En el corazón de la crisis del coronavirus se inserta una realidad indiscutible: la mayoría de las organizaciones no se prepararon para un escenario inusual donde todos los empleados trabajarían desde casa durante un largo período de tiempo.
La emergencia sanitaria ha puesto al descubierto la importancia de la autenticación de empleados, contratistas y clientes. El robo de identidad, el phishing, el spam y el fraude están en auge en este momento. Incluso campea la ingeniería social disfrazada de “soporte técnico”, cuyo modus operandi es entrar a las computadoras de empleados o clientes de la banca a través de Team Viewer. Los encargados de la Seguridad han hecho lo que pueden para moverse rápidamente, pero quizá no con la necesaria disciplina en lo que se refiere a la seguridad y privacidad de las personas. ¿Cuánto tiempo les tomará volver al estado de la seguridad que tenían hace cuatro meses?
Es importante reconocer que estamos en territorio peligroso y que las personas son el nuevo y verdadero perímetro.
Las personas no son fallas
Las estrategias de seguridad basadas en el factor humano no son novedad. Sin embargo, suele olvidarse que las personas no son una falla sino un factor a tomar en cuenta. Como en años anteriores, la Online Trust Alliance (OTA) descubrió en 2019 que la mayoría de las vulnerabilidades de ciberseguridad podrían haberse evitado fácilmente. Se calculó que 95% de todas las infracciones podrían haberse evitado a través de enfoques simples y de sentido común para mejorar la seguridad.
Sin embargo, no podemos tampoco reducir el problema al factor humano. Se trata de optar por un enfoque dual que contemple tanto las amenazas más sofisticadas, como las que dependen de sencillas tareas que los usuarios deben llevar a cabo para minimizar los riesgos de abrir la puerta a numerosas vulnerabilidades.
El trabajo remoto hoy es una realidad para cientos de miles de organizaciones a nivel mundial. Millones de empleados se conectan todos los días a redes corporativas desde cualquier lugar y tienen acceso a datos sensibles por medio de aplicaciones as a service, porque resultan más convenientes para el trabajo a distancia, pero también abren la puerta a mayores vulnerabilidades.
“Los CISO recibieron una llamada de atención y ahora comprenden que vivían con una falsa sensación de seguridad. Se están dando cuenta de que la verdadera seguridad no se trata de construir un perímetro dentro de cuatro paredes o mediante hardware, software o algún dispositivo específico; se trata de las personas. Las personas son el nuevo y verdadero perímetro. La visibilidad del comportamiento de los empleados y los datos, donde sea que se encuentren, nunca ha sido tan crítica”, escribió recientemente Matthew Moynahan, CEO de Forcepoint, firma de ciberseguridad centrada en las personas.
De acuerdo con varios estudios publicados el mes de mayo pasado, la situación es cada vez más grave para las organizaciones, que además de hacer malabares con la moral de los empleados, enfrentan una mezcla heterogénea de dispositivos que acceden a sus servidores desde redes domésticas, y prácticas de seguridad de datos difíciles de monitorear.
Según uno de los informes, que recabó datos de 200 respondientes de las industrias financiera, manufactura, y de la salud, los empleados copiaron datos de la empresa en unidades USB 123% más que antes del inicio de la pandemia, con 74% de esos datos marcados como “clasificados”.
La salida de datos a través de servicios de correo electrónico, USB y nube saltó 80%, con más del 50% de esos datos marcados como “clasificados”. Acompañando el aumento en la copia de datos hay un aumento del 62% en la actividad maliciosa en redes corporativas y servidores, con un incremento de 54% en investigaciones de respuesta a incidentes.
Otro estudio, publicado el pasado 28 de enero, encontró que la pérdida de datos también se vuelve más difícil de detener cuando los empleados trabajan desde casa, según el 84% de los líderes de IT encuestados. Además, 54% de los empleados dice que encuentra soluciones alternativas cuando las políticas de seguridad les impiden completar tareas. Como dijo el director de Sistemas de un conocido banco mexicano, “la comodidad de los usuarios es inversamente proporcional a la seguridad.”
Por fortuna, todo esto tiene solución. Proveedores como RSA ofrecen soluciones para control de riesgos, protección adecuada de la identidad de los usuarios, inteligencia contra amenazas y análisis del comportamiento del usuario. Por su parte, Forcepoint aplica analítica avanzada y machine learning para identificar comportamientos sospechosos o actividades fuera de las normas y límites establecidos, junto con herramientas de remediación inmediata.
Por último, una fuerza laboral cada vez más remota tendrá impactos en todo el panorama de la seguridad. Requiere que los empleados sean más diligentes en la forma en que comparten datos valiosos de la compañía y requerirá nuevas políticas de seguridad sobre cómo proteger esos datos. Requiere protección ampliada de correo electrónico y seguridad web para cubrir a los empleados donde sea que inicien sesión, así como una visibilidad mayor del uso de aplicaciones en la nube y el movimiento de datos dentro y fuera de la red. Como afirma Moynahan, “si la seguridad cibernética no era una de las principales prioridades de su CEO, debería serlo ahora.”