Personas, Medio Ambiente y Tecnología: Un enfoque triple para reducir el riesgo de ciberseguridad

El número y las variaciones de los ciberataques exitosos están aumentando diariamente, y como tal, el riesgo de seguridad cibernética se ha convertido en una prioridad para el CEO en todo el mundo. El impacto de las soluciones en la nube, el aumento de la conectividad entre las organizaciones y las rápidas cantidades de datos generados por la tecnología digital han tenido un gran impacto en la forma en que realizamos negocios, al tiempo que nos hacen más vulnerables a las amenazas cibernéticas. Si bien nada de esto es nuevo, la forma en que usamos la tecnología digital y protegemos nuestros datos está en constante cambio. A medida que las organizaciones continúan adoptando la mayor flexibilidad y eficiencia que proporcionan las soluciones en la nube y el trabajo remoto, aumenta el riesgo de violaciones de seguridad. Entonces, ¿cómo pueden las empresas disfrutar de la mayor productividad y ventaja estratégica que aporta la tecnología sin poner en riesgo sus datos, clientes y reputación? La solución es compleja, ya que la mejor práctica para reducir el riesgo de ciberseguridad es un enfoque triple: Personas, Medio ambiente y Tecnología.

gente

Las personas son a menudo el mayor activo de una organización, pero también pueden ser el mayor pasivo cuando se trata de ciberseguridad. A pesar de los mejores esfuerzos de las corporaciones y los gobiernos para resolver las vulnerabilidades tecnológicas, solo funcionan si las personas que usan estos recursos en línea también toman las precauciones necesarias por su parte.

Piénsalo… ¿quién de nosotros no ha dado a un proveedor acceso a un archivo o no ha trabajado alrededor de firewalls para acceder a información protegida? ¿Cuándo fue la última vez que cambió su contraseña a las cuentas en la nube de su empresa? ¿Los antiguos empleados todavía tienen acceso a sus servidores corporativos? Mientras que las empresas gastan una gran cantidad de tiempo y dinero en mantener a los atacantes fuera, con demasiada frecuencia las personas que están dentro están a sabiendas – o más a menudo sin saberlo – invitándolos a entrar.

Obviamente, educar a los usuarios sobre cómo trabajar de manera segura es importante. En muchos casos, sin embargo, estas reglas se siguen de manera más coherente si los usuarios también son educados sobre por qué las reglas están en su lugar, cómo están protegiendo a la empresa y sus datos, y lo que puede suceder si no se siguen. No podemos confiar solo en la tecnología para resolver lo que a menudo son errores humanos. Sin embargo, si lo abordamos con el hecho de que los seres humanos están involucrados, y falibles, es más probable que encontremos soluciones sostenibles que funcionen.

medio ambiente

La creciente popularidad del trabajo flexible y remoto agrega una capa adicional de complejidad para protegernos de los ciberataques. El comportamiento de los usuarios varía en función del entorno en el que trabajan, lo que debe tenerse en cuenta a la hora de educar a los usuarios. Las arquitecturas de seguridad tradicionales se construyen con perímetros, o firewalls, para mantener fuera a aquellos que no deberían tener acceso. Pero una mayor dependencia de las tecnologías móviles y en la nube para operar una fuerza de trabajo remota y móvil hace que los perímetros de la red sean cada vez más difíciles de aplicar.

La mayoría de nosotros sabemos mejor que acceder a datos protegidos desde el WIFI gratuito en la cafetería local, pero el acceso público protegido por contraseña también tiene importantes áreas de vulnerabilidad. Incluso lo último Estándar de cifrado WPA3, lanzado en 2018, se ha encontrado que tiene problemas graves que permiten interceptar los datos que se mueven hacia y desde la nube.

Debido a esto, más organizaciones están pasando de una vista de seguridad centrada en el perímetro de la red a una configurada sobre la idea de “Confianza cero”. Desarrollado por Investigación forrester analista, Jon Kindervag hace más de 10 años, Zero Trust trata todo el tráfico de red como “no confiable” y se basa en tres principios:

1. Se debe tener acceso a todos los recursos de forma segura, independientemente de la ubicación;
2. El control de acceso se basa en la necesidad de conocer y se aplica estrictamente; y
3. Las organizaciones deben inspeccionar y registrar todo el tráfico para verificar que los usuarios no infringen las reglas de forma intencionada o no.

Incluso con medidas de seguridad como la autenticación multifactorial en su lugar, el entorno seguirá siendo un desafío. Con el aumento exponencial previsto de la adopción de la inteligencia artificial (IA) en nuestra vida cotidiana, los delincuentes ya están examinando su potencial para una nueva puerta trasera al acceso a la información. Los ataques aumentados por IA son una amenaza real y algunos predicen que una nueva generación de malware impulsado por IA permitirá a los hackers infectar el sistema de una organización sin ser detectados, recopilando información sobre los comportamientos de los usuarios y los sistemas de la empresa. Una vez que “aprende” lo que necesita, puede desatar una serie de ataques y acabar con la organización de adentro hacia afuera.

Tecnología

Por supuesto, la tecnología y cómo se construye para proteger los datos siempre será un factor a considerar y abordar también. Las soluciones en la nube y el trabajo remoto han llegado para quedarse. De hecho, una encuesta reciente de tomadores de decisiones de TI en empresas con ingresos de más de US $ 1 mil millones descubrió que el 75% ya usa aplicaciones en la nube regularmente y el 65% espera que el número de aplicaciones en la nube que usan también aumente. Y no son solo las grandes corporaciones las que están adoptando estas tecnologías. Según Forbes, el 77% de las empresas tienen al menos una aplicación o una parte de su infraestructura informática empresarial en la nube.

Con esta mayor flexibilidad y movilidad viene un mayor riesgo de violaciones de datos. Algunos de los jugadores más grandes en este espacio están invirtiendo mucho en la seguridad de sus aplicaciones en la nube con la esperanza de calmar los temores de los usuarios, ganar nuevos usuarios y crear lealtad en los actuales. por ejemplo Microsoft invierte más de UD$1 mil millones anuales en investigación y desarrollo de ciberseguridad.

Además, muchos gobiernos se están asociando con proveedores de nube para tratar de abordar las amenazas en constante evolución a la seguridad de los datos. Secretario de Negocios del Reino Unido Greg Clark recientemente dijo: “Con el gobierno y la industria invirtiendo juntos como parte de nuestra estrategia industrial moderna, nos aseguraremos de que el Reino Unido esté bien posicionado para capitalizar nuestro estatus como uno de los líderes mundiales en seguridad cibernética al ‘diseñar’ medidas innovadoras en nuestra tecnología que nos protejan de las amenazas cibernéticas. Esto también nos ayudará a reducir los crecientes costos de ciberseguridad para las empresas”.

Minimizar el riesgo de ciberseguridad

La mayoría de las empresas ya están analizando detenidamente la tecnología que utilizan y cómo se puede mejorar para proteger los datos y hacer que los clientes se sientan seguros. Pero, ¿qué se puede hacer en el lado de las personas y el medio ambiente de las cosas? Aquí hay algunas consideraciones.

Limitar el acceso a quienes lo necesitan

Puede ser un desafío persistente crear y actualizar constantemente las cuentas que tienen permiso para acceder a ciertos archivos. Pero sin estas capas de protección en su lugar, aquellos con propósitos nefastos pueden colarse más fácilmente. Muchas organizaciones tienen permisos de usuario obsoletos o cuentas obsoletas que pueden dejar en riesgo los datos confidenciales. Los datos son tan valiosos, si no más, que los activos financieros. Vale la pena el esfuerzo de categorizar esos datos, determinar quién realmente necesita acceso y actualizar esos permisos (y contraseñas relacionadas) de forma regular.

Educar a los miembros del equipo sobre por qué las reglas están en su lugar

Tenga en cuenta que puede crear reglas, pero solo son buenas si todos las siguen. Según un artículo reciente en Diginomica, el 79% de los líderes de TI creen que los empleados han puesto en riesgo los datos de la empresa accidentalmente en los últimos 12 meses, y lo que es más alarmante, el 61% cree que lo han hecho maliciosamente. Demasiadas veces una persona con prisa, o que piensa que son una excepción, eludirá las restricciones. Esto a menudo no es malicioso de ninguna manera; simplemente no entienden el riesgo. Por eso es importante educar a los empleados a todos los niveles sobre las propias normas, pero también sobre por qué existen y cómo protegen a la empresa, a sus clientes y empleados. Por eso es importante educar a los empleados no solo sobre las políticas de seguridad, sino también sobre por qué existen y cómo están protegiendo a la organización. Además, la creación de un sistema que sea fácil informar de actividades extrañas o inusuales puede ser de valor crítico, ya que encontrar problemas temprano a menudo puede permitir que se establezcan protocolos adicionales para evitar repercusiones graves.

Actualizar permisos de forma coherente

Una de las formas más comunes en que se violan los datos es a través de cuentas antiguas o permisos obsoletos. A medida que las personas entran y salen de la organización, o entran en nuevos roles, es vital actualizar inmediatamente sus permisos adecuados a su rol. Esto también se aplica a los contratistas y trabajadores remotos. Y mientras está en ello, haga que todos en su organización actualicen regularmente sus contraseñas y revise rutinariamente lo que está almacenando en los servidores en la nube. Cualquiera de estos, y muchos más, los puntos de acceso pueden ser fácilmente violados por personas que saben lo que están haciendo, por lo que garantizar que las personas de su equipo hagan todo lo posible para proteger los datos es una de las partes más importantes de una estrategia de ciberseguridad sólida.

Crear reglas que se apliquen a todos los dispositivos

Sus empleados remotos y más móviles trabajan en varios dispositivos, incluidos los dispositivos personales. Diseñados para una disponibilidad y conectividad continuas, la mayoría de las tabletas y teléfonos carecen de gran parte de la seguridad inherente integrada en nuestros equipos. Muchos se ejecutan con credenciales predeterminadas que nunca se actualizan, lo que las hace particularmente propensas a la explotación maliciosa. Esto es un riesgo, especialmente si su organización tiene una directiva de traer su propio dispositivo. Eduque a su equipo sobre cómo disfrutar de la flexibilidad y el acceso que proporcionan estos dispositivos de una manera que también proteja sus datos y haga que sea difícil para otros entrar.

Basándonos en este y muchos otros factores, esperamos que la inversión en ciberseguridad por parte de empresas de todos los tamaños aumente y una creciente demanda de talento en seguridad en todo el mundo. A medida que los negocios evolucionan, también lo harán las formas en que los delincuentes intentan acceder a nuestra información y las herramientas que necesitaremos para evitar que lo hagan. Si bien la IA se puede usar para hackear un sistema, también se está utilizando para “aprender” a conectar los puntos entre las amenazas y proporcionar información procesable para que las empresas puedan responder a ellas con mayor confianza y velocidad. Al final, aquellos que hagan lo necesario para crear un entorno de trabajo seguro, pero flexible, tendrán una ventaja competitiva que pagará con creces los esfuerzos de ciberseguridad que hay que hacer, y aún más, el costo de un ataque cibernético grave en su organización.