Las empresas están relajando la ciberseguridad durante la pandemia para impulsar la productividad


¿Es una mala strategy? Conozca las dificultades y lo que deben hacer las organizaciones para abordar la seguridad laxa frente a la productividad.

Trabajando desde casa

Imagen: iStock / AnnaStills

Como administrador del sistema, he tratado de primera mano el aumento de los controles de seguridad durante la pandemia de coronavirus. La necesidad de acceso remoto al trabajo ha ido de la mano de la necesidad de garantizar que dicho acceso esté completamente protegido.

VER: Política de COVID-19 en el lugar de trabajo (TechRepublic Quality)

Las medidas con las que he trabajado han incluido proporcionar computadoras portátiles propiedad de la empresa a los usuarios (que son los únicos dispositivos autorizados para conectarse a la VPN), autenticación multifactor (MFA), configuraciones de tiempo de espera de VPN que requieren la reautenticación de la purple dentro de un período de tiempo específico, obligatorio Configuración de seguridad de dispositivos móviles para teléfonos de empleados con acceso a aplicaciones o datos de la empresa, segregación de red y tokens de software con acceso biométrico a los recursos internos de la empresa.

Ninguna de estas prácticas ha resultado particularmente engorrosa con la excepción de la segregación de la pink que requiere el uso de una «caja de salto» interna para conectarse a ciertos recursos que no están disponibles directamente en la VPN. Sin embargo, esa es una compensación que la mayoría de los empleados, incluyéndome a mí, están más que dispuestos a hacer para no tener que lidiar con un viaje o una posible exposición al coronavirus.

Desafortunadamente, algunas empresas han optado por la seguridad, ya sea por sus propias intenciones o por empleados que toman rutas alternativas para hacer lo que necesitan. La auditoría y el monitoreo de posibles problemas de seguridad, la implementación de políticas y pautas estrictas, la garantía de la estandarización del acceso, las aplicaciones, las herramientas y los dispositivos, y la realización de una educación periódica rigurosa de los empleados son elementos clave para evitar que las prioridades de seguridad caigan en un abismo.

Hablé con Matt Davey, CXO de 1Password, un proveedor de administrador de contraseñas, sobre las preocupaciones de seguridad recientes. La compañía hizo una investigación a principios de este año que identificó algunos de los preocupaciones de seguridad relacionadas con la TI en la sombra. La investigación encontró que la mayoría de los usuarios habían creado cuentas relacionadas con el negocio que sus departamentos de TI no conocían, un tercio reutilizaba contraseñas memorables y casi la mitad usaba contraseñas similares.

Dado que el 80% de las violaciones de datos implican una higiene de contraseña insuficiente, es obvio que los protocolos de seguridad laxos como este pueden representar un riesgo significativo, y en esta era de trabajo remoto se aplica el dicho «no se puede administrar lo que no se puede medir».

Scott Matteson: ¿Qué protocolos de seguridad han sido relajados por algunas organizaciones?

Matt Davey: Nuestra investigación no cubrió detalles específicos, pero sabemos que el cambio al trabajo remoto resultó directamente en un cambio de prioridades en torno a los protocolos de seguridad. Del 73% de las empresas que trasladaron a todos los empleados a una configuración de trabajo desde casa, el 29% informó haber relajado algunos protocolos y requisitos de seguridad. Y para desglosarlo aún más, el 46% de las pymes informan relajar algunos protocolos y requisitos de seguridad, en comparación con solo el 19% de las grandes empresas.

VER: Ingeniería social: una hoja de trucos para profesionales de negocios (PDF gratuito) (TechRepublic)

Scott Matteson: ¿Cuál fue el motivo de esto?

Matt Davey: Al closing del día, todo se minimize a la productividad. El cuarenta y seis por ciento de los encuestados dijeron que los protocolos relajados se debían a dos factores: los empleados hacen más cuando administran su propio software program y los empleados se oponen a los protocolos de seguridad sólidos.

El primero es, por supuesto, explícitamente relacionado con la productividad, pero el retroceso también se cut down a la productividad.

La resistencia a una seguridad más fuerte se deriva de esta percepción de que interfiere con la realización de las cosas. Cuatro de cada cinco trabajadores dicen que siempre siguen la política de TI de su empresa, lo que significa que uno de cada cinco no lo hace. Eso se alinea con una de nuestras principales conclusiones, que solo el 20% de los trabajadores representan toda la actividad de TI en la sombra (el uso de computer software no autorizado sin la aprobación de TI). Aquellos que pasaron por alto la TI citaron la productividad como la razón número uno para hacerlo.

De manera comparable, alrededor del 16% de los empleados dice que la conveniencia es más importante que la seguridad.

Scott Matteson: ¿Cuál fue el resultado? ¿Hubo algún aumento en los incidentes de seguridad?

Matt Davey: Nuestra investigación no se centró en incidentes específicos, pero cuando miras los datos, surge una imagen clara.

Identical a su impacto en otras áreas, el pandemia no creó tanto nuevas tendencias como aceleró las existentes. En los 12 meses anteriores a nuestra investigación (realizada en marzo de 2020), el 63,5% de los trabajadores había creado al menos una cuenta de TI en la sombra. Cuando se produjo la pandemia, todo el mundo estaba luchando por adaptarse a una configuración remota, lo que significaba buscar un nuevo software program para adaptarse a esos nuevos flujos de trabajo. Por lo tanto, hay pocas dudas de que ha habido un aumento en las cuentas de TI en la sombra que se crearon durante la pandemia.

VER: Ciberseguridad: pongámonos tácticos (PDF gratuito) (TechRepublic)

Scott Matteson: ¿Cuánto tiempo se espera que dure esto?

Matt Davey: Mientras dure este momento de trabajo remoto, esto continuará.

No volveremos a ser como eran las cosas pronto. Muchas empresas miran su espacio de oficina y se preguntan por qué estaban pagando esos costosos arrendamientos en primer lugar. Algunos ya han dado a sus empleados la opción de trabajar desde casa de forma permanente.

Siendo ese el caso, creo que es más útil hablar sobre la nueva normalidad, en lugar de que las cosas vuelvan a ser como eran. Nuevamente, este es el resultado de cosas que ya estaban sucediendo. En nuestra investigación, el 64% de los empleados dijo que su empresa estaba preparada para el cambio al trabajo remoto. Eso significa que muchos vieron la escritura en la pared y habían hecho las inversiones adecuadas antes de que COVID-19 cambiara el mundo.

Y ahora que se ha realizado la inversión inicial, esas empresas pueden centrarse en optimizar para un futuro en el que el trabajo remoto es, si no el predeterminado, sin duda una parte mucho más importante del panorama.

Scott Matteson: ¿Hay algún remedio propuesto o confirmado que pueda recomendar?

Matt Davey: Es fácil decir que el equilibrio adecuado entre productividad y seguridad será diferente para cada empresa, pero quiero ir más allá y replantear esa conversación por completo. A medida que la FMH reconfigura toda nuestra infraestructura, comparar la seguridad con la productividad se vuelve menos útil.

En cambio, deberíamos pensar en que TI se convierta en un socio comercial de confianza. Eso significa dejar que los trabajadores elijan sus herramientas y adaptarlas después de todo, sus objetivos declarados de hacer más en nombre de la empresa son lo que todos queremos.

Al mismo tiempo, si está poniendo más handle en manos de los usuarios comerciales, también debería enseñarles cómo hacer su trabajo de forma segura, para que la educación se convierta en clave. Las malas prácticas de contraseñas están relacionadas con una gran mayoría de ataques, por lo que identificar los fundamentos de las mejores prácticas de seguridad para los usuarios finales puede tener un gran impacto.

VER: Seguridad de confianza cero: una hoja de trucos (PDF gratuito) (TechRepublic)

No es de extrañar que recomiendo un administrador de contraseñas empresarial para facilitar los fundamentos de la higiene adecuada de contraseñas que la alternativa. Y no soy el único que ve la administración de contraseñas sólida como la fruta más fácil en este nuevo mundo: entre los departamentos de TI que han implementado un administrador de contraseñas, el 56% dijo que lo hizo para facilitar a los empleados el uso de contraseñas sólidas. . El treinta y dos por ciento lo hizo para facilitar a los empleados el uso del software package que quieren usar para hacer las cosas.

Scott Matteson: ¿Qué va a pasar en el futuro?

Matt Davey: Como dije, la FMH llegó para quedarse. Upwork anunció recientemente los resultados de una encuesta de 20.000 personas en la que hasta el 11,5% de los trabajadores planean mudarse porque ahora pueden trabajar desde casa con más frecuencia. Eso es enorme. Ahora, las empresas no solo pueden recurrir a un grupo más grande para encontrar talento, la otra cara también es cierta: los trabajadores tendrán más opciones que nunca, ya que no están limitados a una ubicación en unique. Eso significa que las empresas deberán ser más flexibles en sus adaptaciones de la FMH para mantenerse competitivas y atraer a los mejores talentos.

Mientras eso sucede, espero un cambio significativo en la forma en que opera la TI. Deberán formar asociaciones de confianza con sus contrapartes comerciales, asumiendo un papel más de asesoría. Eso requiere que la TI se integre más en el lado comercial de las cosas, lo que es un cambio bastante drástico en la forma en que los departamentos de TI operan día a día en este momento.

Por ejemplo, en este momento, la gestión de identidades y accesos (IAM) es una gran pérdida de tiempo. Según nuestra investigación, TI dedica 21 días (¡un mes completo!) Cada año a realizar tareas sencillas de IAM, como restablecer contraseñas. Espero que estén más que felices de dejar atrás esos días.

Ver también



Enlace a la noticia original