El uso de los dispositivos personales en el lugar de trabajo, los equipos dispersos geográficamente y el auge de las redes sociales están teniendo un enorme impacto sobre la forma en la que las personas comparten la información corporativa, lo que plantea graves problemas para la seguridad de los datos. Quest Software, ahora parte de Dell, encargó recientemente un estudio a Vanson Bourne sobre los CIOs, y halló que las actuales políticas de seguridad de la información están fracasando a la hora de proteger la información de negocio crítica, dado que los procesos de gestión de identidades y accesos no han sido actualizados para cubrir las nuevas necesidades de los empleados, lo que deja a las empresas expuestas a graves riesgos.
Por otro lado, la investigación revela que el 65 % de los CIOs europeos cree que los empleados comparten los datos de la forma más rápida y sencilla, normalmente pasando por alto la política de TI, y tienen muy poco en cuenta la protección de la información corporativa crítica. El 69 % también está de acuerdo en que las organizaciones y los empleados deberían responsabilizarse más respecto a cómo se comparten, almacenan y gestionan los datos corporativos. Debido a los significativos riesgos de seguridad, financieros y para la reputación que supone la pérdida de datos, la gestión de identidades y accesos es una prioridad para tres cuartas partes de las organizaciones europeas en 2013 (76 %). Quest ofrece una guía de buenas prácticas para resolver los siguientes problemas de seguridad:
- Incremento de las brechas de seguridad
Los CIOs europeos señalan que la información sobre el personal (42 %), los clientes (33 %) y recursos humanos (31 %) son algunos de los datos más compartidos en redes sociales y webs de terceros. En los últimos 12-18 meses, la información de recursos humanos (30 %), clientes (25 %) y finanzas (23 %) ha estado expuesta fuera del negocio, debido a una gestión ineficaz de las identidades y los accesos. Entre las organizaciones que han experimentado estas brechas de seguridad, el 33 % concluye que la empresa ha perdido la confianza de los clientes, y el 32 % cree que se ha dañado la reputación corporativa.
- Descenso de la productividad
El 98% de los CIOs coincide en que una pobre gestión de identidades y accesos hace que los empleados utilicen sitios de terceros como “apaño” cuando almacenan y comparten información, lo que puede impedir la colaboración y dañar la productividad. El 31 % de los CIOs señala que, en los últimos 12-18 meses, los empleados han sufrido largos períodos sin acceso a la información que necesitan para hacer su trabajo.
- Sistemas de seguridad
El 62% de los CIOs se ha enfrentado a una presión creciente a lo largo del último año para proteger los datos de la compañía, debido a las continuas noticias sobre pérdida de datos corporativos por parte de organizaciones de todo el mundo. Las organizaciones están experimentando la máxima presión por parte de los equipos legales internos (41 %), los CEOs (40 %) y los reguladores (33 %).
Las mejores prácticas
Soluciones como Quest One Identity Solutions ofrecen un completo conjunto de capacidades para suministrar controles completos en una arquitectura flexible y modular, orientada a resolver una gran variedad de problemas de seguridad y a evitar los riesgos que plantean las malas prácticas en gestión de identidades y accesos. Los CIOs pueden estar más tranquilos si siguen esta guía de buenas prácticas:
- Foco en la educación – Para la mayoría de las actuales amenazas de seguridad, la prevención y la mitigación está ligada a la educación, la diligencia y los procesos –soportados por la tecnología cuando sea necesario- que se suman a las contraseñas fuertes (que se cambian con regularidad).
- Adoptar una postura de seguridad del “mínimo privilegio” – Dar a cada empleado los mínimos privilegios necesarios para acometer las tareas requeridas y garantizar que los derechos de acceso innecesarios sean revocados cuando el empleado cambie de puesto.
- Emplear una política de revisión de accesos – Proporcionar alertas de acceso regulares y automatizadas que notifiquen a dos o más administradores los cambios de acceso, los cambios de empleados u otras cuestiones críticas.
- Lograr la conformidad normativa – Implementar el control de accesos y la separación de áreas y tecnologías, y desarrollar, implementar y reforzar la política de seguridad en el acceso a todo el sistema.