Los servicios de asistencia se han convertido en un punto de entrada para los atacantes que buscan acceder a recursos empresariales confidenciales, debido a que los empleados omiten los controles de seguridad en un esfuerzo por brindar más servicio a las personas que llaman, según revela una encuesta de RSA.
RSA publicó los resultados de una encuesta realizada por el Instituto SANS entre más de 900 profesionales encargados de ofrecer servicios de asistencia, de la que se desprende la falta de controles de seguridad de este tipo de servicios.
En general, los usuarios se ponen en contacto con los servicios de asistencia solicitando ayuda para resolver problemas habituales de TI, como restablecimiento de contraseñas y problemas de conectividad y aplicaciones. A menudo, el rendimiento de los empleados del servicio se mide en función de la velocidad con la que atienden a las personas, por lo que, en la mayoría de los casos, la seguridad pasa a un segundo plano. En consecuencia, los servicios de asistencia se han convertido en un punto de entrada no planeado para los hackers y los miembros del personal interno malintencionados que intentan obtener acceso a recursos empresariales confidenciales.
Según la encuesta, 69 por ciento de los encuestados identificó la ingeniería social como la mayor amenaza para la seguridad de los servicios de asistencia. Sin embargo, la mayoría de las organizaciones emplea información personal básica, como el nombre, la ubicación y el DNI, para verificar las identidades de las personas que llaman al servicio de asistencia, información que puede ser utilizada fácilmente por un impostor. Asimismo, muchos empleados del servicio omiten los controles de seguridad en un esfuerzo por brindar un mejor servicio a las personas que llaman.
Además del componente humano, la falta de capacitación, de herramientas y de tecnología también influye en la seguridad de los servicios de asistencia. Más de 51 por ciento de los encuestados afirman que tienen un enfoque moderado hacia la seguridad del servicio de asistencia como parte de sus controles de seguridad empresariales, pero no se centran en formar a los empleados ni en incorporar tecnologías adicionales para las actividades diarias. Sólo 10 por ciento de los encuestados indicaron que sus prácticas de seguridad son sólidas.
A la vista de estos resultados, RSA señala que, para cerrar la brecha de las vulnerabilidades del servicio de asistencia, las organizaciones deben rediseñar su enfoque para cumplir los requisitos de practicidad para los usuarios, al tiempo que les brindan protección contra las amenazas. Para ello se les recomienda que empleo de opciones de automatización y autoservicio para los problemas habituales de los usuarios, como restablecimiento de contraseñas; proporcionar una formación sólida y continua al personal del servicio de asistencia, a fin de que aprendan a detectar posibles ataques de ingeniería social y saber actuar ante ellos; e incorporar herramientas avanzadas que aprovechen fuentes de datos dinámicos y nuevos métodos de autenticación, a fin de identificar con mayor precisión a los usuarios.
