Nuevos datos muestran que los enfoques tradicionales de la seguridad de las credenciales no son adecuados para la fuerza de trabajo moderna

Las estrategias de seguridad tradicionales, creadas en torno a la protección de un perímetro de red bien definido y que utilizan la formación en seguridad como medio básico de defensa, fallan en el lugar de trabajo moderno.

Para entender de primera mano por qué sucede esto, encuestamos a 1000 adultos empleados y a 500 líderes de TI de los Estados Unidos. Veamos algunas de las perspectivas sobre los enfoques tradicionales de la seguridad de las credenciales.

El trabajo remoto e híbrido continúa remodelando el panorama de ciberseguridad, presentando nuevos riesgos a medida que los empleados desdibujan las líneas entre los dispositivos personales y los de trabajo. La superficie de ataque ampliada, originada por prácticas de contraseñas débiles y redes domésticas no seguras, ha creado una tormenta perfecta para los ciberdelincuentes. 

Los empleados a menudo se conectan a sistemas empresariales desde redes Wi-Fi no protegidas. Muchas de estas redes carecen de medidas de seguridad adecuadas como enrutadores actualizados, VPN o contraseñas seguras. Sin un perímetro claro que defender, las organizaciones ahora se enfrentan a un desafío significativamente más complejo para protegerse.

La seguridad adicional que algunas organizaciones han implementado también se interpone en el camino de la productividad.

Los programas de formación y de concienciación de la seguridad son herramientas comunes para mitigar el riesgo humano, como el phishing, y las empresas invierten mucho tiempo y dinero en ellos, pero los empleados no ven el mismo valor en estas sesiones de formación.  

Una compañía con 1000 empleados podría gastar de 12 000 a 24 000 dólares anualmente en formación básica en línea. Empresas mayores (de más de 10000 empleados) podrían ver cómo los costes suben hasta los cientos de miles o incluso millones anualmente, especialmente si usan formación en profundidad, simulaciones de phishing y educación centrada en el cumplimiento legal. 

Pero nuestra encuesta reveló que muchos empleados tomarían medidas extremas para evitar la formación en seguridad obligatoria:

Los líderes de TI están de acuerdo: el 51 % piensa que los empleados de su organización ven la formación en seguridad como una carga. Esta alineación es un signo claro de que la formación en seguridad no está logrando los resultados deseados para proteger a las organizaciones de vulnerabilidades humanas. 

Las malas prácticas de contraseñas que tienen los empleados amplifica los riesgos. Casi todos los líderes de TI (96 %) informan que tienen que solucionar problemas relacionados con credenciales. Los tres problemas más comunes son:

Estas costumbres malsanas conducen a pérdidas tangibles. Los líderes de TI manifiestan que sus organizaciones sufrieron robo de propiedad intelectual debido a contraseñas débiles o comprometidas (37 %), mientras que las cuentas comprometidas han facilitado robos de dinero (19 %).

Los problemas relacionados con las contraseñas no solo exponen a las organizaciones a violaciones de seguridad, sino que también conducen a costes operativos significativos. Forrester Research estima que cada restablecimiento de contraseña cuesta alrededor de 70 dólares, teniendo en cuenta las pérdidas de tiempo y productividad del personal de TI.

Además, hasta el 40 % de las llamadas al servicio de asistencia técnica están relacionadas con problemas con las contraseñas, lo que crea una carga de asistencia técnica sustancial. Los empleados también pasan un promedio de 11 horas anuales en restablecimientos de contraseñas, lo que afecta aún más a su productividad.

Como resultado, las organizaciones gastan un promedio estimado de 5,2 millones de dólares anualmente en infraestructura y asistencia técnica relacionada con contraseñas.

Es evidente que las estrategias tradicionales de seguridad empresarial, incluyendo las específicas de credenciales, no funcionan.

Próximamente, en la siguiente entrega de esta serie de publicaciones en el blog, descubrirá el impacto de las TI en la sombra y los desafíos de seguridad de credenciales en equipos de TI ya de por sí abrumados.