Miles de empresas en el mundo no están preparadas para ofrecer garantías a un home office masivo y, prácticamente, forzado por la pandemia de coronavirus. Y, es que cuentan con infraestructuras VPN pequeñas y ancho de banda y dispositivos insuficientes.
La necesidad de productividad y la celeridad con que se han producido los acontecimientos genera que haya más probabilidades de que los equipos TI ignoren o pasen por alto las políticas de seguridad existentes, lo que implica numerosos riesgos, tanto en el corto como en el largo plazo.
Además, ya ha habido muchos casos en los que se ha atacado con éxito a trabajadores remotos, sobre todo en compañías que exponen los servicios del Protocolo de Escritorio Remoto (RDP) directamente a Internet, que pueden ser el punto de entrada de los ciberdelincuentes. De hecho, la semana pasada, un grupo de investigadores de Bitdefender advirtió que un grupo de robo de credenciales añadió un nuevo módulo a su arsenal para lanzar ataques a estos sistemas.
Para limitar estos riesgos no hay mejor enfoque que el llamado zero trust, en el que el acceso a aplicaciones comerciales se realiza a través de una puerta de enlace segura siguiendo estrategias de privilegios mínimos y con multifactor de autenticación. Dichos sistemas son más escalables que las VPN y pueden integrarse fácilmente con las plataformas existentes de inicio de sesión único y permiten políticas de control de acceso granular que definen quién puede acceder a qué dispositivo.
Muchas compañías ya estaban considerando cambiar el modelo de seguridad a zero trust antes de que estallara la crisis.
Una encuesta pone de relieve que el 31% de las firmas ya lo están considerando, el 19% está en fase de adopción y el 8% ya lo ha implementado. Aunque, llegar a una implementación total no es fácil.
Requiere un enfoque gradual que incluya programas piloto, recopilar métricas, ajustar las políticas de acceso, asegurarse de que varios productos se integren sin problemas, realizar cambios en los flujos de datos internos y capacitar a los empleados.
Para lograrlo, los expertos recomiendan hacer una distinción clara entre los dispositivos administrados que dan a sus empleados y los personales no administrados que algunos trabajadores pueden usar para acceder a las aplicaciones de la compañía.