Colaboración segura: ¿Su empresa cuenta con las herramientas (seguras) adecuadas?

En las primeras semanas de la pandemia del COVID-19, la prioridad era la velocidad. Con solo unos días de aviso, las empresas tuvieron que capacitar a todos los empleados para que pudiesen trabajar desde casa. Para muchas de ellas, fue una carrera frenética por implantar plataformas virtuales o, al menos, por realizar una rápida expansión de las herramientas con las que ya se contaba.

Hoy, muchas de estas empresas casi han completado ya esta transición inicial. Los empleados están conectados, se han adaptado los formatos de las reuniones y se han establecido nuevas reglas de participación. Sin embargo, detrás de esta “nueva normalidad” se esconde todo un mundo de riesgos de seguridad que las empresas aún no han tenido en cuenta.

En este nuevo entorno virtual, la seguridad es mínima. Los Consejos de Administración, los directivos y los equipos encargados de las cuestiones legales manejan un tipo de información que requiere un elevado nivel de privacidad y seguridad, nivel que las herramientas generales de colaboración no pueden proporcionar.

La información que se comparte actualmente es más confidencial que nunca: estrategias de respuesta a la crisis, información sobre el estado de salud de los empleados, planes de despidos o cesantía, estados de resultados cambiantes… ¿Qué ocurre cuando esta información acaba en manos de las personas equivocadas?

Riesgos del ecosistema virtual

Los delincuentes no han desaparecido, sino más bien todo lo contrario. En un mundo de herramientas inmaduras y flujos de trabajo poco seguros, cada vez es mayor la presencia de piratas informáticos y otros ciberdelincuentes. Hemos detectado un incremento del número de ataques de phishing, ransomware y denegación de servicios (DDoS) con temática relacionada con el coronavirus. Las plataformas de videoconferencias más populares, como Zoom, están siendo víctimas de ataques por fallos en sus estándares de seguridad y privacidad de datos, que constituyen una puerta de entrada para cualquier ciberdelincuente. El “zoombombing” puede resultar divertido cuando se produce durante una reunión informal, ¿pero no deberían estar mejor protegidas las reuniones más confidenciales de la empresa?

En el Consejo de Administración, los equipos de gobierno corporativo se congratulan de dar el salto al mundo virtual para la celebración de sus reuniones, si bien no tienen en cuenta todos los riesgos. Los enlaces a las videoconferencias se envían a través de canales poco seguros como el correo electrónico, donde pueden interceptarse o reenviarse de forma accidental. La información confidencial se comparte entre miembros del Consejo de Administración y del equipo directivo, aunque las empresas no han proporcionado ningún canal seguro para este intercambio de información.

En muchos casos, las empresas han recurrido a herramientas de comunicación de uso general como Slack, Box o GSuite para proporcionar acceso inmediato y amplia conectividad. Estas herramientas son muy cómodas y sencillas, aunque rara vez cumplen con los estrictos estándares de privacidad y seguridad de los Consejos de Administración y equipos de liderazgo. Con interfaces de programación de aplicaciones (API) abiertas, cualquier tercero puede acceder a los datos de la empresa a través de ellas. Cada punto de contacto o miembro del equipo de soporte técnico externo representa un posible eslabón débil de la cadena.

Existe un antiguo dicho en el póquer que dice que “si no sabes quién es el primo, es porque probablemente lo seas tú”. De forma similar, si uno no sabe cuáles son sus puntos débiles en materia de seguridad, tiene más posibilidades de ser el objetivo de algún ataque.

Componentes de la colaboración segura

¿Cómo es un ecosistema virtual más seguro? Está formado por varios componentes importantes:

1. Cifrado

El cifrado es esencial para transmitir la información y los documentos de forma segura, ya que los datos confidenciales en tránsito son cada vez más vulnerables a ataques de phishing, robos de contraseñas y otras posibles violaciones de seguridad. El cifrado convierte el “texto sin formato” en una clave criptográfica o una cadena de caracteres que protege la información en tránsito. Los consejeros, directivos y miembros del equipo de seguridad y de los equipos encargados de las cuestiones legales deben tener acceso a herramientas cifradas como Diligent Messenger (para el envío seguro de mensajes tanto de forma individual como en grupos), Diligent Secure File Sharing (para el intercambio de documentos) y Diligent Boards (para la gestión segura de las reuniones y comunicaciones del Consejo de Administración). Con diversos niveles de cifrado, realmente las herramientas de Diligent cifran y descifran los datos varias veces mientras la información está en tránsito, lo que proporciona un estándar de seguridad todavía mayor que otras herramientas similares. Cuando se utilizan plataformas de vídeo basadas en la nube como Zoom o Microsoft Teams, los enlaces a las reuniones deben compartirse únicamente a través de plataformas cifradas para reducir el riesgo de que caigan en manos de las personas equivocadas.

2. Protección de la privacidad y permisos de usuario

Poder establecer permisos de usuario es fundamental para proteger la información confidencial. No obstante, en lo que refiere al Consejo de Administración y a los equipos directivos, deben tenerse en cuenta más matices: 1) los directivos y los miembros del Consejo de Administración deben ser capaces de proteger la información de los administradores del sistema para garantizar la seguridad de la información confidencial, así como de conceder permisos especiales a los asesores generales u otras partes privilegiadas cuando sea necesario, y 2) los permisos de usuario deben ser igual de seguros que los que se conceden a terceros de confianza (como abogados o asesores). Las herramientas de Diligent mencionadas anteriormente no solo permiten estas acciones sino que se integran entre sí.

3. Cumplimiento

¿Los nuevos flujos de trabajo virtual cumplen con el RGPD? ¿Siguen las directrices de las leyes HIPPA para proteger la información del estado de salud de los empleados? Las empresas deben asegurarse de que la rápida transición al trabajo desde casa no ha puesto en peligro el cumplimiento en áreas importantes. La seguridad de la plataforma debe cumplir con los requisitos normativos en materia de procesamiento y transmisión de datos, lo que a menudo requiere cifrado de datos e integración con el sistema.

4. Control del riesgo legal

La reducción del riesgo legal y de la revelación de información es algo inherente en cualquier solución de colaboración segura. A través de estas herramientas, los asesores jurídicos deben ser capaces de conservar o destruir conversaciones, documentos y notas confidenciales cuando sea necesario. Con herramientas como Diligent Boards y Messenger, los asesores generales, los secretarios del Consejo de Administración o los directores de la seguridad de la información pueden fijar un periodo de tiempo de conservación de los mensajes y las notas. Las empresas también deben tener la capacidad de borrar todos los datos confidenciales de los dispositivos que se pierdan. Las herramientas de Diligent incluyen esta función.

5. Uso sencillo

Con el fin de dar con una mejor solución, es necesario que las herramientas seguras reflejen los procesos de trabajo de los Consejos de Administración y equipos de liderazgo actuales. Las plataformas de mensajería segura deben ser igual de sencillas que las herramientas de correo electrónico o de envío de mensajes de texto. La redacción de actas, las votaciones y la elaboración de informes sobre el cumplimiento deben integrarse con el software de gestión del Consejo de Administración. Los usuarios autorizados deben poder colaborar en tiempo real. Las herramientas de colaboración segura de Diligent incluyen todas estas funciones. Las empresas no deben subestimar la importancia de la integración y la facilidad de uso a la hora de crear procesos de comunicación segura.

¿Cuál es el mejor camino para seguir? Al igual que con la jerarquía de las necesidades de Maslow, se deben priorizar las protecciones básicas de seguridad, ya que representan los riesgos más importantes e inmediatos en este nuevo mundo virtual. Sin embargo, el camino para asegurar los procesos de trabajo en la empresa no tiene por qué ser largo o tedioso. Las herramientas de Diligent pueden implementarse en cuestión de días para conectar el Consejo de Administración, el equipo directivo y la información confidencial en un único entorno de trabajo seguro. Ahora más que nunca, los altos cargos de las empresas necesitan disponer de un canal de comunicación exclusivo, pues el uso del correo electrónico supone un riesgo cada vez mayor.

El camino hacia un futuro de trabajo más seguro forma parte de una transformación mucho mayor que requiere que las empresas se mantengan ágiles y con visión de futuro. La COVID-19 representa un gran obstáculo que superar. Aquellas empresas que sean capaces de identificar las oportunidades conseguirán ser más fuertes en el futuro.