Cuatro errores de seguridad en colaboración que las empresas aún cometen
Las aplicaciones de colaboración en línea se han vuelto críticas para los negocios, sin embargo, muchas organizaciones no han corregido los errores de seguridad que cometieron cuando se apresuraron a implementar estas herramientas al comienzo de la pandemia.
Antes de la pandemia, el mundo empresarial daba por hecho que la gran mayoría de los trabajadores harían su actividad dentro de las oficinas la mayor parte del tiempo. Sin embargo, en el mundo posterior, muchos pueden trabajar desde cualquier lugar, en cualquier momento y en cualquier dispositivo con conexión a Internet. Cuando el confinamiento entró en vigencia en todo el mundo a principios de 2020, las organizaciones se apresuraron a adoptar herramientas de colaboración en línea. Con capacidades que van desde conferencias de voz y video hasta la coautoría de documentos y el seguimiento de proyectos, estas herramientas ayudaron a los equipos a comunicarse, trabajar juntos y compartir actualizaciones sobre varios proyectos e iniciativas desde casa o en cualquier otro lugar.
Si bien algunas empresas ahora alientan o incluso exigen que muchos empleados regresen al trabajo en la oficina, las herramientas de colaboración siguen siendo cruciales para las operaciones comerciales. Se han convertido en una parte fundamental de hacer negocios con personas que trabajan en múltiples ubicaciones, tanto dentro de las empresas como externamente con clientes, proveedores y otros terceros, expresa Doug Glair, director de seguridad cibernética en la firma de asesoría e investigación tecnológica ISG. Como tal, las empresas deben asegurarse de que sus herramientas de colaboración sean resistentes, fáciles de usar y seguras, dado su valor crítico para el negocio. Pero aunque las organizaciones han estado usando herramientas de colaboración durante varios años, siguen cometiendo los mismos errores de seguridad que en los primeros días de la pandemia, dicen los expertos.
Una de las razones principales es que las herramientas de colaboración a menudo se desarrollan dentro de las unidades comerciales y no en toda la empresa, según Avani Desai, director ejecutivo de Schellman, una firma de evaluación de ciberseguridad. “Tal vez quiero usar Asana, y alguien más quiere usar SharePoint, y alguien más quiere usar Jira, y el equipo ejecutivo quiere usar otra herramienta, por lo que no se otorga acceso de usuario a nivel empresarial”, asevera. “El acceso de los usuarios ha sido un problema durante años y continúa siendo un problema”.
El analista de Gartner, Patrick Hevesi, está de acuerdo con la evaluación de Desai. “Digamos que su estándar corporativo es Microsoft 365, o G Suite, o lo que sea, pero alguien más en la empresa quiere usar Slack”, dijo. “La gente está agregando más herramientas de colaboración sin la autoridad de la organización de seguridad de TI”.
Además, las organizaciones que adoptan plataformas de colaboración como Microsoft Teams, Slack, Box, Dropbox, GitHub, Jira, Asana y otras suelen centrarse en los beneficios de la productividad. Asegurar estas plataformas, comunicaciones y los datos que comparten suele ser una idea de último momento, si es que se piensa en ello, dice Jay Martin, líder de prácticas de seguridad en la firma de servicios administrados GreenPages Technology Solutions. “Hacerlos más seguros es esencial para proteger a la organización de los actores de amenazas que buscan un punto de entrada a la información patentada, los datos financieros, la propiedad intelectual y más”.
ComputerWorld pidió a los analistas de la industria tecnológica, los proveedores de servicios de TI y los consultores de seguridad que mencionaran los errores de seguridad de colaboración más grandes que todavía ven que cometen las organizaciones en la actualidad, y qué hacer al respecto. Aquí está su consejo.
Primer error, no proporcionar una gobernanza central para las herramientas de colaboración
Si las organizaciones no brindan acceso a herramientas de colaboración examinadas, es probable que los empleados encuentren las suyas propias y utilicen soluciones inseguras, dijo Sourya Biswas, director técnico, gestión de riesgos y gobierno de la firma de consultoría de seguridad NCC Group. “Por lo tanto, si bien es importante que las organizaciones adopten la colaboración digital, al mismo tiempo deben evitar la instalación y el uso de herramientas no aprobadas, a través de mecanismos como acceso restringido de administradores locales y soluciones de navegador administrado”.
Incluso cuando las herramientas de colaboración se examinan y aprueban, las organizaciones deben conocer las diferentes plataformas de colaboración a las que cada empleado puede acceder para evitar la filtración de datos confidenciales y evitar proporcionar nuevos vectores de ataque para los malos actores, dijo Michael McCracken, director senior. de soluciones de usuario final en SHI International, un revendedor de productos y servicios tecnológicos.
Además, TI necesita mantener un control central sobre estas herramientas, dijo AJ Yawn, socio, asesor de aseguramiento de riesgos en Armanino, una firma independiente de consultoría comercial y de contabilidad. “Si alguien es despedido, ¿las personas que realizan la desvinculación saben que deben eliminar el acceso de estas herramientas, o esos [exempleados] todavía tienen acceso a [datos confidenciales de la empresa]?”
Segundo error, uso de métodos inseguros para compartir archivos
Muchas organizaciones usan métodos inseguros para compartir archivos, dijo Desai de Schellman. Dos ejemplos son los archivos adjuntos de correo electrónico sin cifrar y el intercambio público de archivos que ocurre con las herramientas de colaboración que no tienen cifrado incorporado.
“El uso de métodos inseguros para compartir archivos es un problema de seguridad porque puede provocar fugas de datos”. Aconseja a las empresas que utilicen solo plataformas seguras para compartir archivos con encriptación.
Las organizaciones también deberían implementar protocolos seguros de transferencia de archivos, dijo Desai. “Entonces, el correo electrónico debe tener lo que llamamos TLS [seguridad de la capa de transporte], que es como el cifrado dentro de la transferencia”.
Tercer error, no realizar la diligencia debida con consultores y proveedores de servicios
Si bien los principales proveedores de colaboración ofrecen sólidas funciones de seguridad, a menudo depende de quienes implementan y administran el software asegurarse de que esté configurado para la máxima seguridad. En muchos casos, especialmente en las empresas más pequeñas, las organizaciones recurren a consultores de TI o proveedores de servicios para estos servicios. A pesar de la creciente conciencia sobre la seguridad de la colaboración, los consultores y proveedores de servicios aún terminan cometiendo errores que ponen en riesgo los datos de sus clientes, dijo Kunal Purohit, director de servicios digitales de Tech Mahindra, una empresa de consultoría y servicios de TI.
Estos errores incluyen controles de acceso inadecuados, como permitir compartir contraseñas u otorgar privilegios excesivos; descuidar la aplicación de fuertes medidas de autenticación, como la autenticación de dos factores; y no actualizar el software y los sistemas con regularidad, lo que puede abrir vulnerabilidades. Otro error que cometen los consultores y proveedores de servicios es no cifrar la información confidencial durante la transmisión y/o el almacenamiento. “Además, el hecho de no realizar auditorías y evaluaciones de seguridad periódicas expone aún más a las organizaciones a riesgos”, expresa Purohit.
Las organizaciones deben realizar una diligencia debida exhaustiva antes de contratar a cualquier consultor o proveedor de servicios, aconsejó Purohit. Esto incluye verificar que estos terceros tengan antecedentes probados de implementación de medidas de seguridad sólidas.
“Las organizaciones deben definir claramente sus requisitos y expectativas de seguridad e incluirlos en los acuerdos contractuales con los consultores o proveedores de servicios”, dijo. “Además, las empresas deben realizar auditorías y evaluaciones de seguridad periódicas para identificar cualquier vulnerabilidad o incumplimiento”.
Además, las organizaciones deben aplicar estrictos controles de acceso, proporcionando a los consultores y proveedores de servicios privilegios limitados en función de sus necesidades específicas, según Purohit. Y, sobre todo, las organizaciones deben establecer canales de comunicación claros con ellos para informar cualquier incidente o brecha de seguridad con prontitud.
Cuarto error, no asegurarse de que los empleados utilicen conexiones de Internet seguras
La capacidad de colaborar desde cualquier parte del mundo con una conexión a Internet abre la posibilidad de que los empleados se conecten a puntos de acceso inalámbrico inseguros en lugares públicos como cafés y aeropuertos, lo que compromete cualquier dato que fluya a través de la conexión, dijo Biswas de NCC. Las redes privadas virtuales, el borde del servicio de acceso seguro y las herramientas de acceso a la red de confianza cero abordan este riesgo, dijo.
Rahul Mahna, socio de EisnerAmper que lidera el equipo de servicios de TI subcontratados, estuvo de acuerdo. “Ahora que todo el mundo ha vuelto a viajar, la gente está utilizando el Wi-Fi gratuito que está disponible en el Acela, en sus habitaciones de hotel y en los centros de conferencias para volver a conectarse a sus herramientas de colaboración. Y esos están llenos de problemas de seguridad. Siempre le digo a la gente que la conexión más segura es la conexión a tu teléfono , porque la seguridad de tu operador es mucho mejor que cualquier seguridad que puedas obtener con WiFi gratis”.
