Los trabajadores subcontratados llegaron para quedarse, pero podrían representar un riesgo de ciberseguridad oculto


Ya sea intencionalmente o no, los trabajadores de conciertos pueden causar brechas de seguridad. A continuación, le indicamos cómo configurar su empresa para que sea segura.

Karen Roby de TechRepublic habló con James Christiansen, vicepresidente y director de operaciones de Netskope, sobre las preocupaciones de ciberseguridad con la fuerza laboral. La siguiente es una transcripción editada de su conversación.

Karen Roby: Hablamos de la mano de obra gig. Vemos a tanta gente trabajando de una manera tan diferente ahora. El problema con eso es que la ciberseguridad se convierte en un gran problema. Hablemos un poco sobre cuán grande es este problema porque, quiero decir, nuevamente, la fuerza laboral de los conciertos está creciendo exponencialmente.

VER: Política de reembolso de gastos de TI (TechRepublic Premium)

James Christiansen: Es una locura, Karen. De hecho, eso es lo que realmente me interesó en este tema fue la primera vez que miré algunas de las estadísticas, eran increíbles. Quiero decir, el 52% de los participantes son de la pandemia. Entonces, cuando la gente perdió sus trabajos, se fueron a la fuerza laboral de los conciertos. Lo que fue absolutamente sorprendente para mí cuando miré, más del 90% de las personas encuestadas en los EE. UU. Dijeron que harían un trabajo de concierto.

Bueno, eso realmente tiene dos piezas. Significa que si son trabajadores de conciertos como, digamos, tienes trabajadores de Uber trabajando para Lyft, competidores directos al mismo tiempo, eso es una cosa. Pero cuando ingresa al mundo de la tecnología y lo ha hecho, tal vez su empleado esté haciendo un concierto, sin saberlo, irá a un competidor. Estas estadísticas son simplemente impactantes cuando vi el 90%, eso significa que alguien con quien estoy trabajando, dirán las estadísticas, está haciendo un trabajo adicional. Siempre hemos tenido trabajos secundarios, pero nunca donde los datos eran tan frecuentes y podían filtrarse al espionaje industrial, datos confidenciales.

Creo que probablemente veremos algunos ejemplos del tipo de personas. Pero es esa estadística, 90%, es un crecimiento 3X, un crecimiento del 300% en esta área. Entonces, como dijiste, está explotando. La mitad de los millennials utilizan trabajos de concierto, sí.

Karen Roby: Sí, realmente hay números significativos cuando lo piensas, James. Los problemas que eso puede plantear, nuevamente, en cuanto a conectividad y seguridad, y me refiero a que las personas son vulnerables, por lo tanto sus empresas son vulnerables.

James Christiansen: Por supuesto que sí. Ese es el problema, por supuesto. Hemos tratado con contratistas durante mucho tiempo. Hemos contratado a contratistas. Incluso solía trabajar para una empresa contratista. Pero de esa empresa, yo period un empleado de tiempo completo, y se aseguraron de que tuviera verificaciones de antecedentes, tenía una computadora portátil segura desde la que trabajaba. Se asegurarían de que nunca trabajara en un espacio de la competencia. Bueno, estos son trabajadores independientes. La economía de los conciertos se trata de trabajadores independientes. A medida que estos trabajadores independientes van de un concierto a otro, esos datos pueden accidentalmente …

Quiero decir, cuando miras la amenaza interna, porque de eso es de lo que estamos hablando es de esa nueva amenaza interna. De hecho, sería el más difícil de todos mis más de 25 años al que me he enfrentado porque es incluso más difícil de lo typical debido al aspecto de la supervisión. ¿Cómo los detecto? Pueden tener muchos roles diferentes. Quiero decir, puedes tener un desarrollador de aplicaciones. Tengo un gran ejemplo de un caso actual en el que un desarrollador estaba haciendo un trabajo en directo. De hecho, fue un caso divertido. Pero podrían ser análisis de mercado, vienen para hacer un análisis de precios por usted.

VER: Hacer malabarismos con el trabajo remoto con la educación de los niños es una tarea gigantesca. Así es como pueden ayudar los empleadores (PDF gratuito) (TechRepublic)

Bueno, les das todos tus datos confidenciales, podrías darles los nombres de tus hombres más vendidos. Puede darles la cantidad de comisiones que están ganando por hacer su análisis. Bueno, esos datos, cuando terminen con ellos, ¿cómo saber si se eliminan? ¿Cómo sabes que podrían accidentalmente …? Como dije, está el interno malicioso, pero luego el no malicioso, en el que accidentalmente hacen algo que revela los datos. De hecho, eso es probablemente más frecuente que la información privilegiada malintencionada.

Pero están todos estos diferentes trabajadores del poder. He realizado una serie de investigaciones, ciberseguridad, investigaciones legales, y contaremos con asesores legales externos que ayuden a procesar los datos. Son datos muy confidenciales que, una vez finalizado el concierto, podrían filtrarse. Por eso es tan impactante y por eso es absolutamente necesario hablar más de ello. Incluso me volví a mi pink international y dije, oye, ¿qué piensas de esto? ¿Cuáles son las mejores formas de mitigar estos riesgos que tenemos?

Karen Roby: Eso me lleva a mi siguiente pregunta obvia. Sabemos cuál es el problema. Sabemos que es frecuente. ¿Entonces qué hacemos al respecto?

James Christiansen: Bueno, es realmente, primero, creo que la comprensión, ¿cuáles son los atributos de los gig employee? Por lo standard, estarán aquí a corto plazo, no suelen ser contratos a largo plazo. De hecho, algunas de las cosas normales que haríamos son verificaciones de antecedentes. Bueno, cuando empiezas a pensar en lo que haces, bueno, ¿cómo verificas los antecedentes de alguien? Se necesitan dos semanas para hacer una verificación de antecedentes, y solo estarán aquí dos semanas.

James Christiansen: Realmente, primero, comienza con la comprensión de la cultura de su empresa. Una de las cosas que siempre es absolutamente esencial como director de seguridad exitoso es comprender la cultura. Bueno, en este caso, creo que debemos comenzar por educar a los ejecutivos clave. ¿Qué es el gig employee? ¿Por qué plantean esta amenaza que hacen? ¿Qué tipo de amenazas? Y luego podemos hablar sobre cómo mitigar esas cosas. Mi primera sugerencia es que debe tener una política dentro de su empresa sobre, oye, ¿contratamos trabajadores de concierto o no? ¿Queremos quedarnos con contratistas más tradicionales o no?

VER: Los eventos virtuales no tienen por qué ser tediosos: a Okta se le ocurrió una nueva forma (TechRepublic)

Ahora, mi recomendación para que todos se apoyen en ella. Absolutamente va a ser parte de nuestra economía. Si intentas luchar, será como intentar luchar contra la nube. Pero si se inclina hacia él, puede decir: «Bueno, coloquemos las cosas correctas en su lugar. Hablemos de dónde y cuándo usamos a los trabajadores». Por lo tanto, puede educar a sus gerentes de contratación cuando sea apropiado usarlos. Hablamos de controles administrativos. Así que hablaría de tres tipos diferentes de controles.

Primero, establece administrativo. Brindar orientación a su organización sobre cómo utilizar la ayuda de tipo autónomo cuando es apropiado, cuando no lo es. Aquí están las cosas, si las va a usar, debe hacerlas, para ese primer conjunto de políticas. Luego, hable sobre sus políticas de gestión de proveedores. Aún debe asegurarse de que establezcan un contrato que tenga todas las responsabilidades. Aquí hay algo que exige la ley para la mayoría de los sectores de la industria: la notificación de incumplimiento. Por lo tanto, si por casualidad ese trabajador autónomo viola sus datos, debe asegurarse de que estén obligados a notificarlo porque es absolutamente necesario, para que pueda realizar una investigación de notificación.

Pero si no tiene eso en la base del contrato, por supuesto, se convierte en una amenaza cada vez mayor. Puede encontrarse en el momento equivocado de reacción normal. Luego, hablaremos sobre la capacitación de nuevos empleados. Asegúrate de tenerlo en esa nueva contratación … ellos consiguen al trabajador del concierto. Tal vez sea una versión muy reducida, pero en realidad están informados sobre sus prácticas, sus políticas. Esa formación de sensibilización que hacemos con nuestros empleados sigue siendo realmente importante.

Ahora, incluso puede requerir que usen su máquina. Ahora, eso es típico de un contratista, y estamos distinguiendo a un contratista de un autónomo. A menudo, estos son compromisos tan breves que utilizan su propia máquina. Asegúrese de que puede poner allí, tiene que tener estas políticas, estas cosas. Hay automatización que puedes poner ahí. Cuando inician sesión en su pink, puede verificar su máquina para ver si realmente tiene cifrado de command de virus, algunas de esas cosas. Así que esa es más la capa técnica de controles.

VER: Casi la mitad de los graduados universitarios de 2020 aún no han encontrado trabajo (TechRepublic)

Ahora, la clave genuine aquí es monitorear esto. ¿Cómo sabemos que están comprometidos en un contrato de concierto? Debido a que una de las cosas clave que realmente me molesta es que la mayor parte del tiempo pienso en esto, estamos pensando, está bien, acabo de contratar a alguien para que haga quizás un trabajo de marketing o algo de programación. Esa es la única ventaja del concierto. La otra ventaja es la más aterradora, podría ser uno de tus compañeros de trabajo que está haciendo una tarea. Ahora probablemente no pretendan dañar a las empresas, son empleados a tiempo completo. Pero, de nuevo, es posible que simplemente no vinculen los datos de forma maliciosa. Así que tenemos que implementar estos controles y monitorearlos.

Ahora, el monitoreo es la parte más difícil porque si usaras nuestro sistema, nuestra máquina, lo mismo que solías iniciar sesión, absolutamente podría detectarlo. Pero lo más probable es que el usuario del concierto vaya a usar una máquina privada cuando esté trabajando en el concierto, por lo que no tengo las piezas de monitoreo en su lugar. Entonces, el mejor manage será el comportamiento del usuario. Lo que observará, y un ejemplo es, un trabajador usual iniciará sesión, hará mucho trabajo intensivo y luego cerrará la sesión tal vez horas más tarde. Bueno, si empiezas a ver que alguien inicia sesión, verifica algunas cosas y luego vuelve a cerrar la sesión, lo más possible es que hayan venido a ver la rutina que escribieron o descargar algo en su máquina que van a usar.

Podría gastar $ 100,000 en la creación de una utilidad de análisis para la I + D de un código de aplicación. Bueno, necesitan ese análisis en el nuevo concierto, ¿crees que lo van a reescribir? No, van a decir: «Bueno, ya lo hice. Está en mi caja de herramientas, déjame ir a buscarlo y lo adaptaré». Así es como funcionan estas cosas. Cuando piensa en el análisis del comportamiento del usuario, ese es el único lugar donde puede comenzar a ver las diferencias en el comportamiento de un trabajador standard, y si esta persona podría ser un trabajador autónomo. Por supuesto, tendrá que restringir las reglas de acceso tanto como pueda. Solo tienen acceso a los datos que quieren hacer y que van a usar.

Ahora, dependiendo nuevamente del tipo de sector en el que se encuentre, hemos hablado de algunos de los controles administrativos, los controles técnicos, los controles de detectives, así que ahora vamos a pensar en, bueno, qué otros tipos de ¿cosas que puedo hacer? Hay algo llamado escritorio virtual, VDI. VDI existe desde hace mucho tiempo. En realidad, lo que hace es virtualizar todo el escritorio para que no se descargue nada. Verá que se usa a menudo en la industria bancaria, donde son realmente estrictos en materia de seguridad. Ahora, puede implementar eso para protegerse en un trabajador autónomo, pero el problema es que es muy restrictivo. Por lo basic, no es una interfaz muy buena. Si bien intenté implementarlo en un par de mis roles anteriores, no funcionó muy bien.

VER: 9 formas de asegurarse de contratar a los mejores autónomos para su empresa (TechRepublic)

El otro aspecto que puede hacer es llamar al aislamiento del navegador remoto, donde toma al menos lo que está en el navegador y lo aísla. Entonces, ese es otro manage en el que no es tan restrictivo como el VDI, pero ciertamente el aislamiento remoto del navegador es otra opción. Quizás uno de los mejores controles que puede implementar es la gestión de derechos digitales. Lo que hace es que en realidad te permite ingresar, digamos que tienes un PowerPoint, Phrase o una hoja de cálculo de Excel, puedes poner la administración de derechos en eso para que puedan abrirlo, pero si lo intentan para compartirlo en cualquier lugar o se suelta, en realidad no se puede abrir porque la seguridad authentic fluye con el documento en sí.

Una vez más, el único problema son los casos usados. Si vuelve a mi ejemplo anterior, donde un programador de aplicaciones estaba filtrando código que había escrito y usado antes, eso no funciona muy bien en ese tipo de circunstancias.

Karen Roby: James, muchas cosas a considerar. Un gran consejo. Creo que lo interesante que dice, que es realmente genial, es apoyarse en esto porque este tipo de fuerza laboral no se va a ir simplemente ahora que estamos comenzando a volver a la normalidad. Quiero decir, las cosas están cambiando y nuestra fuerza laboral está cambiando muy rápidamente. Bueno, realmente aprecio que estés aquí conmigo hoy, James.

James Christiansen: Es algo de lo que necesitamos hablar porque es esa amenaza oculta que no hemos expuesto realmente, no hemos puesto los controles adecuados en su lugar. Es difícil incluso hablar con los equipos ejecutivos sobre, oye, es posible que tenga trabajadores, las personas en las que confía podrían hacer accidentalmente algo que podría dañar a la empresa. Es un cambio cultural. Quiero decir, esa es la otra cosa clave, estamos hablando de un cambio de cultura. Cuando entré a la fuerza laboral, tenías mucha lealtad hacia la empresa para la que trabajabas. En Common Motors, la gente trabajaría allí, un trabajo, 30 años.

Karen Roby: Toda la vida, sí.

James Christiansen: Ahora, 18 meses, están en … no hay diferencia entre la relación de un empleado y un contratista en lo que respecta a la lealtad, por lo que ya no podemos confiar en eso. Entonces, es un cambio cultural que tenemos que adoptar. Como dijiste, y yo dije, esto no va a desaparecer, apóyate en él, abrázalo, entiéndelo y luego pongamos las cosas correctas en su lugar.

Ver también

20210604-gigworkforce-karen.jpg "src =" https://www.techrepublic.com/a/hub/i/r/2021/06/09/8c0b5ee6-540a-4953-8396-367a3607dba4/resize/770x/2033ab6cd424cc83248e0329c33c1033 /20210604-gigworkforce-karen.jpg

Karen Roby de TechRepublic habló con James Christiansen, vicepresidente y director de operaciones de Netskope, sobre las preocupaciones de seguridad cibernética con la fuerza laboral.

Imagen: Mackenzie Burke



Enlace a la noticia first