Es probable que la mayoría de la gente ya haya roto sus propósitos de año nuevo, pero yo voy a cumplir uno: restablecer mis contraseñas y replantearme la estrategia de las soluciones de gestión de contraseñas.
He aquí por qué. Si trabajas en seguridad informática, ya sabes lo grave que fue la brecha de seguridad de LastPass, anunciada a finales de diciembre de 2022. Según al menos una cuenta de Wired, el hackeo de LastPass fue "en realidad una violación de datos masiva y preocupante que expuso bóvedas de contraseñas cifradas -las joyas de la corona de cualquier gestor de contraseñas- junto con otros datos de usuario."
El gran problema para los usuarios es que, como señala Wired, cambiar la contraseña maestra de LastPass que protege los datos de la bóveda no podrá proteger los datos que ya han sido robados. Y eso es un gran problema.
Durante la última década, hemos confiado en LastPass (o alternativas como 1Password, o iCloud Keychain de Apple) para mantener nuestras contraseñas críticas accesibles - y lo que es más importante - seguras. Nos aliviaba poder contar con la comodidad de una solución automatizada que también podía mantener nuestras contraseñas protegidas en un formato cifrado. Suponíamos que las medidas de seguridad eran infalibles. Pero con esta última brecha en LastPass, es hora de replantearse la estrategia de contraseñas.
Propósitos sobre contraseñas
Es un nuevo año, así que ¿por qué no empezar de nuevo con la seguridad de sus contraseñas? Actualice y renueve sus contraseñas, independientemente de si cree que se han visto comprometidas o que existe la posibilidad de que lo estén. Esto es fundamental, incluso si no utilizas un gestor de contraseñas, sino una hoja de papel o docenas de notas adhesivas.
Con esta última brecha y las anteriores en 2022, es más que probable que sus empleados tengan al menos una o más de sus contraseñas expuestas en la naturaleza. Y no importa si señalas con el dedo a LastPass o a cualquier otra cosa. Si alguien tiene una contraseña desde hace más de un año, probablemente se esté poniendo en peligro a sí mismo y a la empresa.
También es hora de replantearse el uso de gestores de contraseñas. ¿Quieres depositar tanta confianza con todas tus contraseñas en manos de un solo proveedor? Hubo un tiempo, hace unos 5-7 años, en el que era muy cómodo y seguro utilizar gestores de contraseñas. Pero la brecha de LastPass demostró que incluso los "sistemas infalibles" más cómodos y seguros tienen fallos y también pueden ser pirateados.
Gestionar el acceso de los empleados
Yendo un paso más allá, asegúrese de realizar una formación continua de los empleados para ayudar a sus equipos a evitar ser engañados por tácticas de phishing y malware. El comportamiento de los usuarios en las organizaciones ha demostrado una y otra vez ser una vulnerabilidad significativa para las organizaciones, que a menudo conduce a credenciales expuestas.
Al menos dos estudios sobre filtraciones de datos durante 2022 concluyeron que los errores o equivocaciones de los empleados causaron el 88% o el 95% de las filtraciones de datos. Usted elige qué cifra cree. En cualquier caso, es un porcentaje demasiado alto para ignorarlo, y es probable que aumente a menos que las organizaciones se replanteen cómo proporcionan y gestionan el acceso a sus sistemas críticos. A menudo, demasiados empleados tienen acceso a cosas que realmente no necesitan.
¿Y la seguridad en la nube?
Las organizaciones también deben comprender mejor quién puede acceder a los activos corporativos en la nube. En teoría, la seguridad en la nube debería ser más sólida, ya que algunas de las mejores organizaciones empresariales la gestionan. Pero pueden producirse brechas, incluso dentro de esas organizaciones, como ocurrió en mayo de 2022 en AWS.
En su entorno de nube, la supervisión del acceso también debe ser una prioridad. La gestión de permisos y niveles de permiso puede complicarse con contratistas y problemas de aprovisionamiento, y potencialmente cientos de capas de funcionalidad, cada una con su propia capa de permisos. Limitar el acceso es importante no sólo para mejorar la seguridad, sino también para reducir costes. ¿Por qué pagar por el acceso de personas que no lo necesitan o no deberían tenerlo?
Entre las empresas de mi cartera hay una compañía de seguridad empresarial que está ayudando a perfeccionar exactamente cómo automatizar la gestión del acceso para entornos en la nube y aplicaciones SaaS. Su modus operandi consiste en determinar qué empleados o contratistas tienen acceso a qué sistemas y proyectos, y permitir el aprovisionamiento y la gestión continuos de los mismos. La solución puede eliminar rápidamente a los empleados que ya no lo son o a los contratistas que ya no están en el proyecto, lo que mejora la seguridad y reduce los costes. Todo ello garantizando al mismo tiempo que los usuarios sólo tengan el acceso que necesitan para hacer su trabajo. Confío en que los esfuerzos en este sentido se conviertan en algo cada vez más habitual.
Más allá de limitar el acceso, reducir el error humano también disminuirá las oportunidades de un ataque de ciberseguridad a su organización. Esto requiere una formación continua sobre phishing, ciclos de contraseñas y comportamiento en la navegación web, entre otros temas. Tomar estas precauciones proactivas dentro de su organización puede reducir los errores humanos que conducen a violaciones de datos de ciberseguridad.
La consolidación impulsa el progreso
Aunque parecía que el año 2022 iba a ser bastante flojo en cuanto a rondas de crecimiento y salidas para las empresas de ciberseguridad, un aumento tardío de la inversión en el cuarto trimestre dio lugar a un escenario de inversión mejor de lo esperado, según un estudio.
El año que viene podría ser testigo de la consolidación de las empresas de ciberseguridad y gestión de datos. A medida que los mercados financieros empiecen a recuperarse y las grandes empresas adquieran más confianza, es posible que se sientan más inclinadas a comprar la tecnología avanzada que proporciona el mundo de las startups, probablemente a múltiplos más bajos que los que se podían alcanzar hace unos meses. Y con la consolidación del mercado, los CISO pueden ver cierto alivio a medida que las relaciones puntuales se reúnen en uno de los proveedores más grandes. Esto sería bueno para el mundo de las startups, y más aún para los ejecutivos de seguridad que buscan reducir el número de relaciones con proveedores que tienen que gestionar.
El año que viene se presenta prometedor. Adoptando una actitud proactiva a la hora de restablecer las contraseñas, replanteando las estrategias de gestión de contraseñas, mejorando los conocimientos de ciberseguridad de los empleados y limitando quién tiene acceso a qué y cuándo, puede que consigas protegerte mejor contra algunos de los nefastos ataques que 2023 podría depararnos.
Fuente: CIO
Comments