[02/08/2021] No es ningún secreto que los humanos son la mayor vulnerabilidad de cualquier red corporativa. Ya sea por la incapacidad de gestionar adecuadamente la complejidad de las contraseñas en varios sistemas, por los malos hábitos en las redes sociales, o incluso por la falta de concienciación con cosas como los enlaces de correo electrónico, las compras en línea o el uso de aplicaciones y software.
Un problema importante para las empresas, sobre todo en un mundo posterior a COVID con tanta gente trabajando a distancia, es el hecho de que estos retos de seguridad a los que se enfrentan los empleados se extienden muy fácilmente a sus dispositivos personales, mientras que su visibilidad y control como TI corporativo no. El truco, por supuesto, es encontrar una manera de ayudar a los empleados a protegerse a sí mismos como medio para proteger mejor los recursos corporativos, manteniendo el presupuesto y evitando las invasiones de la privacidad.
Una forma de hacerlo es fomentar el uso por parte de los empleados de herramientas de seguridad personal como las que se enumeran a continuación. Las organizaciones pueden incluso pagarlas u ofrecer incentivos para que los empleados las compren por su cuenta.
Formación en ciberseguridad
Llamar a la formación una herramienta puede ser una exageración, pero escúcheme. Muchas empresas ya cuentan con algún tipo de formación en ciberseguridad, pero conseguir que los empleados se den cuenta del riesgo que conlleva su vida personal y sus finanzas es una gran tarea. Considere la recompensa: si los empleados invierten en la protección de su propia vida digital, los intereses de la empresa quedan protegidos como un beneficio secundario importante.
Algunos proveedores ofrecen formación en ciberseguridad a distintos precios y con diferentes áreas de enfoque. Una de las principales áreas de enfoque en sus herramientas de formación debe ayudar a vender el valor de los hábitos digitales adecuados para el bienestar personal de un empleado y conseguir que sus empleados inviertan en protegerse en línea.
Billeteras digitales
Aunque no se consideran tradicionalmente herramientas de seguridad, las billeteras digitales pueden ser útiles desde el punto de vista de la seguridad por un par de razones. En primer lugar, cuanto menos entre y salga una persona de su cartera física, menos posibilidades habrá de que se deje una tarjeta o de que otra tarjeta (como el carné de conducir o la identificación de la empresa) se caiga y se convierta en la base de una identidad comprometida. En segundo lugar, las billeteras digitales pueden utilizarse en línea en lugar de una tarjeta de crédito, o como forma de establecer un perfil sin crear una cuenta. Esto ayuda a minimizar la huella digital de un individuo y restringe esa huella a servicios que mantienen altos niveles de seguridad. En muchos casos, es probable que los empleados ya dispongan de billeteras digitales como parte del sistema operativo de su smartphone (Apple Pay o Google Wallet). Solo necesitan ser educados en el valor y potencialmente en cómo configurarla.
Control de la identidad digital y del crédito
La mayoría de la gente está familiarizada con la monitorización del crédito, que rastrea su historial crediticio para cosas como nuevas tarjetas de crédito o préstamos que potencialmente fueron creados por delincuentes. La monitorización del crédito proporciona un sistema de alerta temprana para una identidad comprometida, lo que a su vez es potencialmente crítico para la seguridad personal y corporativa. Una identidad comprometida puede llevar a que los usuarios maliciosos tengan suficiente información sobre un empleado para que puedan comprometer aún más las cuentas de correo electrónico o los teléfonos móviles del usuario, y luego aprovecharlas para comprometer recursos más críticos como las cuentas corporativas.
La supervisión de la identidad digital es similar, pero se centra en tipos específicos de información, algunos confidenciales (números de la Seguridad Social, números de cuentas bancarias y de ruta, o números de tarjetas de crédito) y otros ligeramente más públicos, como direcciones de correo electrónico y números de teléfono. El objetivo de la monitorización de la identidad digital es que si cualquier información de la cuenta (detalles financieros o un nombre de usuario y contraseña) se ve comprometida y se filtra en línea, se le notificará y tendrá la oportunidad de tomar medidas para remediarlo, como cambiar una contraseña o sustituir una tarjeta de crédito.
Gestores de contraseñas
Las contraseñas han sido durante mucho tiempo las llaves del reino corporativo, y aunque las empresas están tomando medidas para eliminar los riesgos que conlleva la autenticación basada en contraseñas, estamos muy lejos de librarnos de ellas. La situación de los consumidores es aún peor. Pocos servicios de consumo tienen opciones de autenticación sin contraseña, y en general eso se limita a los servicios ofrecidos por gigantes de la industria como Microsoft y Google.
Lo mejor es hacer todo lo posible para fomentar una gestión adecuada de las contraseñas: contraseñas únicas y complejas (no solo con caracteres especiales, sino con la longitud suficiente para conseguir la entropía necesaria) para cada servicio en línea. Esperar que sus empleados sean capaces de gestionar esta tarea por sí mismos es un fracaso, lo que lleva a la necesidad de un sistema de gestión de contraseñas.
Un buen gestor de contraseñas fomentará los buenos hábitos de uso de las mismas, avisará a los empleados cuando se utilice la misma contraseña en varias cuentas, e incluso admitirá contraseñas fuertes generadas a partir de caracteres aleatorios. En muchas ocasiones, los servicios de gestión de contraseñas también ayudarán a supervisar su identidad digital, vigilando las credenciales de cuentas comprometidas que están disponibles en la web oscura, o le avisarán cuando los servicios que utiliza hayan sido vulnerados (lo que le llevará a cambiar la contraseña).
Tokens de dos factores
Lo ideal sería que todo el mundo utilizara la autenticación de dos factores (2FA) para todas las cargas de trabajo críticas, pero como mínimo los empleados deberían utilizar un factor adicional para cosas como el correo electrónico (que es en sí mismo un factor de autenticación de facto) y las cuentas financieras. Existen sistemas de 2FA, como las contraseñas de un solo uso basadas en el tiempo (TOTP), con las que los empleados pueden simplemente aprovechar un teléfono inteligente, pero hay valor en los tokens de hardware como el Yubico Yubikey, que funciona con una gran variedad de aplicaciones y servicios (tanto basados en la web como locales). Según un estudio de Google en el que se compara el éxito de diferentes tipos de retos 2FA contra diferentes categorías de ataques, se ha descubierto que los tokens de hardware proporcionan una mayor protección contra los ataques dirigidos que incluso los autenticadores basados en aplicaciones.
Software antimalware
El software antimalware ayuda a proteger los dispositivos de los empleados de la mayoría de las categorías y variantes de malware, utilizando técnicas que van desde la coincidencia de firmas hasta la detección basada en la inteligencia artificial. A lo largo de las últimas décadas ha quedado claro que el antimalware no es la solución definitiva para la seguridad de los dispositivos, pero sin duda es un componente clave. Los ataques basados en dispositivos siguen siendo una forma popular de robar credenciales u otros datos sensibles del usuario, independientemente del tipo de dispositivo o del sistema operativo. Lo bueno del antimalware es que debería ser trivial convencer a los usuarios de que es algo que deberían tener en sus dispositivos, teniendo en cuenta el largo historial de ataques basados en dispositivos.
Servicios VPN
Las redes privadas virtuales (VPN) son bastante omnipresentes en las redes corporativas hoy en día, en gran medida porque son relativamente fáciles de implementar, proporcionan una medida de privacidad en las redes no confiables, y pueden permitir a los usuarios acceder a los recursos corporativos como si estuvieran sentados en la oficina corporativa. Muchas empresas tienen preocupaciones legítimas acerca de permitir la conectividad de los dispositivos propiedad de los empleados a la red corporativa, pero todavía hay beneficios para simplemente aprovechar una VPN para proporcionar una conexión privada a Internet para cuando sus empleados están utilizando las redes Wi-Fi públicas. Si el uso de una conexión VPN corporativa no pasa la prueba del olfato, varios servicios VPN creíbles enfocados al consumidor ofrecen beneficios de privacidad similares a sus empleados sin ocupar ningún recurso corporativo en términos de soporte, hardware o ancho de banda.
Soluciones de copia de seguridad
Con la amenaza en la que se ha convertido el ransomware, tener una forma de restaurar los datos críticos es esencial. Proporcionar a los empleados una solución de copia de seguridad para sus dispositivos personales tiene un valor obvio si pueden estar realizando funciones empresariales en esos dispositivos. Incluso si la política de la empresa prohíbe a los empleados el uso de dispositivos personales para uso empresarial, hay que tener en cuenta la estabilidad de la vida personal de un empleado y el impacto que la pérdida de datos críticos puede tener en su familia.
Una posible alternativa económica es una solución de almacenamiento en la nube que sea resistente a los criptobloqueos; es decir, que pueda detectar un ataque de ransomware y proteger los archivos de los empleados para que no se cifren. Si está contemplando esta vía, asegúrese de tener en cuenta la funcionalidad que pierde: la realización de copias de seguridad automáticas de determinados archivos o carpetas según un calendario, y las herramientas de supervisión o elaboración de informes que suelen estar disponibles en una solución de copia de seguridad completa.
Pantallas de privacidad
No todos los problemas requieren una solución de alta tecnología. El trabajo a distancia hace que cada vez más personas utilicen sus dispositivos en lugares públicos y empleen cámaras web personales para las reuniones de trabajo. Ofrecer soluciones sencillas como pantallas de privacidad para los portátiles o cubiertas físicas para las cámaras web puede proteger tanto la privacidad de los empleados como los recursos corporativos. Estas protecciones físicas de la privacidad también se encuentran en el extremo inferior del espectro de precios, lo que las convierte en un triunfo fácil para sus empleados.
Computadoras portátiles, teléfonos y hardware de red
Antes de que deje de leer, considere el hecho de que la seguridad corporativa siempre requiere un acto de equilibrio entre invertir en seguridad por adelantado o arriesgarse a los costos resultantes de una violación más tarde. Esto, junto con las realidades presupuestarias inherentes a las empresas grandes y pequeñas, suele manifestarse en que las grandes organizaciones dan prioridad a las inversiones en infraestructura de seguridad en una proporción mucho mayor. Incluso las pequeñas empresas deberían evaluar si los riesgos que conlleva el hecho de que los usuarios no estén gestionados ni supervisados justifican un gasto adicional, incluso para un conjunto limitado de usuarios como los ejecutivos.
La compra de dispositivos o hardware de red para que sus empleados los utilicen mientras están en casa proporciona una mayor seguridad al ampliar el alcance (y el control) de la gestión de TI corporativa, lo que le permite estar atento a posibles amenazas y cortarlas de raíz. Las computadoras portátiles y los dispositivos móviles son inversiones habituales para el uso doméstico de los empleados, pero el hardware de red (puntos de acceso Wi-Fi, enrutadores/firewalls u otros dispositivos de seguridad de red) es otra área a tener en cuenta, ya que estos dispositivos son cada vez más el objetivo de entidades maliciosas y ponen en riesgo todos los dispositivos de la red si se ven comprometidos.
Basado en el artículo de Tim Ferrill (CSO) y editado por CIO Perú