Colaboración y los 4 errores de seguridad más frecuentes 

Las aplicaciones de colaboración en línea se han vuelto críticas para los negocios.

Sin embargo, muchas organizaciones no han corregido los errores de seguridad que cometieron al apresurarse a implementar estas herramientas al comienzo de la pandemia.

Por Linda Rosencrance | Original de IDGN

 

Antes de la pandemia, el mundo de los negocios daba por sentado que la gran mayoría de los trabajadores del conocimiento trabajarían en oficinas corporativas la mayor parte del tiempo. 

Sin embargo, en el mundo posterior a la pandemia, muchos empleados pueden trabajar desde cualquier lugar, en cualquier momento y en cualquier dispositivo con conexión a Internet.

Cuando los mandatos de trabajo en casa de COVID-19 entraron en vigencia en todo el mundo a principios de 2020, las organizaciones se apresuraron a adoptar herramientas de colaboración en línea. 

Con capacidades que van desde conferencias de voz y videoconferencia hasta coautoría de documentos y seguimiento de proyectos, estas herramientas ayudaron a los equipos a: c

• Comunicarse
• Trabajar juntos 
• Y compartir actualizaciones sobre diversos proyectos 
• E iniciativas desde casa o en cualquier otro lugar

Si bien algunas empresas ahora están alentando o incluso exigiendo un retorno al trabajo en la oficina,  para muchos empleados las herramientas de colaboración siguen siendo cruciales para las operaciones comerciales. 

El rol de la colaboración en el trabajo hibrido

Doug Glair, director de ciberseguridad de investigación tecnológica y publicidad, señaló que estas herramientas se han convertido en una parte fundamental de hacer negocios con personas que trabajan en múltiples ubicaciones. 

Y esto es así tanto dentro de las empresas como externamente con clientes, proveedores y otros terceros. 

El ejecutivo resaltó que las empresas – como tal – deben asegurarse de que sus herramientas de colaboración sean resistentes, fáciles de usar y seguras, dado su valor crítico para el negocio.

Empero, los expertos señalan que, a pesar de que las organizaciones han estado utilizando herramientas de colaboración durante varios años, siguen cometiendo los mismos errores de seguridad que en los primeros días de la pandemia.

Avani Desai, CEO de Schellman, una firma de evaluación de ciberseguridad explicó que, una de las principales razones para esta persistencia es que las herramientas de colaboración, a menudo, se desarrollan dentro de las unidades de negocio y no en toda la empresa. 

“Tal vez quiero usar Asana, y alguien más quiere usar SharePoint. Mientras alguien más quiere usar Jira y el equipo ejecutivo quiere usar otra herramienta. Es por ello que el acceso de usuario no se otorga a nivel empresarial”, explicó. 

Subrayó que el acceso de los usuarios ha sido un problema durante años. “Y sigue siendo un problema”.

Elementos centrales y periféricos 

El analista de Gartner Patrick Hevesi estuvo de acuerdo con la evaluación de Desai. 

“Digamos que su estándar corporativo es Microsoft 365, o G Suite, o lo que sea. Pero alguien más en la compañía quiere usar Slack. La gente está agregando más herramientas de colaboración sin la autorización del equipo de seguridad de TI”, refirio. 

Además, las organizaciones suelen centrarse en la productividad cuando adoptan plataformas de colaboración como: 

• Microsoft Teams
• Slack
• Box
• Dropbox 
• GitHub
• Jira
• Asana y otras 

Jay Martin, líder de prácticas de seguridad en la firma de servicios gestionados GreenPages Technology Solutions, señala que proteger estas plataformas, las comunicaciones y los datos que se comparten suele ser una idea de último momento, si es que se piensa en ello.

“Hacerlos más seguros es esencial para proteger a la organización de los actores de amenazas que buscan un punto de entrada a información patentada, datos financieros, propiedad intelectual y más”, puntualizó.

IDG pidió a los analistas de la industria tecnológica, proveedores de servicios de TI y consultores de seguridad que nombraran los mayores errores de colaboración que todavía ven que las organizaciones cometen hoy en día. 

Se les consultó, también, qué hacer al respecto. 

Aquí están sus consejos.

No centralizar gobernanza en las herramientas de colaboración

Si las organizaciones no proporcionan acceso a herramientas de colaboración examinadas, los empleados – probablemente –  encontrarán las suyas propias y usarán soluciones inseguras. 

Así lo advierte Sourya Biswas, directora técnica de gestión de riesgos y gobernanza de la consultora de seguridad NCC Group. 

“Por lo tanto, si bien es importante que las organizaciones adopten la colaboración digital, al mismo tiempo deben evitar la instalación y el uso de herramientas no aprobadas”. 

Explicó que esto se logra a través de mecanismos como el acceso restringido de administradores locales y soluciones de navegador administradas.

Incluso cuando las herramientas de colaboración se examinan y aprueban, las organizaciones deben conocer las diferentes plataformas de colaboración a las que cada empleado puede acceder para evitar la filtración de datos confidenciales. 

Michael McCracken, director senior.  de soluciones de usuario final en SHI International – un revendedor de productos y servicios tecnológicos – explicó que, de esta manera, se evita proporcionar nuevos vectores de ataque para los malos actores.

Además, TI necesita mantener un control central sobre estas herramientas, según AJ Yawn, socio de asesoría de aseguramiento de riesgos en Armanino, una firma independiente de consultoría de contabilidad y negocios. 

“Si alguien es despedido, ¿las personas que hacen la baja saben que deben eliminar el acceso de estas herramientas, o esos [ex empleados] todavía tienen acceso a [datos confidenciales de la empresa]?”

Uso de métodos inseguros para compartir archivos

Muchas organizaciones utilizan métodos inseguros para compartir archivos, dijo Desai de Schellman. 

Dos ejemplos son los archivos adjuntos de correo electrónico sin cifrar y el uso compartido de archivos públicos. Ello pasa con las herramientas de colaboración sin cifrado incorporado. 

“El uso de métodos inseguros para compartir archivos es una preocupación de seguridad porque puede conducir a fugas de datos”. 

Desai aconsejó a las empresas utilizar sólo plataformas seguras de intercambio de archivos con cifrado.

Además, en su opinión, Las organizaciones también deberían implementar protocolos seguros de transferencia de archivos. 

“El correo electrónico debe tener lo que llamamos TLS la capa de seguridad de transporte, lo cual es como el cifrado dentro de la transferencia”.

No llevar a cabo la debida diligencia con consultores y proveedores de servicios

Si bien los principales proveedores de colaboración ofrecen características de seguridad sólidas, a menudo depende de quienes implementan y administran el software asegurarse de que esté configurado para la máxima seguridad. 

En muchos casos, especialmente en las empresas más pequeñas, las organizaciones recurren a consultores de TI o proveedores de servicios para estos servicios. 

A pesar de la creciente conciencia de la seguridad de la colaboración, los consultores y proveedores  terminan – aun – cometiendo errores que ponen en riesgo los datos de sus clientes. 

Así lo afirma, Kunal Purohit, director de servicios digitales de Tech Mahindra, una consultora de servicios y consultoría de TI.

En su opinión, estos errores incluyen controles de acceso inadecuados tales como: 

• Permitir compartir contraseñas u otorgar privilegios excesivos 
• Descuidar la aplicación de medidas de autenticación sólidas, como la autenticación de dos factores
• Y no actualizar ni el software ni los sistemas

Otro error que cometen los consultores y proveedores de servicios es no cifrar la información confidencial durante la transmisión y/o el almacenamiento. 

“Además, la falta de auditorías y evaluaciones de seguridad regulares expone aún más a las organizaciones a riesgos”, asegura Purohit.

Establecer la letra pequeña 

Aconsejó a las las emoresas que realicen una diligencia debida exhaustiva antes de contratar a consultores o proveedores. 

Esto incluye verificar que estos terceros tengan un historial comprobado de implementación de medidas de seguridad sólidas. 

“Las organizaciones deben definir claramente sus requisitos y expectativas de seguridad e incluirlos en los acuerdos contractuales con los consultores o proveedores de servicios”, dijo.  

Además de esto, en su opinión, las empresas deben auditar y evaluar la  seguridad de manera periódica. 

Esto permite identificar cualquier vulnerabilidad o incumplimiento.

Por supuesto, las organizaciones deben hacer cumplir estrictos controles de acceso, proporcionando a los consultores y proveedores de servicios privilegios limitados en función de sus necesidades específicas, según Purohit. 

Y, sobre todo, deben establecer canales de comunicación claros con ellos para informar con prontitud  incidentes de seguridad o violaciones.

No garantizar que los empleados utilicen conexiones de internet seguras

Biswas de NCC destacó que la capacidad de colaborar desde cualquier parte del mundo con una conexión a Internet abre la posibilidad de que los empleados se conecten a puntos de acceso inalámbrico inseguros en lugares públicos como cafeterías y aeropuertos.

Tal cosa, afirmó, compromete cualquier dato que fluya a través de la conexión.  

Explicó que las redes privadas virtuales, los servicios de borde para  acceso seguro y las herramientas de ingreso a la red de confianza cero abordan este riesgo. 

Rahul Mahna, socio de EisnerAmper que dirige el equipo de servicios de TI subcontratados, estuvo de acuerdo. 

Destacó que, ahora que todo el mundo ha vuelto a viajar, la gente está utilizando el Wi-Fi gratuito que está disponible en:

• La calle
• En sus habitaciones de hotel 
• Y en los centros de conferencias 
• Para volver a conectarse a sus herramientas de colaboración

“Y esos están llenos de problemas de seguridad.  Siempre le digo a la gente que la conexión más segura es la conexión a tu teléfono, porque la seguridad de tu operador es mucho mejor que cualquier seguridad que puedas obtener con Wi-Fi gratis”.

No hay tiempo que perder

La colaboración es la moneda que impulsa el lugar de trabajo hoy en día, en opinion de Kris Lovejoy, líder de práctica global, seguridad y resiliencia, en Kyndryl, un proveedor de servicios de infraestructura de TI. 

La pandemia cambió la forma en que trabajan las empresas ya que el aumento de la digitalización ayudó a mantener el comercio global avanzando. 

Pero también amplió el área de superficie para la cual se podrían llevar a cabo posibles ataques cibernéticos.

“Hoy en día, no se trata de si, sino de cuándo, los malos actores atacarán”, dijo. “Desde el punto de vista de la seguridad, las herramientas de colaboración aumentan el panorama de amenazas”, enfatizó. 

Asegura que esto crea un desafío creciente desafío pero, también, presenta una oportunidad para que las empresas adopten una nueva forma de pensar sobre las amenazas. 

“Es por eso que es fundamental realinearse hacia un futuro ciberresiliente”, concluyó.