Llegamos a ustedes gracias a:



Columnas de opinión

Información sensible, cero confianza

Por: María Celeste Garrós, directora regional de ventas de Citrix para la región sur de Latinoamérica

[23/12/2020] El trabajar desde casa en esta "nueva normalidad ha significado para las empresas que replanteen sus protocolos de seguridad corporativa ya que la mayoría de los empleados usa sus propios dispositivos para desarrollar su trabajo, que en la mayoría de los casos no están administrados para acceder a datos y aplicaciones de la compañía. Esta situación genera preocupación en el entorno empresarial, donde según el FBI se ha aumentado un 400% las denuncias por ciberataques desde que empezó la pandemia.

Al trabajar de manera remota los colaboradores buscan tener herramientas laborales a mano que les permitan ser productivos, y si no tienen acceso a los programas que tenían en la oficina, simplemente descargan apps o acceden a enlaces no seguros, lo que termina infectando muchas veces el equipo o son ventanas de malware. Un reciente estudio a nivel regional solicitado por Citrix a Digital Shock indica que un 73% de los líderes de TI está preocupado por el uso de tecnología no autorizada por parte de los empleados debido a que si se cometiera una infracción de datos puede tener un costo total cercano a cuatro millones de dólares

Por otro lado, también tenemos que el acceso seguro a los programas empresariales impacta mucho en la experiencia del empleado, ya que, si no pueden acceder de forma segura a las aplicaciones e información que necesita, su productividad se desploma. El llamado es a ir más allá del mero punto de acceso para proteger toda la sesión del usuario, con el objetivo de que sienta confianza en que toda la propiedad intelectual estará bien resguardada. Esto es un gran paso el desarrollo de una cultura corporativa. De hecho, el 64% de los ejecutivos de seguridad apunta a cambiar sus estrategias actuales de VPN (Red Privada Virtual) y un 71% de estos líderes está apostando por la confianza cero como el modelo de reemplazo, según el estudio realizado por Citrix y Pulse a nivel mundial.

¿Qué pueden hacer las organizaciones para apoyar esta cultura corporativa? Lo primero es ya no seguir apostando por soluciones o esquemas caducos que solo dejan brechas en los sistemas de seguridad y permiten ser vulnerados por gente maliciosa.

Los expertos en seguridad proponen un modelo denominado Zero-trust security (Seguridad de confianza cero), que es una propuesta de TI regida por un simple axioma: "No se confíen en nadie.

Desde el plano práctico, esto significa que no puede existir usuario o dispositivo que tenga acceso por default a la red, espacio de trabajo u otros recursos de la empresa. Zero Trust es un marco de TI que se puede utilizar para permitir el acceso seguro a todas las aplicaciones, desde cualquier dispositivo, mediante la evaluación continua de la confianza en cada punto de contacto. Se basa en la conciencia contextual utilizando patrones como la identidad, el tiempo y el dispositivo. Esto refuerza la seguridad, la visibilidad y el control permitiendo, a la vez, que los usuarios tengan la opción de elegir entre dispositivos y aplicaciones sin perder productividad o experiencia.

¿Cómo las empresas pueden implementar este enfoque? Primero deben auditar la red de su organización para tener una idea clara de qué infraestructura y puntos finales están instalados, esto le mostrará a TI lo que su política de seguridad de red debe abordar como primer paso.

El siguiente paso es realizar una evaluación exhaustiva de las amenazas y simular algunos escenarios de qué sucedería si se violaran sus datos confidenciales. ¿Quién podría tener acceso a qué datos? ¿Si penetran el primer nivel de seguridad, sería fácil ingresar a los siguientes niveles? Debe decidir cómo confiar en los usuarios, dispositivos y las aplicaciones como entidades separadas pero relacionadas.

Es importante dar el acceso solo a lo que realmente se necesita y en función del uso. La autenticación multifactor es un buen comienzo, pero también necesita adoptar herramientas de control de acceso contextual para deshabilitar la impresión, copiar y pegar, o hacer capturas de pantallas de ciertos escenarios. También puede hacer que todos los empleados accedan a sus aplicaciones y datos dentro de un espacio de trabajo seguro para brindar una seguridad empresarial más completa.

Como vemos, la seguridad hoy es un aspecto que se trabaja en dos planos, el de la tecnología y el de la cultura. Por ello, el sentido de anticipación es crucial, incluso para contar con prácticas establecidas para volver a estar activo rápidamente, si el dispositivo que el trabajador usa se estropea o pierde. Aquí es importante recordar que crear backups de información locales no es recomendable, pues mucha de esa data es sensible y debe estar siempre protegida de forma corporativa.

La comunicación para mantener estos protocolos es clave y la empresa debe tomar como prioridad el reforzamiento de los mensajes, más ahora en que la flexibilidad de la 'nueva normalidad' se impone y acechan mil peligros sobre ese activo clave para las organizaciones que es la información.