[11/05/2023] No es ningún secreto que los humanos son la mayor vulnerabilidad de cualquier red corporativa. Ya sea por la incapacidad de gestionar adecuadamente la complejidad de las contraseñas en múltiples sistemas, los malos hábitos de las redes sociales, o incluso la falta de concientización con cosas como los enlaces de correo electrónico, las compras en línea, o el uso de aplicaciones y software.
[Reciba lo último de CIO Perú suscribiéndose a nuestro newsletter semanal]
Un problema importante para las empresas, particularmente en un mundo post-COVID en el que tantas personas trabajan de forma remota, es el hecho de que estos desafíos de seguridad que enfrentan los empleados se extienden muy fácilmente a sus dispositivos personales, mientras que su visibilidad y control como TI corporativa no lo hacen. Esta debilidad potencial tiene precedentes, ya que un reciente ataque de LastPass se atribuyó a la computadora personal de un ingeniero de desarrollo. El truco, por supuesto, es encontrar una manera de ayudar a los empleados a protegerse a sí mismos como un medio para proteger mejor los recursos corporativos, manteniendo un presupuesto y evitando invasiones de la privacidad.
Una forma de hacerlo es fomentar el uso de herramientas de seguridad personal por parte de los empleados, como las que se enumeran a continuación. Las organizaciones podrían incluso pagar por ellas u ofrecer incentivos para que los empleados las compren por su cuenta.
Capacitación en ciberseguridad
Denominar a la capacitación una herramienta puede ser una exageración, pero escuche lo que tengo que decir. Muchas empresas ya cuentan con algún tipo de capacitación en seguridad cibernética, pero conseguir que los empleados se den cuenta del riesgo que implica su vida personal y sus finanzas es una tarea difícil. Considere la recompensa: hacer que los empleados inviertan en proteger sus propias vidas digitales da como resultado que los intereses corporativos estén protegidos como un beneficio secundario significativo.
Algunos proveedores ofrecen capacitación en ciberseguridad a diferentes rangos de precios y con diferentes áreas de enfoque. Un área importante de interés de sus herramientas de capacitación debería ser ayudar a vender el valor de los hábitos digitales adecuados para el bienestar personal de un empleado y hacer que sus empleados se comprometan a protegerse en línea.
Aumentar la concientización de los empleados sobre su postura de seguridad personal es fundamental para cualquier herramienta o servicio que pueda implementar, por lo que la capacitación periódica es increíblemente importante para proteger los intereses corporativos.
Billeteras digitales
Aunque tradicionalmente no se consideran herramientas de seguridad, las billeteras digitales pueden ser útiles desde el punto de vista de la seguridad por un par de razones. Por un lado, cuanto menos una persona abra y cierra su billetera física, menos oportunidad tendrá de perder una tarjeta o una identificación (como una licencia de conducir o una identificación corporativa) que luego se convierte en la base de una identidad comprometida. En segundo lugar, las billeteras digitales se pueden usar en línea en lugar de una tarjeta de crédito, o como una forma de establecer un perfil sin crear una cuenta. Algunos incluso facilitan la creación de números de tarjetas virtuales, que se pueden utilizar en sitios web en los que no confía completamente como medida de seguridad para que las tarjetas de crédito físicas y sus números asociados permanezcan seguros. Esto ayuda a minimizar la huella digital de un individuo y restringe esa huella a los servicios que mantienen altos niveles de seguridad. En muchos casos, es probable que los empleados ya tengan billeteras digitales disponibles como parte del sistema operativo de su smartphone (Apple Pay o Google Wallet). Solo necesitan ser capacitados sobre el valor que aportan y cómo configurarlas.
Monitoreo de crédito/identidad digital
La mayoría de las personas están familiarizadas con el monitoreo de crédito, que realiza un seguimiento del historial crediticio para detectar cosas como nuevas tarjetas de crédito o préstamos que podrían haber sido creados por delincuentes. El monitoreo de crédito proporciona un sistema de alerta temprana para una identidad comprometida, lo que a su vez es potencialmente fundamental para la seguridad tanto personal como corporativa. Una identidad comprometida puede hacer que los usuarios maliciosos tengan suficiente información sobre un empleado para comprometer aún más las cuentas de correo electrónico o los teléfonos móviles del usuario, y luego aprovecharlos para acceder a recursos más críticos como las cuentas corporativas.
El monitoreo de la identidad digital es similar, pero se enfoca en tipos específicos de información, algunos datos confidenciales (números de seguridad social, números de cuenta bancaria y de ruta o números de tarjetas de crédito) y otros un poco más públicos, como direcciones de correo electrónico y números de teléfono. Los servicios de monitoreo rastrearán foros de hackers y sitios de la dark web para identificar fugas de datos, y tomar precauciones para evitar que estos datos confidenciales se usen de manera maliciosa. El objetivo de monitorear la identidad digital es que si alguna información de la cuenta (detalles financieros o un nombre de usuario y contraseña) se ve comprometida y se filtra en línea, se le notificará y tendrá la oportunidad de tomar medidas correctivas, como cambiar una contraseña o reemplazar una tarjeta de crédito.
Gestores de contraseñas
Las contraseñas han sido durante mucho tiempo las claves del reino corporativo y, si bien las empresas están tomando medidas para eliminar los riesgos relacionados con la autenticación basada en contraseñas, estamos muy lejos de librarnos de ellas. La situación de los consumidores es aún peor. Pocos servicios para el consumidor tienen opciones de autenticación sin contraseña y, en general, eso se limita a los servicios ofrecidos por gigantes de la industria como Microsoft y Google.
Lo mejor es hacer todo lo que esté a su alcance para fomentar la gestión adecuada de contraseñas: contraseñas únicas y complejas (no solo caracteres especiales, sino con la longitud suficiente para lograr la entropía suficiente) para cada servicio en línea. Esperar que sus empleados sean capaces de administrar esta tarea por sí mismos es imposible, lo que nos lleva a la necesidad de un sistema de gestión de contraseñas.
Un buen gestor de contraseñas fomentará los hábitos adecuados en cuanto al uso de contraseñas, advertirá a los empleados cuando se use la misma contraseña en varias cuentas, e incluso admitirá contraseñas seguras generadas a partir de caracteres aleatorios. Muchas veces los servicios de gestión de contraseñas también ayudan a monitorear la identidad digital, vigilando las credenciales de cuenta comprometidas disponibles en la web oscura, o le avisan cuando los servicios que utiliza han sido vulnerados (solicitando un cambio de contraseña).
Tokens de dos factores
Idealmente, todos deberían utilizar la autenticación de dos factores (2FA) para las cargas de trabajo críticas, pero como mínimo, los empleados deberían utilizar un factor adicional para cosas como el correo electrónico (que es, en sí mismo, un factor de autenticación de facto) y las cuentas financieras. Hay sistemas 2FA como contraseñas de un solo uso basadas en el tiempo (TOTP) con las que los empleados pueden simplemente usar un smartphone, pero hay valor en los tokens de hardware como Yubico Yubikey, que funciona con una gran variedad de aplicaciones y servicios (tanto basados en web como locales). También se ha descubierto que los tokens de hardware brindan una mayor protección contra ataques dirigidos que incluso los autenticadores basados en aplicaciones, según un estudio de Google que compara el éxito de diferentes tipos de desafíos 2FA contra diferentes categorías de ataques.
2FA es otra área en la que los empleados deben estar bien capacitados, ya que no todos los factores son iguales. Los SMS y el correo electrónico como segundos factores deben evitarse en favor de métodos más fuertes como TOTP o tokens de hardware. Los SMS y el correo se ven comprometidos con demasiada facilidad con los ataques modernos como para confiar en ellos como factor de autenticación.
Software antimalware
El software antimalware ayuda a proteger los dispositivos de los empleados de la mayoría de las categorías y variantes de malware mediante técnicas que van desde la coincidencia de firmas hasta la detección basada en IA. Ha quedado claro en las últimas décadas que el antimalware no es la solución definitiva para la seguridad de los dispositivos, pero sin duda es un componente clave. Los ataques basados en dispositivos siguen siendo una forma popular de robar credenciales u otros datos confidenciales de los usuarios, independientemente del tipo de dispositivo o sistema operativo. Lo bueno del antimalware es que debería ser muy fácil convencer a los usuarios de que es algo que deberían tener en sus dispositivos considerando el largo historial de ataques basados en dispositivos.
Servicios VPN
Actualmente, las VPN son bastante omnipresentes en las redes corporativas, en gran parte porque son relativamente fáciles de implementar, proporcionan una medida de privacidad en redes que no son confiables, y pueden permitir a los usuarios acceder a los recursos corporativos como si estuvieran sentados en la oficina corporativa. Muchas empresas tienen preocupaciones legítimas acerca de permitir que los dispositivos propiedad de los empleados se conecten a la red corporativa, pero sigue habiendo beneficios al simplemente aprovechar una VPN para proporcionar una conexión privada a Internet cuando sus empleados usan redes Wi-Fi públicas. Si el uso de una conexión VPN corporativa no pasa la prueba de detección, existen varios servicios VPN confiables centrados en el consumidor que ofrecen beneficios de privacidad similares para sus empleados sin consumir recursos corporativos en términos de soporte, hardware o ancho de banda.
Soluciones de copia de seguridad
Con la amenaza en la que se ha convertido el ransomware, es esencial disponer de una forma de restaurar los datos críticos. Proporcionar a los empleados una solución de copia de seguridad para sus dispositivos personales tiene un valor evidente, si es que están realizando funciones empresariales en esos dispositivos. Incluso si la política corporativa prohíbe que los empleados usen dispositivos personales para uso profesional, hay argumentos a favor de la estabilidad de la vida personal de un empleado y el impacto que la pérdida de datos críticos puede tener en la familia de un empleado.
Una posible alternativa económica es una solución de almacenamiento en la nube que sea resistente a cryptolocker, lo que significa que puede detectar un ataque de ransomware y proteger los archivos de los empleados para que no se cifren. Si está contemplando esta ruta, asegúrese de considerar la funcionalidad que perdería: la copia de seguridad automática de ciertos archivos o carpetas en un horario, y las herramientas de monitoreo o generación de informes que a menudo están disponibles en una solución de copia de seguridad completa.
Pantallas de privacidad
No todos los problemas requieren una solución de alta tecnología. Trabajar de forma remota hace que más personas usen sus dispositivos en lugares públicos y usen cámaras web personales para reuniones de trabajo. Ofrecer soluciones simples como pantallas de privacidad para laptops o cubiertas físicas para cámaras web puede proteger tanto la privacidad de los empleados como los recursos corporativos. Además, estas protecciones de privacidad física tienen un precio muy asequible, lo que las convierte en una ventaja fácil para sus empleados.
Computadoras y dispositivos móviles
Antes de dejar de leer, considere el hecho de que la seguridad corporativa siempre requiere un acto de equilibrio entre invertir en seguridad por adelantado o arriesgar los costos resultantes de una violación de datos más adelante. Esto, junto con las realidades presupuestarias inherentes a las empresas grandes y pequeñas, generalmente se manifiesta cuando las grandes organizaciones priorizan las inversiones en infraestructura de seguridad a un ritmo mucho mayor. Incluso las pequeñas empresas deben evaluar si los riesgos relacionados con la falta de administración y supervisión de los usuarios justifican un gasto adicional, incluso para un conjunto limitado de usuarios, como los ejecutivos.
La compra de dispositivos o hardware de red para que sus empleados los usen mientras están en casa proporciona una mayor seguridad al ampliar el alcance (y el control) de la gestión de TI corporativa, lo que le permite estar atento a las amenazas potenciales y cortarlas de raíz.
Incluso si estos dispositivos no se gestionan como parte de la empresa, al menos puede asegurarse de que sus empleados utilicen software y hardware actualizados compatibles con medidas de seguridad modernas como TPM 2.0 (Trusted Platform Module 2.0), autenticación biométrica y cifrado de disco completo.
Como alternativa, las empresas podrían optar por un estipendio tecnológico para alentar a los empleados a realizar periódicamente actualizaciones técnicas de sus dispositivos móviles y computadoras personales. Esto no resuelve el problema de los dispositivos no gestionados, pero ayudaría a garantizar la eliminación periódica de los dispositivos heredados con sistemas operativos inseguros.
Hardware de red
Las laptops y los dispositivos móviles son inversiones comunes para el uso doméstico de los empleados, pero el hardware de red (puntos de acceso Wi-Fi, routers y firewalls u otros dispositivos de seguridad de red) es otra área por considerar, ya que estos dispositivos son cada vez más el objetivo de entidades maliciosas y, si se ven comprometidos, ponen en riesgo todos los dispositivos en la red.
El hardware de red también se está volviendo cada vez más fácil de usar gracias a las aplicaciones móviles y la gestión en la nube, lo que hace que sea infinitamente más fácil de aprovechar como herramienta de seguridad. Con algunos proveedores, esto toma la forma de protección antivirus o antispyware, mientras que algunos incluso pueden enviar alertas cuando un dispositivo en su red intenta acceder a una URL maliciosa o muestra actividad sospechosa.
Basado en el artículo de Tim Ferrill (CSO) y editado por CIO Perú