• Debemos adoptar nuevos mecanismos para hacer frente a las nuevas vulnerabilidades del trabajo remoto.

Por Sergio Muniz, Head de Ventas para Gestión de Acceso e Identidad – Thales Latinoamérica

Con el cambio de escenarios laborales y la transformación digital, resultado de la pandemia por COVID-19, México se encuentra ante una realidad en la que el trabajo virtual ha dejado de ser una opción para convertirse en parte de la regla para la productividad, con la adopción de aplicaciones y tecnologías en la nube.

Como resultado de este fenómeno, la tradicional imagen del trabajador de oficina ha dejado de ser la norma, de manera que hoy un gran número de trabajadores, en lugar de encerrarse a producir en un espacio físico fijo (llámese oficina, despacho o local) ahora labora tanto en un espacio físico disperso como en sus hogares, cafeterías, instalaciones de cotrabajo o co-working, como en espacios lógicos, también dispersos en centros de datos de todo el mundo, con la ayuda de proveedores de tecnología en la nube, así como el servidor de correo electrónico, el CRM, el sistema de RR.HH. y otras muchas aplicaciones de uso diario por los empleados de una corporación.

Lo cierto es que dicho panorama se ha convertido también en un campo de oportunidades para nuevas vulnerabilidades y a una velocidad extremadamente rápida. Como resultado de ello, una de las máximas que hoy debemos tener presente es que requerimos de nuevas soluciones que ayuden a satisfacer nuevas demandas, es decir, no podemos resolver nuevos problemas con herramientas del pasado, ya que las vulnerabilidades de un campo abierto como lo es la nube difieren en mucho de los tradicionales esquemas cerrados.

Una respuesta inteligente que han tenido muchas firmas es la aplicación de soluciones de acceso sofisticadas, en las que se usan diferentes tipos de token o sistemas con soporte biométrico a manera de antesala para poder acceder a la nube y a los sistemas modernos que se encuentran remotos, y que han agregado también políticas que les permitan hacer un seguimiento de quiénes intentan acceder a una determinada información, desde dónde lo hacen y en qué momento. De esta manera pueden hacer una evaluación que les permita identificar los riesgos de vulnerabilidad a los que han de combatir. Esto es lo que el mercado presenta como una gestión de acceso moderna con una política de Confianza Cero (Zero Trust).

Para entender un poco mejor cómo se ha venido gestionando la política de Confianza Cero, basta con que nos remitamos al Índice de Gestión de Accesos 2021 de Latinoamérica, elaborado por Thales (como cada año) con indicadores específicos y el cual reveló que para ese año uno de los indicadores más interesantes estaba asociado a la política de Confianza Cero.

De acuerdo con el análisis realizado, para ese entonces menos de un tercio de las empresas encuestadas dijo haber adoptado una estrategia de Confianza Cero, mientras que más de la mitad ya estaba planificando o implementando una política de esta naturaleza, lo que revela una tendencia favorable hacia la adopción de lo que en Thales llamamos buenas prácticas en la estrategia de ciberseguridad corporativa.

Desde luego, debemos tener presente que en materia de ciberseguridad no existe una solución única o absoluta, sino que es indispensable trabajar de manera integral, combinando políticas de Confianza Cero con las mejores prácticas de la industria para la gestión de acceso, si lo que se quiere es mitigar los ciberataques de forma rápida y eficiente.

Para considerar que un servicio de gestión de accesos es moderno debe funcionar de forma integrada con diversas aplicaciones de uso cotidiano, como Office 365, Sales Force y WorkDay, por mencionar los más usados, y que por su naturaleza dan sus servicios 100% en la nube. Este mismo servicio puede integrar al resto de las aplicaciones heredadas en los centros de datos de cada cliente y manejar su acceso corporativo a través de una única solución, con ayuda de políticas de acceso para cada contexto. Al final, esto permitirá actuar con mecanismos de defensa de la información a través de políticas y parámetros de restricción de usuarios preestablecidos.

De esta forma las empresas podrán definir diferentes métodos de autenticación, ya sea que determinen qué token utilizar (físico, soft, o móvil) con el uso o no de sistemas biométricos e incluyendo certificados digitales, si lo considera necesario. Y todo ello va mucho más allá de las contraseñas, de manera que, si es necesario, estas se pueden suprimir para muchos empleados en múltiples escenarios.