Tabla de contenido:
- 1 Sí, es tu problema
- 2 Toma una visión holística
- 3 Educación y autenticación
- 4 Gamifícalo
- 5 Tener en cuenta el comportamiento moderno
Video: Notificaciones de la SUNAFIL a través de Casilla Electrónica - GAMA Consulting (Noviembre 2024)
Como profesional de TI, supervisar la integridad de las contraseñas, el control de acceso y la administración de identidades puede ser difícil, ya sea que trabaje en una pequeña empresa o en una gran empresa. Los empleados siempre son un riesgo de seguridad por una razón u otra, ya sea que usen contraseñas débiles, hagan clic en enlaces cuestionables o accedan a aplicaciones externas para obtener datos de trabajo porque es más fácil. Como prueba, no busque más allá de la lista anual de contraseñas peores de SplashData para ver cuántas credenciales de inicio de sesión filtradas siguen siendo "contraseña" y "123456".
Durante una reciente cumbre de la Alianza Nacional de Seguridad Cibernética (NCSA) en la ciudad de Nueva York, PCMag se encontró con Matt Kaplan, Gerente General de LastPass, una compañía que ofrece soluciones de seguridad y administración de contraseñas para consumidores, pequeñas empresas y empresas.
LastPass lanzó recientemente un informe junto con la agencia de investigación de mercado Ovum sobre "Cerrar la brecha de seguridad de la contraseña". El informe encuestó a 355 ejecutivos de TI y 550 empleados corporativos. Entre los hallazgos se encuentran que el 61 por ciento de los ejecutivos de TI confían exclusivamente en la educación de los empleados para forjar contraseñas seguras. El informe también encontró que cuatro de cada 10 empresas aún dependen de procesos completamente manuales para administrar las contraseñas de los usuarios para las aplicaciones en la nube. Kaplan dijo que el mayor problema para las empresas es tener un enfoque de seguridad ineficaz sobre cómo trabajan los empleados hoy en día.
"Los empleados están haciendo lo que siempre han hecho, es decir, abordar sus propias necesidades de productividad y conveniencia para hacer su trabajo de manera más efectiva. No están siendo mal intencionados o maliciosos; solo están tratando de trabajar de manera efectiva", dijo Kaplan
"Entonces, lo que los empleados terminan haciendo es encontrar el camino de menor resistencia. Usan Wi-Fi público cuando no deberían. Usan Dropbox, Google Drive y otras soluciones de sincronización e intercambio de archivos que la empresa no autoriza porque es más fácil".. Traen otras aplicaciones a la organización porque las hace más productivas. En general, lo que faltan los ejecutivos de TI es el enfoque en el factor humano ".
Kaplan dijo que las empresas deben abordar la administración de contraseñas de mala calidad en algunos frentes diferentes. La carga recae en TI para ajustar sus expectativas y estrategia. LastPass cree que puede cambiar los hábitos de los empleados no solo educándolos sobre la seguridad de las contraseñas, sino dándoles tecnología como administradores de contraseñas (e incluso motivadores como la gamificación) para redefinir cómo las empresas y los empleados ven las contraseñas.
1 Sí, es tu problema
Una de las razones por las que los profesionales de TI a menudo no pueden aplicar estándares de contraseña más fuertes en una empresa es la percepción de que está completamente fuera de su control. Kaplan dijo que esa excusa no es lo suficientemente buena en 2017.
"Lo que descubrimos a través de nuestra investigación es que casi el 80 por ciento de los ejecutivos de TI no tienen control total sobre las contraseñas en sus organizaciones", dijo Kaplan. "La mayoría de ellos reconoce que la falta de control es un riesgo grave. Entonces, ¿por qué es eso? Muchos de ellos creen que no se puede controlar lo que no se administra. Las contraseñas de los empleados dependen de los empleados y no hay visibilidad".
2 Toma una visión holística
Las aplicaciones y cuentas de trabajo están lejos de ser los únicos puntos finales de seguridad vulnerables que deben administrarse para evitar un compromiso en la red de su empresa. Los gerentes de TI en una pequeña empresa deben mirar más allá del inicio de sesión de trabajo de un empleado y pensar en el panorama general al proporcionar herramientas y capacitación para mejorar las prácticas de seguridad y seguridad de contraseñas.
"Los atacantes utilizan la ingeniería social para ingresar a las cuentas corporativas. Entonces, lo que es realmente importante es que las empresas adopten una visión holística de un empleado y analicen tanto el uso de contraseñas personales como el uso comercial. Debe dirigirse a ambas partes", dijo Kaplan. "Durante demasiado tiempo, los ejecutivos de TI han dicho: 'Solo abordaremos las contraseñas relacionadas con los negocios de la compañía'. Eso ya no es efectivo. Mire la reciente violación de Yahoo donde descubrieron recientemente que se robaron tres mil millones de contraseñas. Esos son puntos claros de entrada para los atacantes en un negocio ".
3 Educación y autenticación
Según el Informe de investigaciones de violación de datos de 2017 de Verizon, más del 80 por ciento de las infracciones son causadas por contraseñas débiles, comprometidas o reutilizadas. Kaplan dijo que si su empresa brinda a los empleados las herramientas y la capacitación sobre cómo crear y administrar contraseñas de manera segura en todas partes, entonces puede cerrar una gran área de la superficie de amenaza de una empresa.
"Hay un par de cosas que los departamentos de TI deben hacer", dijo Kaplan. "Una es educar a los empleados sobre cómo tener contraseñas seguras, largas y únicas en cada sitio web. Utilice un administrador de contraseñas porque no puede recordar todas esas contraseñas únicas en cada sitio. Utilice la autenticación de múltiples factores para asegurarse de que usted es quién eres, y controlar el uso de la contraseña ".
4 Gamifícalo
LastPass permite a las empresas ver los puntajes de contraseña de diferentes empleados. Kaplan dijo que la gamificación podría ser una forma para que las empresas consideren el elemento humano. La gamificación es una forma de dar a los usuarios una zanahoria en lugar de un palo.
"Tal vez gamifique sus políticas de contraseña. Por lo tanto, un empleado con el puntaje de contraseña más alto podría obtener puntos o un premio o algo", dijo Kaplan. "Realmente está tomando una táctica diferente en comparación con el enfoque de bloqueo 'no puede acceder a nuestra red' que tradicionalmente se ha utilizado para garantizar la seguridad. Eso ya no se puede hacer porque todo está abierto. Tenemos que asumir que los atacantes están en el red en algún lugar, al acecho ".
5 Tener en cuenta el comportamiento moderno
El informe también encontró que el 76 por ciento de los empleados tenían problemas regulares con el uso de contraseñas. Y descubrió que casi el 70 por ciento dijo que usaría un administrador de contraseñas si se les proporcionara. Kaplan dijo que las empresas deben reconocer la forma en que los empleados trabajan hoy y adaptar las políticas de TI y la administración de contraseñas al comportamiento moderno de los usuarios.
"Las personas quieren trabajar desde dispositivos móviles y quieren trabajar desde cualquier lugar. Quieren la libertad de trabajar desde una casa de vacaciones o el juego de fútbol de sus hijos, y TI debe respetar eso. La línea entre el trabajo y el hogar se desdibuja, y los ejecutivos de TI Necesito tener eso en cuenta ", dijo Kaplan. "El apetito está ahí. No hay diferencia si estás en una startup de 10 personas o en una pequeña empresa o en una compañía de 10, 000 personas; vemos que la solución funciona con la misma eficacia".
