementar la gobernanza de SaaS
  • Ponga en una lista blanca las aplicaciones aprobadas y aplique estrictos controles de acceso.
  • Audite periódicamente el uso de las aplicaciones SaaS.
Cifrado de datos y controles de seguridad del SaaS
  • Utilice el cifrado del lado del cliente antes de subir la información al almacenamiento en la nube.

Riesgo #7: Infracciones regulatorias y de cumplimiento.

Se debe cumplir con GDPR, HIPAA, PCI DSS, NIST 800-53 e ISO 27001 para el trabajo remoto. Podrían imponerse multas reglamentarias por no llevar registros de auditoría o por no cifrar los datos sensibles.

Estrategias de prevención:

Auditar y registrar toda la actividad de acceso remoto
  • Utilice soluciones de SIEM para supervisar los accesos no autorizados y los inicios de sesión remotos.
Aplicar el cifrado de datos y monitorear el cumplimiento
  • Cifre todos los datos (AES-256, TLS 1.2+) en reposo y en tránsito.
  • Realice evaluaciones periódicas del cumplimiento utilizando herramientas de GRC.
Automatizar los informes reglamentarios y la gobernanza de datos
  • Clasifique y proteja los datos confidenciales con herramientas de DLP, gestión de derechos de la información.

¿Cuáles son los beneficios económicos de implementar la SIEM para la seguridad en el trabajo remoto?

1. Reducir los costos de respuesta a incidentes

La detección de amenazas como el malware, el phishing, los ataques de fuerza bruta y las amenazas internas se automatiza a través de la SIEM. Con su ayuda, los equipos de seguridad pueden reaccionar con mayor rapidez, reduciendo la inactividad y evitando pérdidas empresariales.

Ejemplo: Si la SIEM detecta las señales tempranas de estos ataques y los previene, una organización puede evitar las pérdidas que se derivan de un ataque, incluidos los costos de recuperación, la pérdida de ingresos y el daño a la reputación.

2. Prevenir el acceso no autorizado y las violaciones de la seguridad de los datos

Además de monitorear la actividad de los endpoints, los intentos de autenticación y el acceso remoto a VPN, la SIEM puede ayudar a identificar inicios de sesión no autorizados, particularmente en caso de que se roben las credenciales de un empleado.

Ejemplo: Al señalar los intentos de inicio de sesión no autorizados, la SIEM ayuda a evitar las violaciones de los datos y las posibles pérdidas financieras que conllevan, impidiendo que se roben las credenciales de las cuentas de los empleados que tienen acceso a información confidencial de la empresa.

3. Evitar multas y reducir los costos de auditoría

La SIEM automatiza el monitoreo del cumplimiento de regulaciones como GDPR, HIPAA, PCI-DSS y SOC 2. Esto ayuda a las organizaciones a evitar multas reglamentarias, que pueden alcanzar millones de dólares.

Ejemplo: Una infracción del GDPR puede conllevar una multa del 4% de su facturación global total del ejercicio fiscal anterior. La SIEM proporciona informes listos para la auditoría, garantizando que los equipos de seguridad cumplen la norma de conformidad y evitan la multa por incumplimiento.

4. Reducir los costos de personal

Sin la SIEM, las organizaciones necesitan equipos de seguridad más grandes para monitorear las amenazas manualmente. La SIEM automatiza la detección de amenazas, reduciendo la necesidad de contar con más analistas de ciberseguridad.

Ejemplo: Contratar a cinco analistas de seguridad por 100 mil dólares al año costaría 500 mil dólares. La SIEM ahorra 300 mil dólares anuales al reducir la necesidad de tener dos analistas.

5. Evitar los pagos por ransomware y los costos de inactividad

El cifrado inusual de archivos, la ejecución de PowerShell y las comunicaciones de comando y control son ejemplos de la actividad temprana de ransomware que la SIEM puede identificar.

Ejemplo: Una empresa infectada por un ransomware puede tener que desembolsar un millón de dólares, además de entre 10 y 20 mil dólares por cada hora de inactividad. Al identificar la infección a tiempo, la SIEM puede detectar este ataque en sus primeras etapas y evitar pérdidas monetarias.

6. Prevenir la pérdida de datos y el uso no autorizado de SaaS

Para monitorear el acceso no autorizado e identificar el uso compartido externo de datos críticos, la SIEM recopila y analiza logs de varias fuentes como Google Workspace, AWS, Salesforce y Microsoft 365.

Ejemplo: Un bucket de almacenamiento en la nube mal preconfigurado puede dejar al descubierto datos confidenciales y provocar pérdidas de entre 250.000 y 1 millón de dólares. La SIEM detecta los errores de configuración y alerta a los equipos de TI, lo que podría evitar esta pérdida.

7. Prevenir la apropiación de cuentas y el fraude

La SIEM monitorea la web oscura para detectar las credenciales de empleados robadas y obliga a restablecer la contraseña si las credenciales están comprometidas.

Ejemplo: Imagínese que las credenciales de un empleado de un banco se vieran comprometidas y se utilizaran de forma fraudulenta, resultando en una pérdida de 500 mil dólares. Las soluciones de SIEM con monitoreo de la web oscura pueden identificar y alertar a los equipos de seguridad de cualquier credencial comprometida de un empleado. Esto puede ayudar a detener un ataque antes de que cause daños.

8. Prevenir el robo de datos y el fraude financiero

La SIEM detecta comportamientos inusuales de los empleados, como la descarga de grandes cantidades de datos confidenciales antes de renunciar.

Ejemplo: Supongamos que un miembro del personal financiero intenta transferir fondos de la empresa a una cuenta personal cuando nunca antes lo ha hecho. Para evitar la pérdida que habría supuesto el intento fraudulento, la SIEM lo identifica como una anomalía, marca la transacción y la bloquea.

9. Reducir el costo de la investigación de infracciones

La SIEM registra los eventos de seguridad en tiempo real, lo que reduce la necesidad de recurrir a costosos expertos forenses externos.

Ejemplo: A modo de ejemplo, supongamos que una empresa gasta 300 mil dólares en investigadores forenses tras un hackeo. El equipo de seguridad interna puede reducir estos gastos externos realizando investigaciones más rápidamente con la SIEM.

10. Reducir el costo del seguro de ciberseguridad

La SIEM reduce los riesgos de infracción y mejora la precisión de la detección de amenazas. Reduce el tiempo de respuesta a los incidentes y la gravedad del impacto de las infracciones. Los informes automatizados reducen la responsabilidad ayudando a cumplir los requisitos normativos. Por lo tanto, al mejorar la postura de seguridad de una empresa se reducirán en última instancia los costos asegurados.

¿Cuál es el ROI de implementar una solución de SIEM en una empresa para mejorar la seguridad en el trabajo remoto?

Consideremos que una empresa mediana-grande con 5000 empleados ha decidido invertir en una solución de SIEM para prevenir los ataques relacionados con el trabajo remoto y mejorar su postura de seguridad en este ámbito.

A continuación, se indica la cantidad que la empresa había decidido invertir durante un año en una solución de SIEM:

Costo ¿Dónde se gasta?
$300.000 Software y licencias de SIEM
$150.000 Implementación de SIEM basada en la nube
$150.000 Mantenimiento y monitoreo permanentes
$100.000 Formación y gestión del equipo de seguridad
Costo total: $700.000  

Ahora consideremos la cantidad que se ahorra la empresa invirtiendo en SIEM de la siguiente manera:

Ahorro anual Beneficio de la SIEM ¿Por qué se considera un beneficio?
$3.500.000 Evitar el pago del rescate La demanda media de rescate para las grandes empresas en 2024 superó los $5 millones. Los empleados remotos son los principales objetivos del ransomware.
$2.000.000 Menos tiempo de inactividad y pérdida de productividad Los ataques de ransomware causan en promedio 21 días de inactividad, lo que supone una pérdida de ingresos y una ineficacia operativa. Una detección más rápida evita la interrupción del trabajo remoto.
$1.200.000 Menores costos de respuesta a incidentes y de recuperación. Sin la SIEM, las empresas gastan millones en análisis forense, recuperación de sistemas , y restauración de datos
$1.000.000 Cumplimiento normativo y ahorro jurídico Evite multas por incumplimiento debido a que los entornos de trabajo remoto no son seguros
$500.000 Reducción de la prima del ciberseguro. Mejorar la postura de seguridad reduce los costos anuales del seguro en un 15-25%.
$600.000 Reducción de los costos de gestión de la seguridad Automatizar la SIEM minimiza la necesidad de contar con analistas de seguridad adicionales.
$1.500.000 Preservación de la reputación y la confianza del cliente. Evitar las violaciones de la seguridad de los datos ayuda a prevenir la pérdida de ingresos a largo plazo debido al daño a la marca y al abandono del cliente.
Ahorro total de costos: $10.300.000    

ROI = Cantidad ahorrada - Cantidad gastada/ Cantidad gastada *100

ROI = 10300000 - 700000700000× 100

ROI = 1371 %

Por lo tanto, por cada dólar gastado en la solución de SIEM, la empresa gana $14,70 como beneficio financiero con un ROI total estimado para un año del 1371%

¿Qué otras consideraciones generales deben tener en cuenta los CISO para mejorar la seguridad en el trabajo remoto?

  • Limite la exposición a activos críticos implementando directivas de acceso de Zero trust.
  • Para limitar los privilegios de administrador en endpoints distantes, utilice la gestión de acceso privilegiado.
  • Asegúrese de que las plataformas de chat y videoconferencia (como Zoom, Microsoft Teams y Slack) cumplen unas directrices de seguridad estrictas.
  • Para las conversaciones confidenciales, utilice el cifrado de extremo a extremo.
  • Revise periódicamente los riesgos y permisos de integración con servicios de terceros.
  • Establezca una política de seguridad transparente para el trabajo remoto con normas aplicables.
  • Fomente una cultura de mentalidad centrada en la seguridad entre empleados y contratistas.

¿Cuáles son las métricas de seguridad clave que los CISO deben tener en cuenta para demostrar a la junta la importancia de la seguridad en el trabajo remoto?

1. Métricas de seguridad clave que debe tener en cuenta:
Métrica Importancia
Número de intentos de amenaza bloqueados (por ejemplo: phishing, ransomware) Indica la concienciación en materia de seguridad que tienen los usuarios/empleados y la efectividad de las soluciones de seguridad.
Regla de adopción de MFA Muestra la resiliencia frente a los ataques basados en credenciales.
Número de intentos de acceso no autorizados Ayuda a demostrar las amenazas potenciales, identificar las vulnerabilidades y justificar las inversiones en seguridad mostrando los intentos de ataque reales a la organización.
Preparación para el cumplimiento (ISO, NIST, SOC2, GDPR, etc.) Demuestra el cumplimiento de los requisitos reglamentarios
MTTD y MTTR Mide la capacidad de la organización para identificar y contener rápidamente las amenazas a la seguridad, minimizando los daños potenciales y el impacto en el negocio.
Tiempo de detección y respuesta de EDR Mide la efectividad para mitigar las amenazas a los endpoints.
Errores de configuración detectados en la seguridad de la nube Supervisarlos ayuda a los CISO a evaluar la exposición al riesgo, las lagunas en el cumplimiento y la efectividad de los controles de seguridad en la nube para proteger los activos críticos.
2. Formas efectivas de presentarlas a la junta directiva
  • Manténgalas centradas en el negocio: Evite las frases técnicas complejas y describa los riesgos en términos de pérdida financiera, cumplimiento y efecto en el negocio.
  • Utilice datos visuales: Para obtener información detallada, utilice gráficos de tendencias, dashboards e informes.
  • Muestre el riesgo frente a la inversión: Haga hincapié en soluciones de seguridad asequibles que reduzcan la posibilidad de infracciones.
  • Punto de vista regulatorio y de cumplimiento: Destaque cómo la seguridad se alinea con los requisitos legales y reglamentarios.
  • Preparación ante incidentes y respuesta: Demuestre qué tan preparada está la organización para enfrentar ataques cibernéticos.
  • Haga una comparación con sus homólogos del sector: Compare la madurez de su seguridad con la de sus competidores para destacar los puntos fuertes y las áreas de mejora.

Así, en la era del trabajo remoto, los CISO son los centinelas digitales que garantizan que la seguridad siga siendo un puente, y no una barrera, para una colaboración eficiente.

Soluciones relacionadas

ManageEngine AD360 es una solución de IAM unificada que proporciona SSO, MFA adaptable, análisis impulsado por UBA y RBAC. Gestione las identidades digitales de los empleados e implemente la confianza cero y los principios del mínimo privilegio con AD360.

Para obtener más información,

Regístrese para una demostración personalizada  

ManageEngine Log360 es una solución de SIEM con funciones de UEBA, DLP, CASB y monitoreo de la web oscura. Detecte las credenciales comprometidas, reduzca el impacto de las infracciones y disminuya la exposición al riesgo de incumplimiento con Log360.

Para obtener más información,

Regístrese para una demostración personalizada   

Este contenido ha sido revisado y aprobado por Ram Vaidyanathan, consultor de tecnología y seguridad de TI en ManageEngine.