CIBERSEGURIDAD

Brindar a los CISO las herramientas para medir y mejorar la seguridad de las contraseñas.

0 79 4 minutos de lectura

Por Gerald Beuchelt, CISO de LogMeIn



A pesar del crecimiento bien publicitado de los ataques cibernéticos cada año, tanto en número como en complejidad, las empresas todavía están luchando por implementar políticas de seguridad efectivas. No es ningún secreto que las contraseñas débiles son una de las principales amenazas a la seguridad y que los malos hábitos de contraseñas son demasiado comunes.

Sin embargo, las empresas están luchando por cuantificar su propio nivel de riesgo de contraseñas, incluso aquellas que utilizan administradores de contraseñas. ¿Por qué? Carecen de pruebas de la eficacia de sus políticas. Les falta visibilidad sobre el comportamiento de sus empleados. Y no pueden verificar cómo se comparan con otros de tamaño, industria o ubicación similares, incluidos los competidores.

Es por eso que nos esforzamos por analizar los hábitos de uso de contraseñas de los empleados en 43.000 organizaciones de todos los tamaños y en todas las industrias que utilizan el administrador de contraseñas de LastPass. El informe no solo revela los comportamientos reales de las contraseñas en el lugar de trabajo, sino que ofrece el primer punto de referencia real que los CISO y otros profesionales de TI pueden utilizar para ver cómo se clasifican en comparación con otras empresas similares y cómo mejorar la seguridad de sus contraseñas.

Las credenciales débiles, reutilizadas, antiguas y potencialmente comprometidas abren a las organizaciones a innumerables riesgos que podrían evitarse fácilmente. Nuestros datos muestran que la mayoría de las empresas se están desempeñando en la mitad del camino (un promedio de 52 de cada 100) para la seguridad de las contraseñas, lo que demuestra la necesidad de políticas y capacitación más efectivas para mejorar la seguridad general. El riesgo de contraseñas afecta a las empresas independientemente del tamaño, la industria y la ubicación, pero es algo en lo que todas las organizaciones pueden trabajar para lograr un lugar de trabajo más seguro.

Cuanto más grande es la empresa, mayor es el riesgo

En una encuesta de 43,000 organizaciones, encontramos que cuanto más grande es la empresa, menor es su puntaje de seguridad en promedio. Las organizaciones que usan LastPass con 25 empleados o menos demostraron el puntaje de seguridad promedio más alto de 50, pero ese puntaje cae a medida que aumenta el tamaño de la empresa, hasta cierto punto. Las organizaciones con más de 500 empleados mostraron puntajes estancados, compartiendo desafíos similares para mejorar la higiene de las contraseñas, independientemente de si tenían 1,000 empleados o 10,000. Estas organizaciones más grandes hacen que sea más desafiante para TI mantener a todos los empleados con los estándares de seguridad de contraseñas, lo que aumenta las oportunidades de comportamientos peligrosos de contraseñas.

Aún así, eso no significa que las organizaciones más grandes estén más allá de la ayuda: algunas de las empresas con mejor desempeño en general fueron grandes empresas, lo que demuestra que el tamaño es simplemente un factor que los profesionales de TI deben tener en cuenta al implementar políticas de seguridad. Cuanto más grande es la organización, más difícil es abordar ciertos desafíos, desde los presupuestos hasta los trámites burocráticos. Las empresas más pequeñas aún enfrentan desafíos similares, solo que a menor escala. A pesar de tener menos recursos, es más sencillo garantizar contraseñas casi perfectas y autenticación multifactor para todos los empleados cuando la base de empleados es más pequeña.

El uso compartido de contraseñas proporciona el ejemplo perfecto para un desafío que aumenta en escala con empresas más grandes. En promedio, cualquier empleado comparte unas seis contraseñas con sus compañeros de trabajo. Imagínese el impacto en una empresa con 100 empleados. Ahora imagine lo mismo para una empresa con más de 10,000 empleados. El intercambio de contraseñas es frustrante tanto para los empleados como para los administradores de TI, ya que los usuarios recurren al uso de contraseñas débiles pero memorables que presentan posibles puertas traseras al negocio. A medida que los equipos se vuelven más distribuidos y dependientes de la tecnología, la capacidad de proteger, rastrear y auditar contraseñas compartidas es más complicada, y más necesaria, que nunca.

Los desafíos de seguridad abarcan todas las industrias y el mundo

Las organizaciones tecnológicas y sin fines de lucro lograron los puntajes de seguridad más altos, con los minoristas y los seguros a la zaga. Dada la necesidad de cumplir con las leyes de privacidad y datos y el conocimiento tecnológico de esta industria, no sorprende que las empresas de tecnología lideren el camino. Aun así, otras industrias fuertemente reguladas como la banca, la salud, los seguros y el gobierno, todas frecuentemente atacadas por atacantes de ciberseguridad, demostraron puntajes de seguridad más bajos, revelando una oportunidad para que estas industrias se comprometan con una seguridad de contraseña más efectiva.

Con una reputación de seguridad y la adopción de estándares como el Reglamento General de Protección de Datos (GDPR), las empresas en Alemania se ubicaron por encima del promedio mundial en términos de puntaje de seguridad, seguidas de cerca por los Países Bajos. El Reino Unido se queda atrás en el sexto lugar, por lo que a pesar de que el país tiene un buen número de países de alto desempeño, tenemos mucho trabajo por hacer en general. En particular, el Reino Unido lidera a otros países europeos en la adopción de la autenticación multifactor, pero aún ocupa un lugar mucho más bajo que Estados Unidos. El diez por ciento de las empresas que utilizan la autenticación multifactor se encuentran en el Reino Unido, mientras que alrededor del 63 por ciento tienen su sede en los EE. UU. Es evidente que, a pesar del uso creciente de esta tecnología en general, muchos países todavía son lentos en adoptar esta tendencia de seguridad.

Mejorar la seguridad general es un trabajo en progreso, pero sin importar el tamaño, la industria o la ubicación, todas las organizaciones pueden tomar medidas hacia una administración de contraseñas más eficiente, y ya estamos viendo una selección positiva de empresas que hacen algo por las contraseñas. Descubrimos que un año después de implementar un administrador de contraseñas, la mayoría de las empresas aumentaron su puntaje de seguridad en un promedio de casi 15 puntos. Para las empresas que buscan implementar un administrador de contraseñas o que intentan medir la seguridad de sus propias contraseñas para los informes de la junta, este informe debería servir como un punto de referencia útil, ofreciendo metas realistas y mejores prácticas.

A medida que más y más empresas implementan políticas BYOD, abriendo las redes a dispositivos y aplicaciones no autorizados, los CISO y otros líderes de TI deben cambiar su forma de pensar sobre la seguridad de las contraseñas. La visibilidad es clave: no puede medir la seguridad a menos que tenga un sistema que proporcione información sobre las posibles áreas de riesgo. La implementación de un administrador de contraseñas no solo mejorará la seguridad, sino que también aumentará la productividad, la percepción de la marca y la satisfacción de los empleados, ya que las organizaciones están mejor equipadas para afrontar los desafíos futuros de forma segura.

Publicaciones relacionadas

Los piratas de Buhtrap golpean a los tipos de los bancos rusos; cebo phish funciona muy bien

Un nuevo estudio global revela que los consumidores están felices de compartir sus datos

Los huéspedes del hotel MGM se enfrentan a una fuga de datos

Nunca es demasiado temprano: el estudio BSIMM8 de Synopsys promueve la evaluación comparativa en las primeras etapas de las iniciativas de seguridad del software

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Botón volver arriba
Cerrar