A medida que la fuerza laboral evoluciona, adaptándose a los diferentes contextos derivados de la COVID-19, la puerta queda abierta para que las organizaciones lleven a cabo formas alternativas de contratación de trabajadores, quienes ofrecen sus habilidades desde cualquier lugar y según las necesidades de dichas empresas. A menudo se trata de empleados esporádicos o autónomos que practican teletrabajo. Conocido como gig economy, hablamos de un creciente modelo de economía colaborativa que, si bien beneficia a muchas empresas, conlleva riesgos de seguridad de la información.
Efectivamente, gig economy engloba a aquellas personas que deciden convertirse en empleados autónomos y colaborar con diferentes empresas a la vez. En la actualidad, el incremento de las plataformas en línea y la cada vez mayor aceptación del teletrabajo está favoreciendo que mantener una relación laboral con distintas compañías simultáneamente sea más sencillo que nunca, lo que representa un gran cambio en la forma de pensar de las organizaciones y de cómo gestionar a esos teletrabajadores.
El mundo entero se pregunta cómo será la nueva normalidad, pero la mayoría está de acuerdo en que no veremos la vuelta física a la oficina al cien por cien. Por ello, y ante el crecimiento previsto tanto de los trabajadores remotos como de la gig economy, el panorama actual supone un cambio en la estrategia de seguridad de la información de las empresas que cada vez es más imperativo.
Acceso y control
Analicemos esta nueva situación. ¿En qué se diferencia la gig economy de los autónomos hoy en día? Desde una perspectiva de acceso y control, puede que inicialmente no parezca haber mucha diferencia. ¿O sí la hay?
En el pasado hemos visto cómo al recurrir a empresas de trabajo temporal se ha exigido la comprobación tanto de la empresa como del trabajador. A diferencia de los proveedores o autónomos habituales, a los que exigimos que dispongan de controles de seguridad de la información en los puntos finales, tales como la detección y respuesta en los puntos finales (EDR), discos duros cifrados, gestión de parches, contraseñas sólidas y el uso de túneles cifrados para acceder a nuestros sistemas, los trabajadores de la nueva gig economy a menudo no disponen de estos controles en sus sistemas. Es más, pueden utilizar su propio dispositivo personal para trabajar con diferentes empresas, algunas de las cuales pueden no exigir ningún requisito de seguridad.
Esta situación puede generar grandes dolores de cabeza a los equipos de seguridad de las organizaciones que contratan a estos trabajadores sobre cómo mantener unos requisitos mínimos de seguridad.
Otro elemento a tener en cuenta es que en la gig economy los trabajadores tienen flexibilidad de horario y de carga de trabajo, sin olvidar que pueden trabajar para diferentes empresas a la vez, incluso para un competidor. De este modo, pueden almacenar información sensible en sus sistemas, reutilizar determinados datos de una investigación, ideas de programación o conceptos de marketing para beneficiar a otra empresa. O peor aún, compartir con el principal competidor.
Bajo estas premisas, y con una tendencia creciente de la gig economy, las organizaciones se enfrentan a varios retos de seguridad de la información y deben considerar con detenimiento factores como el grado de acceso que tienen los trabajadores independientes a la información corporativa confidencial, si el acceso a los datos se realiza de forma segura y el modo en que los equipos de seguridad están monitorizando las amenazas a las que se enfrentan estos empleados. Un reto que va en aumento y que la pandemia ha acelerado.
El modelo ‘gig economy’ beneficia a muchas empresas. Pero también es importante evaluar los riesgos de seguridad de la información que conlleva
Riesgo interno
Además de estas eventualidades, otros riesgos para las empresas pueden venir de aquellos empleados que, además de trabajar a tiempo completo para una compañía, también participen en la gig economy para ganar un dinero extra, posibilidad nada insólita y muy sencilla dado el auge del teletrabajo.
Efectivamente, a medida que se combina la fuerza de trabajo de la gig economy con la creciente fuerza de trabajo remoto, un nuevo vector de amenaza está emergiendo. Cuando los empleados trabajan en una oficina tradicional existe una barrera natural que impide a estos trabajar en proyectos para otras empresas durante la jornada. Los controles de seguridad de la red LAN limitan la capacidad de acceso de un empleado a los sistemas de una empresa externa y en las oficinas de concepto abierto es difícil mantener una conversación con otro empleador.
Pero si están trabajando desde casa, ¿cómo sabemos si están trabajando para otras organizaciones o incluso para un competidor? ¿Cómo puede una empresa asegurar que sus secretos o su propiedad intelectual no están siendo utilizados, accidentalmente o a propósito, para mejorar los productos y servicios de otras organizaciones?
Asegurar la información
Aunque no existe una estrategia perfecta para gestionar la seguridad de los trabajadores en la gig economy, las empresas, no obstante, sí pueden desplegar algunas capacidades esenciales como el acceso a la red basado en el modelo de confianza cero (ZTNA) y la monitorización activa en línea de las nubes y la protección de datos. Con ZTNA es posible gestionar el acceso a recursos clave y ajustar los privilegios en función del comportamiento, el dispositivo, la ubicación y la sensibilidad de los datos.
Con la monitorización de la nube en tiempo real y el análisis del comportamiento de los usuarios se consigue detectar cambios en el uso, además de evitar el movimiento de datos sensibles. La implementación de una solución de bróker de servicios de acceso a la nube (CASB) con prevención avanzada de fuga de datos (DLP) proporcionará la visibilidad necesaria y la protección de los datos corporativos sensibles, esté el usuario accediendo desde un dispositivo corporativo o personal.
Por tanto, es hora de renovar los programas de amenazas internas con el objetivo de impedir que, si en un futuro, un trabajador independiente participa en un proyecto sensible dentro de la empresa, con acceso a datos confidenciales, no termine trabajando o facilitando la labor a la competencia.
Es necesario cambiar la forma en que los empleados acceden y manipulan los datos, limitando el acceso a los sistemas de colaboración en la nube. Asimismo, es vital establecer controles estrictos en torno a la información sensible, restringir la edición, creación y copia dentro del sistema de colaboración en la nube aprobado por la empresa y no permitir la descarga de datos.