Blog CSO, Data Protection, Full Skope Gig Workers are the Most Dangerous Insider Threat We Aren’t Talking About
May 13 2021

Los trabajadores autónomos son la amenaza interna más peligrosa de la que no se habla

El término "economía por encargos" se refiere al uso cada vez más común de trabajadores cualificados autónomos o independientes a corto plazo—a menudo un proyecto cada vez. La disponibilidad de este tipo de trabajadores por encargo ha supuesto un cambio masivo en la cultura laboral mundial en los últimos años. 

Los conductores de Uber y Lyft son un buen ejemplo. No hay un horario fijo; el trabajo se hace viaje a viaje (encargo a encargo). En los primeros tiempos del negocio de los viajes compartidos, uno se subía a un vehículo de Uber o de Lyft. Pero hoy en día, los conductores suelen conducir para ambas empresas simultáneamente. Este es un aspecto muy común del mundo de los autónomos—los trabajadores suelen ser contratados por competidores directos al mismo tiempo. La omnipresente disponibilidad de conjuntos de habilidades remotas permite que la mano de obra se incremente o disminuya según sea necesario y que los trabajadores puedan ser contratados desde prácticamente cualquier lugar. 

En el pasado, un empleado trabajaba para una sola empresa a la vez, e incluso en una sola empresa durante toda su carrera. Había mucha lealtad y longevidad. Pero hoy en día, un contratista o un empleado a tiempo completo puede permanecer en una empresa sólo 18 meses antes de pasar a otras oportunidades. O, incluso, menos tiempo que eso. Según un estudio de 2021 del Institute for Business Value de IBM, uno de cada cuatro trabajadores tiene previsto cambiar de trabajo este año, un ritmo mayor que incluso hace un año, que era de uno de cada cinco. De los que cambiaron de trabajo el año pasado, más de la mitad se identificaron como millennials o generación Z.

Sin embargo, dentro del sector tecnológico en particular, los trabajadores a corto plazo presentan algunos riesgos destacados para las organizaciones, algunos de los cuales son bastante graves. unque las ventajas para el negocio pueden ser evidentes, los altos grados de temporalidad y transitoriedad hacen de la economía por encargos una enorme bomba para la seguridad. Pero nadie parece oír el tictac todavía.

¿Qué tamaño tiee la economía por encargos?

-Más de un tercio de los trabajadores estadounidenses (36%) participan actualmente en la economía por encargos, ya sea a través de trabajos primarios o secundarios
-Más de la mitad (52%) de los trabajadores globales que participan en la economía por encargos perdieron su trabajo por culpa de la COVID-19
-Más del 90% de los trabajadores de EE.UU. dijeron que considerarían la posibilidad de trabajar como freelance o como contratista independiente—y muchas veces esto además de su trabajo a tiempo completo
-La mono de obra colaborativa está creciendo 3 veces más rápido que la tradicional

Fuente Foundly.com

La demanda genera oportunidades—y vulnerabilidades

En lo que respecta a los riesgos que puede presentar la contratación de autónomos, hay un gran ejemplo admonitorio de hace unos años. "Bob" era un programador que subcontrataba la realización de sus programas en China, obteniendo unos ingresos de seis cifras y pagando una quinta parte de los mismos a trabajadores chinos. Bob se pasaba el día comprando en eBay y viendo vídeos de gatos mientras se atribuía el mérito de un código de gran calidad y alta productividad, hasta que se descubrió su estafa. Descubrieron que también había enviado su token de seguridad a los trabajadores externos para eludir la autenticación de doble factor de su empresa. Los detalles dan lugar a una historia memorable—pero las implicaciones en materia de seguridad y propiedad intelectual (PI) de esta misma situación podrían ser bastante perjudiciales para la empresa que despliega ese código.

La digitalización de las empresas está impulsando la demanda de trabajadores autónomos por encargos. Las empresas se mueven más rápido que nunca. La adopción de tecnologías en la nube les permite ser cada vez más versátiles y ágiles. Y eso significa que la superficie de ataque también está cambiando. La parte de la digitalización que corresponde a los trabajadores autónomos significa que la naturaleza de la amenaza interna también ha evolucionado. 

Las amenazas internas siempre han sido un problema en la industria de la seguridad. Algunos de los mayores casos de pérdida de datos y fraude que he conocido en mi carrera provienen de personas con información privilegiada, porque conocen los controles y procesos de la empresa y pueden encontrar formas de evitarlos, evitando fácilmente la detección. Sin embargo, los riesgos potenciales asociados a los trabajadores autónomos son únicos respecto a los de los trabajadores internos comunes, lo que hace que las amenazas sean aún más difíciles de detectar y defender.

Un nuevo tipo de amenaza interna

La rápida rotación de muchos proyectos de trabajo por encargo hace que a menudo se pasen por alto las comprobaciones de antecedentes. Dado que los trabajos son de corta duración, a menudo no se exige a los trabajadores que cuenten con las mismas salvaguardas de seguridad que las empresas esperarían de un trabajador contratado—como el uso de discos duros cifrados, protección antivirus y/o repositorios seguros de documentos.

Los trabajadores autónomos suelen utilizar sus propios ordenadores para los trabajos, almacenando información confidencial y de investigación en una unidad local o en una cuenta personal en la nube. Pero, ¿qué ocurre con toda esa información una vez que el trabajo ha terminado? ¿Se borra o se almacena y es vulnerable al robo? ¿Se comparte o reutiliza con un competidor? ¿Cómo puede saberlo la empresa contratante?

Supongamos que contrata a un programador de aplicaciones para que escriba una rutina de análisis para tu empresa. El programador contratado tarda tres meses en escribirla y le cuesta 100.000 dólares en mano de obra y gastos de proceso. Una vez finalizado el trabajo, ese mismo programador es contratado por su principal competidor, que casualmente también necesita escribir una rutina de análisis. ¿Crees que el trabajador por cuenta ajena se va a sentar a reescribir toda la rutina de análisis desde el principio? 

Probablemente sacará lo que ya ha escrito y sólo hará algunas modificaciones para que encaje en el sistema del competidor. Así que su competidor se ahorra 80.000 dólares porque el trabajador de la empresa estaba en condiciones de reutilizar su propiedad intelectual sin ninguna interferencia o consecuencia. Los programadores tienden a pensar que, si escriben un trozo de código, entonces lo poseen como parte de su caja de herramientas. Y cuando ese programador es un trabajador por cuenta ajena, lleva esa caja de herramientas de un trabajo a otro, incluso a los competidores que no invirtieron los mismos ciclos de I+D para facilitar el desarrollo de ese código.

La programación es sólo un área en la que puede surgir esta amenaza. Las empresas también contratan a menudo a trabajadores autónomos como analistas e investigadores de mercado, gerentes de cuentas, analistas de bases de datos de TI y apoyo en litigios. Los datos de precios, el análisis de mercado, la investigación legal—toda esta información tiene el potencial de ser reutilizada por otra entidad a través de un trabajador autónomo emprendedor que intenta maximizar sus ganancias y minimizar el trabajo que tiene que hacer. 

Parte del problema es que nuestro sentido de lo que es valioso puede estar atrasado. La gente suele pensar en las "joyas de la corona" de una empresa desde la perspectiva de una persona ajena que irrumpe para llevarse datos valiosos. Pero en el contexto de una amenaza interna, las joyas de la corona serán diferentes. Así que tenemos que empezar a pensar en todo lo que es valioso para la organización hoy en día y cómo puede ser explotado. 

No sólo las contrataciones temporales conllevan riesgos de la economía por encargos. Los empleados a tiempo completo también pueden trasnochar para estar pluriempleados como trabajadores autónomos para obtener ingresos adicionales. Dado que la mayoría de los trabajadores realizan su trabajo a distancia, no hay nadie que les vigile para ver si están trabajando en algo paralelo o introduciendo código de un trabajo anterior. En conjunto, el nivel de riesgo de información privilegiada ha aumentado desde el inicio de la COVID—y gran parte de ello puede atribuirse al auge de la economía por encargos. La mayoría de los empleados remotos de hoy en día no esperan volver al lugar de trabajo en un futuro próximo. Sin controles avanzados para detectar y proteger contra el uso indebido de información sensible, nada impide que un empleado reutilice datos confidenciales en beneficio de otra empresa y de su propio beneficio personal.

Evaluación de riesgos: detectar, proteger y responder

Una vez definidas con mayor claridad las posibles amenazas que pueden plantear los trabajadores autónomos, ahora es fundamental dar el siguiente paso de calcular los riesgos reales que presentan para una empresa. 

  1. ¿Cuál es la probabilidad de una vulnerabilidad o amenaza en su empresa? 
  2. ¿Qué datos tiene realmente su empresa en riesgo en esta situación?
  3. ¿Y cuál sería el impacto en la empresa si esos datos fueran explotados?

Con los resultados de esa evaluación de riesgos en la mano se puede elaborar un plan de protección. En primer lugar, se necesitarán controles administrativos. La organización necesita políticas—una dirección clara del equipo ejecutivo en relación con el uso apropiado de los trabajadores externos y de los trabajadores externos. Describa las situaciones en las que es aceptable contratar a un trabajador autónomo y las limitaciones que deben establecerse para gestionar este tipo de proveedores temporales. Con las políticas definidas, la empresa puede emitir contratos a los trabajadores autónomos que ilustren claramente los requisitos legales del trabajo, como la confidencialidad a través de un acuerdo de confidencialidad o no divulgación (NDA), los requisitos de seguridad, las restricciones a la subcontratación y la indemnización.

Los controles del proceso pueden incluir la formación de los nuevos trabajadores para instruirlos en las políticas y expectativas de la empresa. Internamente, los directivos de la empresa también deben recibir formación sobre los riesgos asociados a la contratación de trabajadores autónomos externos. También debe haber salvaguardias para evitar que se eluda la gestión de los proveedores—lo que normalmente significa involucrar al departamento de contabilidad para garantizar que sólo se pague a trabajadores autónomos por encargo formados e investigados.

Las tecnologías de seguridad que abordan los riesgos de los trabajadores autónomos son una combinación de controles de trabajadores remotos, controles de contratistas y controles de acceso a la red basados en la confianza cero (ZTNA). Esto puede incluir el uso de una red privada virtual (VPN), la exigencia de una autenticación de doble factor para el acceso a las aplicaciones de la empresa y el endurecimiento de las normas de acceso a los datos/archivos para este tipo de trabajadores. El principio básico de la confianza cero es especialmente importante en este caso, ya que los trabajadores autónomos se encuentran fuera de su perímetro de seguridad tradicional y no se puede confiar intrínsecamente en la autenticación, el dispositivo, la red o las aplicaciones que utilizan. Las capacidades de VPN de nueva generación pueden proporcionar acceso directo a las aplicaciones, de modo que el trabajador autónomo sólo pueda acceder a la aplicación que necesita para hacer su trabajo y nada más dentro de la empresa. Del mismo modo, una arquitectura de confianza cero puede ayudar a las organizaciones a crear un modelo de confianza adaptable que sea más ágil y pueda cambiar en función de las circunstancias de cada trabajador.

La economía por encargos ha llegado para quedarse

La mano de obra por encargos está creciendo debido al abrumador valor que puede ofrecer tanto a las empresas como a los individuos. Las organizaciones deben inclinarse y adoptar este cambio global. A fin de cuentas, un trabajador autónomo debería ser tratado como otra forma de contratista. Deberían aplicarse las mismas reglas en cuanto a la contratación, los controles de seguridad de los puntos finales, la supervisión de la nube (patrones de comportamiento con respecto al acceso al sistema/los datos y el movimiento de los archivos), y tener un sistema establecido para la comprobación rápida de los antecedentes.

Comience por evaluar el riesgo que tiene en su entorno. A continuación, cree una hoja de ruta de supervisión y controles. Las organizaciones actuales necesitan controles contextuales que sigan los datos y los usuarios. Los controles de acceso granulares reducen la superficie de riesgo. Esto debería incluir:

  • Controles de identidad que proporcionen una autenticación fuerte para el acceso y análisis de comportamiento que cubran tanto los riesgos basados en el usuario como en el dispositivo.
  • Controles de aplicaciones que incluyan controles de acceso y actividad adaptables.
  • Controles de datos con descubrimiento y clasificación automatizados, aplicación de políticas de un solo paso, así como prevención de fuga de datos (DLP).

Si está interesado en escuchar más sobre mis reflexiones sobre la seguridad de la economía del encargo, ¡Asiste a mi sesión en RSA!

author image
Acerca del autor
James Christiansen es el vicepresidente de transformación de seguridad en la nube de Netskope y máximo responsable de estrategia global. Se centra en mejorar la comprensión de los clientes globales de Netskope sobre los retos y soluciones de los despliegues en la nube, ayudando a impulsar el liderazgo intelectual en la transformación de la seguridad en la nube.
James Christiansen es el vicepresidente de transformación de seguridad en la nube de Netskope y máximo responsable de estrategia global. Se centra en mejorar la comprensión de los clientes globales de Netskope sobre los retos y soluciones de los despliegues en la nube, ayudando a impulsar el liderazgo intelectual en la transformación de la seguridad en la nube.