Los profesionales de ciberseguridad, y los empleados y consumidores a los que sirven, se involucran en prácticas de seguridad riesgosas. Los datos muestran que los problemas de contraseña continúan afectando a los usuarios de todos los niveles de experiencia, la adopción de autenticación de dos factores está retrasada y los dispositivos móviles están presentando nuevos desafíos.
Para el segundo «Informe de comportamiento de seguridad de contraseña y autenticación», realizado por el Instituto Ponemon y comisionado por Yubico, los investigadores encuestaron a 2.507 profesionales de seguridad de TI y 563 usuarios individuales. Además de aprender los hábitos de los profesionales de ciberseguridad, querían ver cómo los hábitos de los profesionales se comparan con los de los empleados y clientes.
«Esperamos que las personas que están en TI y seguridad de TI sean más inteligentes en seguridad», dice Larry Ponemon, cofundador y CEO del Instituto Ponemon. «En su mayor parte, ambos grupos son más similares que diferentes».
Sin embargo, existen algunas discrepancias entre los dos grupos. Cuando se les preguntó sobre el aumento de las preocupaciones de seguridad y privacidad, los profesionales de seguridad señalaron su mayor preocupación por la vigilancia del gobierno (61%), así como por un mayor uso de dispositivos móviles (53%) y dispositivos conectados (41%). Los consumidores dijeron que están más preocupados por sus datos personales, particularmente los registros médicos, compartidos con terceros (57%), seguidos por el uso de dispositivos móviles (46%) y dispositivos conectados (43%).
Los números de comportamiento están más cerca. El 60% de los profesionales dijeron que no usan 2FA para proteger cuentas personales, en comparación con el 64% de los consumidores que no lo hacen. La mitad de los profesionales reutiliza las contraseñas en las cuentas del lugar de trabajo, en comparación con el 39% de los consumidores. Aproximadamente la mitad de ambos grupos, el 51% de los consumidores y el 49% de los profesionales, a veces o con frecuencia comparten contraseñas con sus colegas.
Después de un ataque de adquisición de cuenta, el 76% de los consumidores dijeron que cambiaron la forma en que administraban sus contraseñas o protegían sus cuentas. Los investigadores encontraron que solo el 65% de los profesionales de TI hicieron lo mismo. Es más possible que las personas usen contraseñas más seguras (61%), hagan cambios de contraseña más frecuentes (52%), usen contraseñas únicas en varias cuentas (36%) o comiencen a usar 2FA (35%) después de un ataque cibernético.
La tendencia de los profesionales de la tecnología a reutilizar contraseñas y adoptar malos hábitos de seguridad «parece contradictoria», pero apunta a problemas comerciales más amplios, dice Jerrod Chong, director de soluciones de Yubico. Los profesionales de seguridad de TI prestan servicios a varios equipos en una organización. Pueden luchar por herramientas de seguridad más fuertes, pero si una política de larga knowledge exige contraseñas más fuertes y complejas, se convierte en «una batalla perdida» para que cambien la mentalidad de los líderes empresariales y las partes interesadas.
«No es solo una mentalidad tecnológica», explica Chong. «Se remonta a los sistemas y procesos de una gran organización que hace que sea más difícil hacer una tecnología (cambio) al imponer mandatos específicos sobre las prácticas de seguridad». Las empresas a menudo se adhieren a las políticas creadas hace décadas, continúa, y aquellos que no siguen la política están en incumplimiento. Los profesionales de seguridad de TI a menudo están de acuerdo porque no quieren estar fuera de cumplimiento y no hay soporte para el cambio.
«(El cambio) debe venir desde arriba y desde abajo», agrega Chong. «Estos números están enfocando el problema, que es un problema tecnológico y de personas».
Contraseñas: un hábito difícil de romper
Las formas en que las organizaciones administran y protegen sus contraseñas los ponen en riesgo, los investigadores encontraron. A pesar de las preocupaciones de ambos grupos sobre la protección de las cuentas en el lugar de trabajo, el 59% de los profesionales y los consumidores dijeron que usan la memoria humana para administrar y proteger sus contraseñas. Otro método well-known son las notas adhesivas, utilizadas por el 42% de los profesionales y el 41% de los consumidores, respectivamente. Solo el 36% de los profesionales y el 37% de los consumidores usan una extensión del navegador para autocompletar o recordar contraseñas, y aún menos usan un administrador de contraseñas.
Menos de la mitad (46%) de los encuestados profesionales dijeron que requieren 2FA para obtener acceso a las cuentas corporativas. Más de la mitad (51%) de las personas usan un dispositivo personalized para acceder a elementos relacionados con el trabajo de estos, el 56% no united states 2FA. Ponemon señala que esta tendencia subraya la plan de que la autenticación es más un problema de personas que un problema tecnológico.
«En este caso, básicamente contamos con tecnologías que facilitan buenas prácticas de seguridad que pueden no ser utilizadas por completo», explica. «Las personas pueden no sentirse realmente seguras a menos que tengan contraseñas». La «gran mayoría» de las personas considera que 2FA y las contraseñas son diferentes, agrega Ponemon.
Los profesionales de seguridad de TI informaron que los códigos SMS (41%), los códigos de respaldo (40%) y las aplicaciones de autenticación móvil (37%) son los tres principales métodos 2FA que admiten o planean admitir para los clientes. A pesar de la preocupación por sus datos personales, solo el 49% de los consumidores dijeron que están mejorando la seguridad de la cuenta con una capa de protección más allá de un nombre de usuario y contraseña. Un poco más (56%) solo está dispuesto a adoptar una nueva tecnología de seguridad si es fácil de usar y aumenta significativamente la seguridad.
Dispositivos móviles, más problemas
El uso de dispositivos móviles está aumentando, generando preocupación entre consumidores y profesionales por igual. El cincuenta y cinco por ciento de los profesionales de seguridad de TI informaron que los dispositivos móviles personales están permitidos en el trabajo, y el 45% de los empleados, en promedio, dijeron que usan sus dispositivos personales para el trabajo. Una estadística preocupante encontró que el 62% de las organizaciones no toman las medidas necesarias para proteger la información en los teléfonos inteligentes y, en general, luchan por encontrar una forma basic y efectiva de proteger el acceso a las cuentas corporativas.
«Los dispositivos móviles plantean una encrucijada muy interesante entre cómo pensamos sobre 2FA y cómo pensamos sobre la seguridad, en common», dice Chong. Tanto los profesionales de seguridad (65%) como las personas (53%) creen que la biometría aumentaría la seguridad de sus organizaciones o cuentas. Más de la mitad (56%) de las personas y el 52% de los profesionales de seguridad dijeron lo mismo sobre los tokens de hardware.
Asegurar dispositivos móviles en una organización puede ser muy complejo, en lugar de proteger las computadoras portátiles y de escritorio, porque más personas confían en los dispositivos móviles para comunicarse, agrega Ponemon.
«La mayoría de las personas simplemente no se dan cuenta de que todo el sistema nervioso de una organización se basa en las formas en que las personas se comunican, y los dispositivos móviles se convierten en una parte muy importante de ese proceso», dice.
Contenido relacionado:
Kelly Sheridan es la Editora de own de Dark Looking at, donde se enfoca en noticias y análisis de seguridad cibernética. Ella es una periodista de tecnología de negocios que previamente reportó para InformationWeek, donde cubrió Microsoft, y Insurance plan & Know-how, donde cubrió asuntos financieros … Ver biografía completa
Más tips
