Compartir

A pesar de los avances en la tecnología y los procesos de seguridad en el ámbito de la informática de los últimos años, el ser humano todavía puede ser nuestro talón de Aquiles.
Por Brian Kelly, Chief Security Officer de Rackspace

Una encuesta publicada el mes pasado por la empresa de seguridad SailPoint con sede en Austin descubrió que, de los mil trabajadores de empresas privadas encuestados, uno de cada cinco dijo que vendería sus contraseñas a terceros. Casi la mitad de esos empleados (44%) dijo que lo haría por menos de $1,000 dólares.

Esta información destaca la importancia de no perder de vista el factor humano a la hora de asegurar nuestra información y nuestros sistemas. Como director de Seguridad (CSO), tengo en cuenta el factor humano en cada decisión. Quizás me haya vuelto más estricto en los últimos años al ver en demasiadas ocasiones que, a pesar de nuestros esfuerzos, un trabajador descuidado o con malas intenciones puede tirar por tierra millones de dólares de inversión en los mejores programas y tecnologías de seguridad. Considere la eficacia de los ataques de phishing, y el caso de Edward Snowden como ejemplo.

Hacia un mundo más allá de las contraseñas
Nunca podremos eliminar el factor humano o los riesgos asociados a aquellos individuos que toman malas decisiones, tanto por error como de forma consciente. Sin embargo, esta última encuesta arroja luz sobre la relativa ineficacia de las contraseñas, especialmente las contraseñas estáticas de un solo factor.

Las contraseñas estáticas están desapareciendo gradualmente, al mismo tiempo que las amenazas de los trabajadores malintencionados siguen existiendo. Las contraseñas estáticas son demasiado fáciles de encontrar y usurpar, y existen por todos lados. Se alojan en las memorias de las máquinas, ya sea en ambientes corporativos o en redes sociales, y la probabilidad de que puedan ser robadas es bastante alta.

Aunque algunas personas están repensando nuestras estrategias y soluciones de autenticación y autorización, no estamos progresando a buen ritmo. Las organizaciones deben comenzar a utilizar arquitecturas y soluciones que no incluyan permisos estáticos o permanentes. Como mínimo, debemos emplear estrategias de autenticación multifactoriales.
El mero proceso de enviar un código de autenticación por celular cuando realizo una transacción bancaria me parece una evidencia del progreso. Deseo que llegue el día en el que mi celular sea el caché para la construcción de parámetros biométricos o contraseñas complejas que puedan intervenir en el proceso de autenticación.

Confíe, pero verifique
Por supuesto, independientemente de la solución que hayamos implantado, un trabajador interno bien posicionado puede derrotar o sortear incluso a los mejores controles de seguridad. Añada el ingrediente de “intento malintencionado” y tenemos la receta perfecta para el desastre. El hecho de que los empleados estén dispuestos a vender sus contraseñas es preocupante, aunque no sorprendente. Incluso con múltiples niveles de autenticación, una persona motivada a vender una contraseña o aprovecharse de su posición en la empresa puede hacerlo si quiere. Esto es por lo que esta amenaza es tan difícil de derrotar.
Tenemos un consejo probado y muy cierto: “Confíe, pero verifique”. Un equipo de operaciones de seguridad debe monitorear la actividad de los usuarios e investigar los comportamientos anómalos o malintencionados que descubra.

Tenemos un consejo probado y muy cierto: “Confíe, pero verifique”. Un equipo de operaciones de seguridad debe monitorear la actividad de los usuarios e investigar los comportamientos anómalos o malintencionados que descubra. Muchas de las personas que lean este artículo estarán pensando que esta práctica es una violación de la privacidad que va en contra de la cultura de su empresa. He sopesado estas objeciones teniendo en cuenta la existencia de la empresa y el sustento de todos los empleados, así como la protección del valor de los clientes y los accionistas.
Los fraudes, las actividades malintencionadas y las divulgaciones accidentales se pueden monitorear y administrar sin violar la privacidad de los individuos. El tráfico, tanto dentro como fuera de la organización, así como el tráfico que pasa internamente puede y debe monitorearse y configurarse para detectar desviaciones de la actividad “normal” o “básica”. Esto no implica una invasión de la privacidad, sino que, en su lugar, suele conllevar la consulta de metadatos y no el contenido de los mensajes.

Contar con un socio es la clave
El impedimento de muchas empresas, a pesar de comprender y aceptar los desafíos y obligaciones mencionados anteriormente, es que no tienen recursos que cuenten con la experiencia y destrezas necesarias para defenderse eficazmente de las amenazas. No es ningún secreto que existe una carencia de profesionales en seguridad capacitados y con experiencia en el mercado. Las estadísticas sugieren que actualmente existen 40 mil ofertas de trabajo para personas con certificaciones CISSP, pero en todo el mundo solo hay 69 mil personas que cuenten con ellas.

De forma similar, los procesos y tecnologías adecuados no existen todavía o no se han implantado completamente. Con frecuencia, muchas empresas no tienen la capacidad necesaria para detectar y responder ante actividad anómala o malintencionada. Los proveedores tradicionales de seguridad administrada suelen estar económicamente fuera del alcance de muchas empresas (generalmente entre $1 y $3 millones de dólares anuales) e, incluso si el servicio está dentro del presupuesto, las empresas no tienen las destrezas para responder ante alertas y eventos.

¿Serán perfectas las soluciones que hay en el mercado? Si nos fijamos en la historia, no. Tan pronto como se implemente una solución, surgirán adversarios y trabajadores descuidados o malintencionados que encontrarán una manera de sortear estos mecanismos de seguridad. Pero, las mejoras sustanciales en las prácticas de operaciones de seguridad ayudan considerablemente a detectar y responder a estas actividades. La vigilancia constante es fundamental.

Deja una respuesta

Por favor, ingrese su comentario.
Ingrese su nombre aquí