viernes, 26 de febrero de 2021

Buena, segura y ¿barata?: Sincronización con Microsoft Azure Active Directory en plataformas SaaS

Buena, segura y ¿barata?: Sincronización con Microsoft Azure Active Directory en plataformas SaaS


Tiempo atrás
publicamos un post hablando sobre cómo utilizar Microsoft Azure Active Directory (a partir de ahora, Azure AD) para afrontar el problema del control de accesos de usuarios a aplicaciones o recursos dentro de una organización.

Actualmente nos encontramos con diferentes métodos para integrar plataformas en la nube con Azure AD, las cuales analizaremos a continuación.

El viejo e inseguro método del archivo ejecutable

Muchas plataformas SaaS brindan un archivo ejecutable que permite realizar la sincronización de usuarios con Azure AD. Este método podría ser considerado como legacy en la mayoría de los casos, y tiene algunos puntos importantes a considerar:

  • Debemos confiar en un archivo ejecutable que no sabemos con certeza qué hace
  • Debemos ingresar distintas credenciales y claves de aplicación durante el proceso de instalación
  • Existe la posibilidad de que manipulen las credenciales de los usuarios finales y se vean comprometidas

Por estos motivos, actualmente no se recomienda seguir este método.

El método seguro, pero costoso: SCIM

Como indica la RFC 7644, SCIM es un estándar para automatizar el intercambio de información de identidad de usuarios entre sistemas informáticos.

Se trata de un método seguro pero costoso a la vez, ya que para sincronizar grupos y membresías de grupos, se necesita una suscripción a Azure Active Directory Premium P1 o P2.

Por este motivo, no es una opción viable para muchas organizaciones, y su adopción no termina de ser completa.

El método seguro y gratis: Microsoft Graph

Microsoft Graph es una alternativa escalable y segura, creada y provista por el mismo Microsoft que se ajusta a la perfección con Azure AD, incluso con licencias gratuitas.

Se trata de la puerta de entrada a los datos y la inteligencia en Microsoft 365. Proporciona un modelo estandarizado que permite acceder a los datos de diferentes sistemas de Microsoft.


Conclusiones

Por todas sus ventajas, Microsoft Graph es la alternativa segura y accesible para todas las organizaciones, es por eso que fue seleccionada por SMARTFENSE para la sincronización y autenticación de usuarios a través de Azure AD.

¿Con qué método sincroniza actualmente los usuarios de su organización con sus aplicaciones SaaS?

En próximos posts, hablaremos sobre las recomendaciones a tener en cuenta para estructurar su directorio activo de manera de obtener el mejor resultado a la hora de sincronizar sus usuarios con una plataforma SaaS.

Leer Más

lunes, 15 de febrero de 2021

La amenaza del Shadow IT

La amenaza del Shadow IT


El Shadow IT es un problema al que se enfrentan todas las empresas del mundo y que puede suponer una amenaza más importante de la que aparenta ser. Cada empresa proporciona sus equipos y programas a sus colaboradores pero muchos de ellos, además, descargan e instalan otros programas que no están supervisados por el departamento de IT.  Según IBM Security, un tercio de los trabajadores comparten y suben datos corporativos a herramientas externas de la organización. Ahí es cuando aparece el Shadow IT o el IT en la sombra, principalmente a causa de aplicaciones de almacenamiento en la nube, redes no permitidas, ordenadores no controlados o aplicaciones de terceros tipos SaaS. Aproximadamente un 82% de las empresas, desconocen la totalidad de las aplicaciones utilizadas por sus trabajadores en su día a día.

Las consecuencias del Shadow IT para las organizaciones

Con el teletrabajo, los usuarios han debido utilizar dispositivos propios que no estaban supervisados por la empresa y han podido entrar en aplicaciones de terceros no controladas. Cabe destacar, que solo el 7% de las aplicaciones SaaS gratuitas de Internet cumplen con los estándares mínimos de seguridad por lo que las personas que las utilizan exponen a la organización sin saberlo.

Los bancos y las compañías de seguros son las organizaciones que mayor riesgo corren con el Shadow IT ya que, por ejemplo, no pueden enviar información sensible a través de plataformas como WeTransfer. Esta aplicación es una de las herramientas más utilizadas para la transferencia de archivos, pero lo que muchas personas pasan por alto es que todo lo que se envía queda publicado en la nube. La información queda totalmente accesible. Esta circunstancia puede provocar a las empresas y en particular al CISO, un rompecabezas para encontrar el origen de la fuga de información. Según estudios, aproximadamente las pérdidas anuales a causa del Shadow IT son de 1,7 billones de dólares.  

¿Cómo enfrentarlo? Buenas prácticas

Para evitar el Shadow IT existen buenas prácticas que el CISO puede aportar a la empresa, como identificación y monitoreo de todos los dispositivos y herramientas que los empleados vayan a utilizar. De esta manera, no solo se evita al máximo que pueda haber Shadow IT sino que en caso que lo haya, será más fácil encontrar el origen. No es tarea fácil pero sí necesaria.

Después, deberá seguir el análisis de riesgo y adecuación, es decir analizar las herramientas que tienen a su disposición los colaboradores y valorar si son las adecuadas. En caso de que no lo sean, buscar nuevas herramientas válidas acorde a la estrategia de IT y ciberseguridad. 

Además, es primordial concienciar a todos los trabajadores de manera continua, acerca de la importancia de la seguridad de la información. El error humano es cada vez más corriente en el mundo digital, pero también es subsanable con acciones de concienciación. Los usuarios son parte de la solución.

Cómo transferir archivos de manera segura

Para evitar que sus usuarios utilicen alternativas poco seguras para la transferencia de archivos, bríndeles una herramienta con políticas avanzadas de seguridad que cumpla con la regulación GDPR como Tranxfer.

Disfrute de un free trial totalmente gratuito en www.tranxfer.com

Fuentes

https://www.bbva.com/es/sin-wetransfer-otros-programas-gratis-no-trabajas

https://www.itdigitalsecurity.es/vulnerabilidades/2018/02/los-riesgos-del-shadow-it-para-las-empresas-de-servicios-financieros

https://www.elecelegal.com/es-seguro-usar-wetransfer-para-compartir-archivos

https://www.pandasecurity.com/es/mediacenter/seguridad/shadow-it/

Leer Más

jueves, 11 de febrero de 2021

¡Apunten hacia España! Las compañías carecen de una cultura de ciberseguridad

¡Apunten hacia España! Las compañías carecen de una cultura de ciberseguridad


Según
un estudio realizado por el área de Cyber Risk Culture (CRC) de PwC España entre junio y septiembre de 2020, el nivel de cultura de ciberseguridad en las compañías de España se sitúa en 2,8 puntos sobre un rango de valores de 1 a 5.

Qué es la cultura de ciberseguridad

La Agencia Europea de Seguridad de las Redes y de la Información (en inglés, «European Union Agency for Network and Information Security», ENISA), define la cultura de la seguridad de las organizaciones como el conjunto de conocimientos, hábitos, percepciones, actitudes, normas y valores de las personas en relación con la seguridad cibernética y la forma en que se manifiestan en su comportamiento con las tecnologías de la información.

Hasta ahora, las empresas y organizaciones habían dirigido sus acciones y esfuerzos a las medidas técnicas y acciones de concienciación aisladas, pero esto no es suficiente ante la realidad actual. De acuerdo con PwC, alrededor del 95% de los ciberataques que sufren las empresas tienen su origen en el factor humano, ya sea por desconocimiento o error. En este contexto, el desarrollo de una cultura de ciberseguridad es esencial para reducir los riesgos y ciberamenazas.

El estado de la cultura empresarial en España

El estudio realizado por PwC España involucró a 50 organizaciones en el ámbito nacional español a través de entrevistas a expertos, encuestas a responsables de ciberseguridad e investigación. La finalidad principal es conocer el estado en la cultura de ciberseguridad en el entorno empresarial en base a cuatro campos: estrategia, conocimiento, comportamiento, y perspectiva futura.  

Estrategia

Entre el 42% y el 48% de las organizaciones ya dispone de un rol o un comité ligado a la formación o concienciación en seguridad. No obstante, el 60% de las compañías no considera la seguridad como uno de sus valores principales o bien, no lo refleja claramente en sus políticas o prácticas generales.

Conocimiento

Muchas de las compañías ofrecen formación en ciberseguridad a sus empleados, así como ejercicios de simulación de ataques phishing o ransomware. Sin embargo, solo el 9% de las organizaciones disponen de un procedimiento para medir el conocimiento de los profesionales, lo que impide el establecimiento de planes de formación adecuados.

Comportamiento

El 84% de las organizaciones no puede medir el nivel de concienciación de los empleados; y el 70% tampoco mide el éxito de las campañas que realizan.

Por otro lado, el presupuesto medio aplicado a formación y concienciación equivale a un 9% del presupuesto total destinado a la seguridad de la información de la compañía.

Perspectiva futura

El 93% de los encuestados considera que la concienciación de los empleados es una medida muy relevante; y el 95% de las compañías ya disponen o tienen planificado generar un plan de concienciación para empleados.

Las principales conclusiones

De los resultados obtenidos, PwC España concluye que el nivel de cultura de ciberseguridad de media en las compañías de España se sitúa en un 2,8 sobre un rango de valores de 1 a 5. Esto significa que en el sector empresarial español:

  • No existe un plan estratégico de cultura y las iniciativas de concienciación se despliegan al azar.
  • El programa de concienciación cuenta con un apoyo limitado por parte de la Alta Dirección, y solo se invierten los recursos mínimos para cumplir con las normativas.
  • La concienciación en seguridad no ocupa un lugar destacado en la estrategia de la organización.
  • De forma generalizada, no existe una persona nombrada responsable de la ejecución y desarrollo de los planes de cultura y concienciación.
  • Se realizan formaciones de ciberseguridad de forma aislada, sin un refuerzo constante ni un alcance generalizado.
  • Hay poca participación de otros departamentos, como el de recursos humanos, comunicación o formación.

Todo ello implica que el panorama de cultura en ciberseguridad actual a nivel empresarial en España es inmaduro, con un alto margen de mejora.

Cómo construir una cultura de ciberseguridad

Acciones de capacitación aisladas no son suficientes para lograr hábitos seguros. Para desarrollar una cultura de ciberseguridad es necesario:

  • Generar un plan de formación y transformación cultural, con objetivos específicos en el tiempo.
  • Hacer seguimientos de las acciones y sus resultados, proporcionando indicadores que permitan medir el impacto y la evolución.

Es necesario destacar que las organizaciones no deben hacer todo esto solas, ya que las plataformas de concienciación en Seguridad de la Información ofrecen contenidos, herramientas y reportes que facilitan las tareas y generan indicadores de forma automática. Pero aún más fácil y efectivo para el responsable de seguridad puede ser apoyarse en partners integradores, delegando los aspectos operativos y tácticos de la transformación cultural en manos de especialistas.

Fuente: https://recursos.bps.com.es/files/986/73.pdf 

Leer Más