Biometría en el Gran Más Allá


Una huella digital puede ser un buen issue de autenticación para los vivos, pero ¿está preparado para acceder a datos y dispositivos de misión crítica después de la muerte de un empleado?

(Imagen: Philip Steury a través de Adobe Stock)

(Imagen: Philip Steury a través de Adobe Stock)

Cuando un corazón deja de latir inesperadamente, no le importa si el cuerpo a su alrededor sacó la basura esta mañana, se despidió de un cónyuge o se aseguró de organizar el acceso de respaldo a los sistemas y datos si un variable de autenticación biométrica ya no pasa prueba «en vivo».

Visualize, por ejemplo, que el fallecido recientemente es un alto ejecutivo con información crítica de ventas almacenada en archivos, mensajes y un teléfono inteligente. E imagínense si ese ejecutivo había hecho su diligencia debida de seguridad y protegido cada una de esas cuentas y puntos finales con MFA biométrico.

Ahora consider que es su trabajo asegurar la organización. Y el CEO le dice que si bien la desaparición del ejecutivo es una certeza, la supervivencia de la compañía no lo es y para sobrevivir, la organización necesita acceso a esos activos bien protegidos.

Si no planeaste esto, ahora puedes imaginar que tienes un problema.

Como dice Kacey Clark, investigadora de amenazas en Digital Shadows: «La muerte en la period digital es complicada».

Acceso denegado por diseño

A veces, por supuesto, es completamente apropiado que el acceso digital muera con el titular de la cuenta.

«Un sistema diseñado en torno a datos biométricos en un solo usuario sin la capacidad de acceder administrativamente a ese sistema sin los datos biométricos de dicho usuario, ha declarado que la privacidad personal es más importante que la continuidad», dice Adam Mathis, director de seguridad de la información en Pink Canario. Si no existe una opción redundante, dice Mathis, lo más possible es que sea por diseño en lugar de por omisión, y significa que «estás intercambiando disponibilidad por más privacidad».

Sin embargo, cuando se trata de datos empresariales, la mayoría de las organizaciones priorizarán el acceso continuo a esos datos sobre la privacidad de los empleados.

Preparando la biometría para el gran más allá

Es fácil mantenerse al margen y señalar que el gobierno empresarial adecuado debería brindar a los administradores múltiples formas de obtener acceso a los datos corporativos. Esto puede ser más fácil decirlo que hacerlo.

«Idealmente, la información biométrica y 2FA debe ser parte de la identidad de un empleado y debe ser administrada por un sistema de gobierno de identidad empresarial. Este enfoque garantizará que todos los privilegios asignados a un empleado sean conocidos y administrados», dice Arun Kothanath, estratega jefe de seguridad. en Clango

Sin embargo, todavía hay situaciones específicas en las que el sistema de gobernanza de la identidad tendrá que adaptarse cuidadosamente al entorno.

Stephen Banda, gerente senior de soluciones de seguridad de Lookout, vigila los dispositivos más pequeños de la empresa. «Cuando se trata de dispositivos móviles, aquí es donde la preparación es muy útil. Los empleadores que usan la administración de dispositivos móviles deberán tener acceso para restablecer un código de acceso en los dispositivos de propiedad corporativa y recuperar la información que necesitan», dice.

Sin embargo, ese acceso puede ser más complicado cuando la organización no posee el dispositivo. Específicamente, dice, «Para entornos (traiga su propio dispositivo (BYOD)) donde el empleado fallecido usó su propio dispositivo para el trabajo, sin inscribirse en un programa de administración corporativa, las empresas deben asegurarse de administrar las aplicaciones corporativas y tener acceso administrativo a cualquier servicio en la nube al que accedan estos dispositivos relacionados con el trabajo «.

En última instancia, las preguntas detrás de la autenticación y el acceso de dos factores después de la muerte de un empleado pueden tener repercusiones que van más allá de la basic administración de dispositivos.

Mathis compara sistemas protegidos por autenticación biométrica que lata ser anulado a través de la administración de dispositivos, como los de las computadoras MacBook, con sistemas que tienen componentes que no puedo ser anulado Utiliza Slack como ejemplo, con sus mensajes privados cifrados entre usuarios.

La diferencia, dice, significa que «uno de estos sistemas (el Macbook) es apropiado para almacenar datos comerciales de misión crítica y uno (Slack) no lo es».

Desmantelamiento del difunto

Las credenciales de usuario extraviadas pueden crear un riesgo de seguridad. Cuando fallecen los empleados, es obligatorio eliminar sus credenciales de autenticación, incluso los factores de forma biométrica.

«Este es un problema bastante común y bien conocido conocido como desmantelamiento en el espacio de autenticación», dice Roger Grimes, evangelista de defensa impulsado por datos en KnowBe4. Explica: «Independientemente de por qué alguien se separa de una organización, cuando se separan, debe haber procesos manuales o automatizados que deshabiliten inmediatamente la cuenta de usuario asociada».

Los procesos asociados con el desmantelamiento deben seguirse, dice Grimes, ya sea que haya o no datos críticos de la empresa. Cada cuenta que se deja «abierta» después de que un empleado muere (o, en un giro menos dramático de los eventos, abandona la empresa) representa un posible punto de ataque para un criminal.

«Desafortunadamente, el desmantelamiento en basic es probablemente la parte menos seguida del ciclo de vida de autenticación, y la mayoría de las organizaciones terminan con un alto porcentaje de cuentas inactivas», dice Grimes.

Digital Shadows &#39Clark está de acuerdo. «En este momento, incluso algunas compañías importantes no tienen políticas establecidas para coordinar la eliminación de cuentas o detalles de cuentas», dice ella.

Otros expertos también promueven la importancia crítica de tener políticas y procesos para desmantelar la biometría. antes de surge la necesidad.

«Al igual que todas las autenticaciones binarias, como la contraseña, la autenticación basada en el conocimiento y los factores vulnerables de autenticación de dos factores, como los SMS, la biometría puede ser víctima de la toma de control de la cuenta», dice Fausto Oliveira, principal arquitecto de seguridad de Acceptto. «En consecuencia, los departamentos de TI deben aplicar el mismo rigor para la eliminación de datos biométricos que borrar las contraseñas cuando los empleados se van».

Oliveira señala que una política sólida en torno a la identidad y la forma en que se trata cuando un empleado deja una empresa por cualquier motivo crea una situación que puede automatizarse, lo que resulta en un proceso que requiere relativamente poca intervención humana.

Sin la política y el proceso, dice, «deja a la organización en un estado incierto, sin la capacidad de auditar lo que se aplica en qué sistemas, donde no hay una forma correcta de medir el riesgo asociado con las credenciales que pueden haberse quedado atrás en los activos «.

Contenido relacionado:

Una lista de productos y servicios gratuitos compilado para Dim Looking at por analistas de Omdia para ayudar a enfrentar los desafíos de COVID-19.

Curtis Franklin Jr. es editor sénior en Dark Looking at. En este puesto, se centra en la cobertura de productos y tecnología para la publicación. Además, trabaja en programación de audio y movie para Dark Looking at y contribuye a actividades en Interop ITX, Black Hat, INsecurity y … Ver biografía completa

Lectura recomendada:

Más ideas





Enlace a la noticia unique