Cómo proteger a los equipos de ventas

Un plan para preparar tus estrategias de seguridad para el futuro

La capacidad de brindar los medios necesarios al equipo de ventas es fundamental para los buenos resultados de la mayoría de las empresas. Al fin y al cabo, las ventas son el principal motor de los ingresos. Pero, sigue siendo la división más difícil a la que dar soporte y a la que proteger. Además, suelen representar un gran porcentaje de la plantilla, de ahí que abordar estos desafíos pueda exigir una importante inversión de tiempo y esfuerzo.

¿Por qué es tan difícil dar soporte al equipo de ventas? En primer lugar, los comerciales pueden ser muy exigentes con los recursos internos. Por ejemplo, cuando negocian el cierre de acuerdos, los comerciales a menudo solicitan a los directivos que asistan a las reuniones para dar a los posibles clientes la confianza de que cuentan con todo el apoyo de la empresa. Y, por supuesto, cuando programan una reunión con un cliente, la solicitud de asistencia de directivos siempre es urgente. Estos últimos comprenden la importancia de estas reuniones, por lo que aceptan todas las invitaciones que pueden. No es raro que un directivo participe en varias reuniones de ventas cada semana.

Los comerciales encarnan los casos más extremos de trabajo a distancia e híbrido. Muchos usuarios remotos trabajan principalmente desde un lugar, su casa. Necesitan ser plenamente productivos en todas partes, desde las oficinas remotas a las sedes de los clientes. Donde sea. Como la mayoría de los trabajadores remotos e híbridos, los comerciales necesitan un acceso rápido y sencillo a las herramientas esenciales. Pero también tienen que trabajar con información confidencial, como datos de clientes, información de identificación personal, condiciones contractuales y recursos corporativos confidenciales.

Se desplazan con más frecuencia que otros usuarios remotos, y acceden a datos valiosos utilizando varios dispositivos y diversas conexiones de red (posiblemente vulnerables). En consecuencia, suelen estar más expuestos a los ciberataques. El equipo de seguridad tiene que permitir que el equipo de ventas acceda a los recursos y a la información con agilidad, reduciendo al mismo tiempo el riesgo de una amplia gama de amenazas.

¿Cómo puedes equilibrar las necesidades potencialmente conflictivas de los equipos de ventas y de seguridad? En primer lugar, tienes que entender lo que los comerciales necesitan realmente del equipo de informática: qué datos, aplicaciones y otros recursos, y desde qué lugares. Esa información te ayudará a identificar los tipos de ciberamenazas a los que se enfrentan los equipos de ventas, a descubrir las limitaciones de las soluciones de seguridad existentes, a calcular los riesgos y a establecer los controles de seguridad adecuados. Para dar soporte a los comerciales sin poner en peligro la red corporativa y los datos de los clientes, muchas organizaciones tendrán que aplicar un nuevo enfoque de la seguridad.

Dar soporte a los equipos de venta no es un trabajo fácil. Pero si lo consigues, podrás crear un modelo eficaz para ayudar al resto de tu organización.

¿Qué necesitan los equipos de ventas de los equipos de informática?

Los comerciales necesitan acceso. Concretamente, necesitan acceder a información confidencial sobre los clientes, que puede incluir no solo información de contacto, sino también organigramas y detalles sobre cómo han implementado los clientes determinadas soluciones tecnológicas.

Los comerciales pueden necesitar acceder a esa información confidencial desde numeras fuentes. Por ejemplo, podrían utilizar herramientas de gestión de relaciones con los clientes (CRM) y de prospección para identificar y buscar clientes potenciales. Además, podrían utilizar el sistema de soporte a clientes de su empresa para recopilar información sobre clientes existentes.

Mientras tanto, necesitan acceder a información sensible relativa a su propia empresa. Por ejemplo, muchos clientes de Cloudflare tienen que cumplir estrictas normativas gubernamentales. Nuestro equipo de ventas tiene que dar garantías de que cumplimos unas normas de seguridad específicas. Además de hacer hincapié en nuestras numerosas certificaciones, es posible que los comerciales necesiten compartir información sobre nuestras prácticas internas de seguridad y privacidad. Se trata de información que otros usuarios remotos no suelen necesitar.

Al mismo tiempo, necesitan acceder a un amplio abanico de herramientas de comunicación y productividad. Los equipos de ventas necesitan acceder a estos recursos y herramientas desde cualquier lugar, utilizando diversos métodos de conectividad. Al igual que otros usuarios remotos e híbridos, los comerciales pueden trabajar parte del tiempo desde casa, utilizando su conexión a Internet doméstica para conectarse a la red corporativa. Sin embargo, también es frecuente que trabajen mientras se desplazan a las instalaciones de los clientes, y pueden utilizar una red de telefonía móvil o una red wifi pública para conectarse desde un aeropuerto, coche u hotel.

Estén donde estén, esperan acceso rápido y eficaz a las aplicaciones y a los datos. Si un comercial dispone de cinco minutos antes de desplazarse a la sede del siguiente cliente para enviar una presentación o añadir información en un sistema CRM, no quiere tener que enfrentarse a problemas de conectividad. Cuando están haciendo una presentación o una demostración ante un cliente, no pueden dedicar tiempo extra a los numerosos procesos de autenticación. Cualquier problema de acceso en una reunión con un cliente podría afectar a la oportunidad de venta.

La capacidad de responder a esta expectativa de acceso desde cualquier lugar a información confidencial plantea desafíos a los equipos de informática y de seguridad, porque estos usuarios remotos y móviles son vulnerable a numerosas amenazas de ciberseguridad.

¿A qué amenaza se enfrentan los equipos de venta?

Los comerciales se encuentran con toda la gama de amenazas de seguridad que experimentan los típicos trabajadores remotos o híbridos, aunque varias amenazas se agravan debido al componente de movilidad. Como los comerciales acceden a información muy sensible, esas amenazas pueden poner en peligro a toda tu empresa. Las cinco amenazas más comunes dimanan de la forma y el lugar de trabajo de los comerciales:

1. Acceso a la nube y phishing: los ciberatacantes saben que hoy hay más usuarios móviles y remotos que hace cinco años, no solo comerciales, sino también empleados de otras unidades de negocio. Como resultado, los atacantes se dirigen cada vez más a las tecnologías que estos usuarios utilizan para acceder a los recursos desde ubicaciones remotas, incluidas las aplicaciones basadas en la nube y las redes privadas virtuales (VPN). La estrategia suele incluir el phishing. Si los atacantes consiguen engañar a los empleados para que introduzcan sus credenciales en un sitio web falso, pueden utilizarlas para iniciar sesión en aplicaciones en la nube o en la VPN, accediendo así a la red corporativa.

2. Interceptación del tráfico de Internet: cuando los comerciales utilizan redes wifi públicas no seguras, los ciberdelincuentes podrían intentar interceptar el tráfico de Internet. Si lo consiguen, el atacante podría tener acceso a todo lo que esos comerciales envíen a través de Internet, como correos electrónicos con datos confidenciales o, lo que es aún más problemático, sus credenciales de acceso. Si la empresa no utiliza la autenticación multifactor (MFA), esas credenciales podrían facilitar el acceso a los sistemas corporativos. Los equipos de seguridad deben habilitar una alternativa segura a la red wifi pública y concienciar sobre el riesgo, o de lo contrario la comodidad de este tipo de redes dejará expuesta a la organización.

3. Shadow IT: los usuarios pueden darse de alta en nuevos recursos en la nube sin comunicárselo a los equipos de informática y de seguridad. Por ejemplo, un ingeniero de ventas podría poner en marcha un nuevo entorno de demostración en la nube sin proteger adecuadamente ese entorno, exponiendo la IP de la dirección corporativa. O bien, un vendedor puede intentar escribir un correo electrónico atractivo con información sobre el cliente o la dirección IP de la empresa en una herramienta de IA generativa, sin darse cuenta de que la herramienta no garantiza la privacidad.

4. Robo de dispositivos: según un informe reciente, los dispositivos perdidos o robados representan el 17 % de todas las fugas de datos, y los comerciales móviles tienen más probabilidades que otros empleados de sufrir el robo físico o la pérdida de un dispositivo. Si por error dejas el portátil en el coche mientras paras para comer, puede que ese portátil no esté allí cuando vuelvas. A menos que tu entorno de trabajo digital esté bien protegido, el ladrón podría acceder a una gran cantidad de datos confidenciales.

5. Pérdida de datos: cuando los comerciales dejan una empresa, pueden intentar llevarse consigo la información de los clientes. Podrían intentar ampliar su Rolodex personal, y ayudar a su futura empresa, copiando información de contacto de clientes, contratos u otros datos, aunque esté estrictamente prohibido por la empresa para la que trabajaban. Un comercial podría incluso obtener información sobre qué herramientas de software utilizan los clientes. En especial, en el sector de la ciberseguridad, las empresas deben evitar que los empleados se lleven esa información utilizando controles adecuados de prevención de pérdida de datos.

Limitaciones de las tecnologías de seguridad heredadas

En el pasado reciente, los trabajadores remotos y móviles solían tener que utilizar una VPN para conectarse a la red corporativa. Sin embargo, la experiencia para muchos usuarios era terrible. El rendimiento de la red era lento, y los usuarios móviles tenían que volver a conectarse cada vez que se trasladaban a nuevas ubicaciones. La experiencia empeoraba al utilizar aplicaciones de videoconferencia, que exigen un gran ancho de banda y un rendimiento de la red ininterrumpido. La rápida adopción de las videoconferencias en los últimos años ha presionado a los equipos de informática y de seguridad para que encuentren una alternativa a las VPN que proteja el tráfico de red.

Aun así, algunas empresas redoblaron la apuesta por las VPN a medida que aumentaba su personal remoto. El mayor uso de herramientas de chat y colaboración por parte de los comerciales obligaba a los departamentos de informática y de seguridad a encontrar la forma de proteger los documentos y otros datos que se compartían a través de esas herramientas. Algunas instituciones de servicios financieros, por ejemplo, exigieron VPN siempre activas para sus equipos de ventas. Pero, de nuevo, la experiencia de conectarse a una VPN siempre activa mientras se viaja puede ser muy frustrante para los usuarios.

Al mismo tiempo, era, y es, difícil para las empresas escalar sus soluciones de VPN. Durante la pandemia, el número de trabajadores remotos de muchas empresas se disparó de manera repentina. Todos usaban una VPN, y los sistemas se bloqueaban. Las empresas necesitan una solución que pueda escalar para dar soporte a una plantilla numerosa, y potencialmente en aumento, de usuarios remotos y móviles.

Cómo superar las limitaciones anteriores con un enfoque moderno de la seguridad

Existe un argumento empresarial sólido a favor de un enfoque Zero Trust para proteger a los comerciales y otros trabajadores a distancia. Zero Trust puede simplificar el acceso de los usuarios al tiempo que proporciona una seguridad sólida que resuelve muchos de los puntos débiles de las VPN, incluidos los problemas de rendimiento y escalabilidad.

Pero, por supuesto, no todas las soluciones de Zero Trust son iguales. Algunas organizaciones han aprendido esa lección por las malas. Podrían haber seleccionado un proveedor con solo 20 o 25 puntos de conexión en todo el mundo. Así que sus comerciales y otros usuarios remotos seguían teniendo problemas de velocidad y rendimiento. Conforme los usuarios trabajan desde ubicaciones más remotas, las organizaciones necesitan una solución que permita a todos ellos conectarse a ubicaciones de red cercanas, estén donde estén los usuarios en todo el mundo.

La mayoría de las organizaciones se beneficiarán de implementar un enfoque Zero Trust como parte de una plataforma integral SASE (perímetro de servicio de acceso seguro). Por ejemplo, las soluciones de puerta de enlace web segura, aislamiento de navegador y seguridad del correo electrónico en la nube pueden hacer frente a las amenazas de phishing que pueden tener un efecto multiplicador hasta convertirse en fugas importantes. Las herramientas de agente de seguridad de acceso a la nube (CASB) pueden proporcionar un acceso seguro a las aplicaciones SaaS. Además, las funciones de prevención de pérdida de datos pueden evitar la pérdida de información confidencial a través del correo electrónico o la eliminación intencionada de datos por parte de los comerciales cuando dejen la empresa.

En las oficinas de ventas de pequeñas sucursales, también he visto una transición de la tecnología de conmutación de etiquetas multiprotocolo (MPLS) heredada, que se creó inicialmente para acelerar las conexiones de red. La tecnología MPLS es cara, su configuración requiere mucho tiempo, carece de capacidades de seguridad y no puede proporcionar conexión directa a los servicios en la nube. Las organizaciones están contemplando ahora soluciones WAN de nueva generación para sustituir a las redes MPLS. La solución WAN idónea utilizará una red basada en la nube para simplificar la implementación y reducir los costes, al tiempo que ofrecerá funcionalidad integrada en Zero Trust.

Encuentra el equilibrio adecuado, y crea un proyecto

Los equipos de ventas siempre serán remotos y móviles. Dotarles de los medios necesarios es fundamental para la mayoría de las empresas, porque las ventas impulsan los ingresos. Pero hacerlo, seguirá siendo un desafío si los equipos de informática y de seguridad confían en las VPN y otras herramientas de seguridad heredadas.

Afortunadamente, hay una forma de equilibrar las necesidades de los equipos de ventas y de seguridad. El cambio a un enfoque Zero Trust con una plataforma moderna puede proporcionar a los comerciales acceso rápido, sencillo y eficaz a los recursos clave, protegiendo al mismo tiempo las redes corporativas y la información confidencial de los clientes. Los equipos de informática y de seguridad pueden permitir a los comerciales trabajar desde cualquier lugar manteniendo el mismo nivel de control que tienen con los empleados en las oficinas corporativas. Una vez que ese modelo esté en marcha para los comerciales, los equipos de informática y de seguridad dispondrán de un proyecto para dar soporte a un número creciente de trabajadores remotos y crear una organización mucho más flexible y ágil.

Este artículo forma parte de un conjunto de publicaciones sobre las últimas tendencias y temas que afectan a los responsables de la toma de decisiones sobre tecnología en la actualidad.

Más información sobre este tema

Para saber más sobre cómo evolucionar hacia una arquitectura SASE lee el libro electrónico "Refuerza la seguridad donde quiera que hagas negocios".

CONCLUSIONES CLAVE

Después de leer este artículo podrás entender:

• Las cinco amenazas más comunes dimanan de la forma y el lugar de trabajo de los comerciales:

• Cómo permitir el acceso en cualquier lugar de forma eficaz y segura

• Cómo pueden beneficiarse las organizaciones de la agilidad de Zero Trust

Recursos relacionados:

• Cómo reforzar la seguridad dondequiera que hagas negocios

• Cómo evolucionar hacia una arquitectura SASE

• La importancia de la seguridad Zero Trust para las empresas

• Protección para empresas distribuidas a largo plazo