Por lo tanto, creo que IAM

«Pienso, luego existo». – René Descartes

No se trata de una pomposa propuesta filosófica de autonomía, sino de un oportuno consejo para garantizar la ciberseguridad de las empresas. Descartes se adelantó a su tiempo. La gestión de identidades y accesos (IAM) desempeña un papel importante en la seguridad de la infraestructura informática, ya que mitiga el riesgo de ciberataques externos y amenazas internas. Cualquier empresa que piense seriamente en proteger la información sensible de sus empleados o clientes debería implementar una IAM adecuada.

Eso es información privilegiada:

Los fundamentos de IAM se pueden definir simplemente a través de la palabra: privilegio. Los usuarios sólo deben tener acceso a una cuenta con un conjunto predeterminado de privilegios. No le darías a tu paseador de perros acceso a tu agenda telefónica, así que ¿por qué dar al equipo de ventas acceso a los datos de RRHH? Al proporcionar privilegios específicos a las personas en función de lo que necesitan para hacer su trabajo, las empresas podrían reducir significativamente el riesgo potencial de que los datos caigan en manos equivocadas.

Todd Peterson, evangelista de IAM en One Identity, ha esbozado lo que él llama una «regla de oro» de IAM privilegiada. Los equipos de seguridad informática deben proporcionar el «menor acceso y privilegios» posibles. Incluso sin adoptar un enfoque de «confianza cero», se debe restringir el acceso sólo cuando sea necesario. Si puede, mantenga los datos sólo en su red local. Si es posible, proporcione acceso a terceros sólo a través de una conexión segura, como una VPN». Al garantizar que los usuarios no tienen vía libre para acceder a los datos sensibles, se dan los primeros pasos para proporcionar un entorno seguro de protección de datos.

«Su contraseña es demasiado débil»:

Una vez establecido el acceso privilegiado, la siguiente fase es asegurarse de que estas cuentas son seguras. El primer paso para ello es abordar la seguridad de las contraseñas. Las contraseñas débiles son sorprendentemente comunes, sobre todo porque los individuos tienen una presencia cada vez mayor en Internet. Puede resultar molesto o incómodo utilizar múltiples y complejas contraseñas en una serie de sitios de redes sociales, cuentas bancarias en línea y portales corporativos. Esto conduce a la apatía en el lugar de trabajo, ya que los empleados tratan de aumentar la comodidad mediante el uso de contraseñas simples. Sin embargo, aunque son fáciles de recordar, las contraseñas cortas son fáciles de descifrar. No importa que sean pocas las personas que tengan acceso a datos sensibles, si utilizan contraseñas débiles como nombres de mascotas, equipos deportivos favoritos o cumpleaños, estas cuentas se vulneran fácilmente.

«Como la mayoría de las empresas tienen una cuenta administrativa con un poder casi ilimitado, es aconsejable tener en cuenta quién tiene acceso a ella. Sería prudente introducir una política en toda la empresa para evitar la práctica de compartir contraseñas, especialmente cuando se trata de cuentas administrativas que tienen altos niveles de acceso», explica Peterson. «Las empresas deberían procurar cambiar las contraseñas con regularidad y compartirlas sólo con los pocos privilegiados que requieren acceso regularmente».

En general, las contraseñas deben tener más de 10 caracteres, incluyendo una combinación de mayúsculas, números y caracteres especiales que no deletreen palabras de uso común. En el caso de las empresas, las mejores prácticas de seguridad deberían consistir en asegurarse de que las contraseñas están aseguradas con protección criptográfica, y no garabateadas en una nota adhesiva.

La autenticación multifactorial es la clave

Un paso adicional para garantizar la seguridad es la autenticación multifactor (MFA). Esto significa que incluso si la contraseña y el nombre de usuario se ven comprometidos, los datos sensibles permanecen protegidos. Hay varias capas de MFA disponibles, cada una de las cuales ofrece distintos rangos de posibilidades de seguridad. Una de las opciones más sencillas se utiliza a diario en nuestros ordenadores. Al pulsar alt, control y suprimir antes de iniciar sesión en nuestros PCs de trabajo, demostramos que estamos en el lugar físico, y no un bot o un hacker externo. Otra posibilidad es que las empresas vinculen los teléfonos o tabletas del trabajo a las cuentas, asegurándose de que la persona que intenta acceder a la información está en posesión de un dispositivo específico, con capacidad para iniciar sesión.

Aunque pueda parecer algo sacado de una película de ciencia ficción, la introducción de identificadores biométricos como la huella dactilar, el patrón de escritura y el reconocimiento de voz se están convirtiendo en métodos de AMF cada vez más asequibles y aplicables. De hecho, la mayoría de nosotros tenemos identificadores biométricos en nuestros bolsillos, ya que los teléfonos móviles están empezando a utilizar la informática forense. El uso de la geolocalización es otro método de AMF muy útil, ya que puede hacer saltar las alarmas inmediatamente si se intenta iniciar una sesión desde otro país o lugar.

En conclusión, la implementación de IAM es sencilla. Todas las empresas deberían adoptar un enfoque activo y holístico para proteger los datos. Es importante reflexionar sobre la política, especialmente cuando se trata de proteger la información personal. En caso de duda, recuerde: ¿qué haría Descartes? Piensa: IAM.