RSA: Las Mesas de Ayuda, la mayor amenaza a la seguridad

Una nueva investigación patrocinada por RSA identifica a la “Ingeniería Social” a la cabeza de las amenazas para la seguridad en las mesas de ayuda y/o equipos de soporte técnico TI en las empresas.

•RSA dio a conocer los resultados de una encuesta realizada por el Instituto SANS sobre la seguridad y la privacidad en las mesas de ayuda.

•Entre los encuestados, se incluyeron más de 900 profesionales de TI de todo el mundo de distintos sectores, como el sector gubernamental, financiero, educativo, salud, TI y telecomunicaciones.

•69 % de los encuestados citaron la ingeniería social como la mayor amenaza para la seguridad de las mesas de ayuda, mientras que casi 27 % de los encuestados afirmaron que tienen políticas de seguridad débiles para las mesas de ayuda.

•43 % de los encuestados no computan el costo de un incidente de seguridad al establecer el presupuesto de la mesa de ayuda sino que, por el contrario, los presupuestos se determinan en función de la cantidad de usuarios.

RSA, la División de Seguridad de EMC, anunció los resultados de un nuevo informe realizado por el Instituto SANS que analiza las amenazas y los problemas de privacidad que enfrentan las mesas de ayuda en la actualidad. Con la participación de más de 900 profesionales de TI de todo el mundo, la encuesta sobre seguridad y privacidad patrocinada por RSA en las mesas de ayuda de 2013 realizada por el Instituto SANS identifica las vulnerabilidades más habituales de la mesa de ayuda y ofrece orientación destinada a ayudar a las organizaciones a abordar estos temas críticos.   Los resultados de la encuesta incluyen los resultados de los procesos, los procedimientos y los comportamientos del personal de la mesa de ayuda de las organizaciones que generan posibles repercusiones sobre la seguridad de la empresa. En general, los usuarios se ponen en contacto con las mesas de ayuda para solicitar asistencia para abordar problemas habituales de TI, como restablecimiento de contraseñas y problemas de conectividad y aplicaciones. A menudo, el desempeño de los empleados de la mesa de ayuda se mide en función de la velocidad con la que atienden a las personas que llaman y resuelven sus problemas. Lamentablemente, en muchos casos, la seguridad no desempeña un papel importante en el proceso y, en consecuencia, las mesas de ayuda se han convertido en un punto de entrada no planeado para los hackers y los miembros del personal interno malintencionados que intentan obtener acceso a recursos empresariales confidenciales. La seguridad débil en las mesas de ayuda de las empresas se origina por la falta de capacitación, los procesos desorganizados y el “excesivo servicio”

El  69 % de los encuestados identificó la ingeniería social como la mayor amenaza para la seguridad de las mesas de ayuda dentro de la encuesta patrocinada por la RSA.  Sin embargo, la mayoría de las organizaciones todavía emplea información personal básica, como el nombre, la ubicación y el número de ID del empleado, para verificar las identidades de las personas que llaman a la mesa de ayuda; y dicha información se puede utilizar fácilmente por un impostor.  Asimismo, muchos empleados de la mesa de ayuda omiten los controles de seguridad en un esfuerzo por brindar más servicios a las personas que llaman. Además del componente humano, la falta de capacitación, herramientas y tecnología también desempeña una función clave en la seguridad general de las mesas de ayuda. Más del 51 % de los encuestados afirman que tienen un enfoque moderado hacia la seguridad de la mesa de ayuda como parte de sus controles de seguridad empresariales integrales, pero no se centran necesariamente en las capacitaciones ni en incorporar tecnologías adicionales para las actividades diarias.  Como la mayoría de los presupuestos se determina en función de la cantidad de usuarios a los que se presta servicios, en vez del costo por llamada o, incluso, del costo de las posibles violaciones de seguridad, puede resultar extremadamente difícil establecer el retorno de la inversión (ROI) para los nuevos procesos, la capacitación adicional y las herramientas para brindar asistencia técnica diaria.

Los resultados adicionales incluyen lo siguiente:

•44 % de los encuestados ubicaron la verificación de los usuarios que llaman como una amenaza mucho mayor en comparación con los usuarios de autoservicio (11 %).

•Solo 10 % de quienes contestaron la encuesta patrocinada por la RSA indicaron que sus prácticas de seguridad son sólidas.

•Casi 43 % de los encuestados no computan el costo de un incidente de seguridad al establecer el presupuesto de la mesa de ayuda sino que, por el contrario, los presupuestos se determinan en función de la cantidad de usuarios. La mesa de ayuda sigue siendo el método preferido de los empleados para resolver problemas de TI básicos.

Su finalidad esencial consiste en brindar un mejor servicio para los usuarios y, en consecuencia, el personal de la mesa de ayuda puede tener privilegios excesivos, lo que la convierte en un objetivo atractivo para los ingenieros sociales y los hackers técnicos que intentan acceder a las redes.  Para cerrar la brecha de las vulnerabilidades de la mesa de ayuda, las organizaciones deben rediseñar su enfoque para cumplir los requisitos de practicidad para los usuarios, al mismo tiempo que les brindan protección contra las amenazas. Las prácticas recomendadas incluyen lo siguiente:

•Opciones de automatización y autoservicio para los problemas habituales de los usuarios, como restablecimiento de contraseñas, para ayudar a reducir los errores y las vulnerabilidades que conllevan a la consecución de violaciones y robos de datos.

•Capacitación sólida y continua para el personal de la mesa de ayuda a fin de que aprendan cómo detectar posibles ataques de ingeniería social y cómo actuar ante ellos.

•Herramientas avanzadas que aprovechan fuentes de datos dinámicos y nuevos métodos de autenticación a fin de identificar con mayor precisión a los usuarios y sus ubicaciones.

Fueron las principales conclusiones de la encuesta patrocinada por la RSA