Los piratas informáticos no son los únicos que evaden las medidas de seguridad de muchas organizaciones. También lo son sus trabajadores remotos.
En un informe sobre la seguridad de la fuerza laboral remota publicado el lunes, el 52 por ciento de los profesionales de TI y seguridad cibernética de EE. UU. encuestados revelaron que los trabajadores remotos experimentaron soluciones alternativas para las políticas de seguridad de sus organizaciones.
El informe, preparado por Cybersecurity Insiders y patrocinado por Axiad, un proveedor confiable de soluciones de identidad en Santa Clara, California, también encontró que las tres principales políticas y protocolos de seguridad a los que los trabajadores remotos se resistían más a cumplir eran la autenticación multifactor (35 por ciento), administradores de dispositivos móviles (33 por ciento) y administradores de contraseñas (26 por ciento).
“Esto significa que incluso si una empresa ha invertido en tecnología de autenticación fuerte como MFA, todavía está en riesgo a menos que pueda alentar a los empleados a cumplir con su política”, señaló el informe. “Esto es aún más desafiante con una fuerza laboral remota o híbrida, ya que los empleados no están en la oficina para trabajar con su equipo de TI para implementar y utilizar nuevas tecnologías”, agregó.
Problema de facilidad de uso
Los empleados que eluden las políticas de seguridad no lo hacen, por lo general, con malas intenciones, explicó el director de operaciones de Axiad, Jerome Becquart.
“Quieren hacer su trabajo de la manera más eficiente posible y perciben que la seguridad se interpone en su camino”, dijo a TechNewsWorld.
La mayoría de los empleados no quieren eludir intencionalmente las políticas de seguridad, agregó Jen Kraxner, directora de asesoría estratégica de SecZetta, una empresa de gestión de riesgos de terceros en Fall River, Massachusetts.
“A veces es porque no saben cómo hacer algo correctamente”, dijo a TechNewsWorld. “Otras veces, saben cómo hacerlo, pero es demasiado difícil”.
“Las políticas de seguridad no siempre facilitan las cosas a los usuarios finales”, continuó. “Cuando se vuelve demasiado difícil para ellos hacerlo de la manera correcta, eligen hacerlo como pueden”.
Citó como ejemplo la forma en que se podría implementar la autenticación de dos factores. Una forma es que te envíen una notificación que te permita autenticarte con un clic. Otra forma es solicitar el ingreso de un código. El enfoque de un clic tiene más en cuenta la facilidad de uso para el usuario que el enfoque de ingreso de un código.
Oliver Tavakoli, CTO de Vectra AI, un proveedor de soluciones automatizadas de gestión de amenazas en San José, California, explicó que en las organizaciones que toman la seguridad en serio, menos empleados generalmente piensan en eludir las políticas de seguridad.
“Pero cuando la experiencia del usuario es deficiente, por ejemplo, la necesidad de ingresar un segundo factor para la autenticación cada vez que su computadora portátil sale del modo de hibernación; el porcentaje de incumplimiento. como ejecutar software para garantizar que su computadora portátil nunca hiberne, incluso cuando no está, tiende a aumentar”, dijo a TechNewsWorld.
Buenas intenciones
En la mente de algunos empleados, pueden pensar que necesitan superar la seguridad de su organización para ser más productivos.
“Un empleado puede estar acostumbrado a tener acceso a archivos y aplicaciones que no están disponibles de forma remota”, dijo Saryu Nayyar, director ejecutivo de Gurucul, una empresa de inteligencia de amenazas en El Segundo, California.
“Un trabajador puede intentar en esos casos subvertir las restricciones de la red para obtener acceso al que estaba acostumbrado a tener en la oficina”, dijo a TechNewsWorld.
Erich Kron, defensor de la concientización sobre seguridad en KnowBe4, un proveedor de capacitación en concientización sobre seguridad en Clearwater, Fla., explicó que si un empleado no comprende el motivo de una política de seguridad, o si la organización tiene una cultura de seguridad débil, los empleados a menudo buscarán eludir las políticas.
“Pueden creer que son solo pasos adicionales que deben tomar para hacer su trabajo, o obstáculos innecesarios que interfieren con la producción”, dijo a TechNewsWorld.
“Si el trabajo adicional es lo suficientemente significativo, incluso pueden comenzar a resentirse con la política o la organización”, agregó.
“Los empleados a menudo no entienden cuán significativo es el panorama de amenazas moderno”, dijo, “o pueden creer que ellos, o su organización, son demasiado pequeños para ser atacados por ciberdelincuentes, un concepto erróneo común que a menudo conduce a grandes problemas. ”
limones en limonada
No debería sorprender que los empleados estén encontrando soluciones alternativas a las políticas de seguridad, observó Sounil Yu, CISO de JupiterOne, un proveedor de soluciones de gobierno y gestión de activos cibernéticos con sede en Morrisville, Carolina del Norte.
“Queremos que nuestros empleados sean inteligentes y creativos, por lo que no sorprende que los empleados encuentren formas de eludir los controles de seguridad”, dijo a TechNewsWorld.
Recomendó que las organizaciones aprovechen la creatividad que elude los controles de seguridad.
“Lo importante es que los empleados compartan esos métodos de elusión con el equipo de seguridad, no para que el equipo de seguridad bloquee esos métodos por completo, sino para que el equipo de seguridad pueda trabajar para encontrar o construir caminos pavimentados más seguros que permitan a los empleados ser aún más productiva”, dijo.
“Para generar confianza en toda la empresa para que los empleados se sientan dispuestos y seguros para revelar cómo eludieron un control de seguridad, el equipo de seguridad debe mantener la seguridad simple, abierta y colaborativa, habilitante y gratificante al adoptar uno de los principios fundamentales establecidos en el Manifiesto. para la Ciberseguridad Moderna, que es favorecer la transparencia sobre la oscuridad, la practicidad sobre el proceso y la usabilidad sobre la complejidad”, agregó.
Amenazas internas en aumento
Sin embargo, no todos los empleados tienen en mente los mejores intereses de su empleador cuando ejecutan las políticas y protocolos de seguridad.
“El trabajo remoto ha aumentado significativamente las amenazas internas de los empleados que corren riesgos con los activos de la empresa, como el robo de datos confidenciales para uso o beneficio personal, ya que los empleadores tienen menos visibilidad de a qué acceden los empleados”, observó Joseph Carson, científico jefe de seguridad de Thycotic, una Proveedor de soluciones de administración de cuentas privilegiadas con sede en Washington DC.
“Los empleados tienen dispositivos de la empresa que dependían de la seguridad de la red, como puertas de enlace de correo electrónico, puertas de enlace web, sistemas de detección de intrusos o cortafuegos, para proteger esos dispositivos”, dijo a TechNewsWorld.
“Ahora, la mayoría de esas protecciones son prácticamente inútiles porque los dispositivos se trasladaron a la Internet pública”, dijo.
Desalentando el mal comportamiento
¿Cómo pueden las organizaciones disuadir a los empleados de evadir las políticas de seguridad?
“La utilización de políticas de seguridad que tengan una fricción mínima es la mejor manera de lograr el objetivo”, dijo David Stewart, director ejecutivo de Approov, de Edimburgo, Reino Unido, que realiza análisis dinámicos de software a nivel binario.
“Si la seguridad es invisible, entonces el empleado no tiene ningún incentivo para eludirla”, dijo a TechNewsWorld.
Chris Clement, vicepresidente de arquitectura de soluciones de Cerberus Sentinel, una empresa de consultoría de seguridad cibernética y pruebas de penetración en Scottsdale, Arizona, recomendó usar incentivos.
“Encuentre formas de hacer que la seguridad sea fácil o incluso transparente para sus usuarios y el cumplimiento de sus políticas será alto”, dijo a TechNewsWorld.
“Aún así, siempre hay personas con intenciones maliciosas de las que es necesario protegerse”, agregó. “Es necesario monitorear y auditar regularmente las actividades de los usuarios para poder identificar y responder rápidamente al comportamiento malicioso”.