En Ciberseguridad

La gestión de claves personales es, seguramente, uno de los aspectos que cada uno de nosotros, particularmente, cuidamos con más celo. Prestar nuestras contraseñas parece una idea absurda, disparatada, sobre todo cuando el que nos la pide es un desconocido.

El motivo es que sabemos, o al menos intuimos, los riesgos que ello conlleva. Motivo suficiente por el que a ninguno se nos ocurriría jamás dar acceso a nuestras credenciales de correo electrónico o el Código PIN de nuestra tarjeta SIM. Mucho menos a nuestras cuentas bancarias.

Pero ¿por qué no sucede así en el espacio profesional? ¿por qué ante la petición de un proveedor de acceder a nuestros sistemas, somos más propicios a compartir determinados tipos de clave y accesos descuidando el control que ejercemos sobre ello?

¿Eres consciente de lo peligroso que es prestar las contraseñas de la empresa?

La propia actividad profesional exige, para la mayoría de las compañías, que se establezcan relaciones y sinergias con otras empresas para que el funcionamiento de la propia tenga sentido.

Bien en la gestión de clientes como en la relación con nuestros proveedores, aparecerán ocasiones en las que conceder determinados accesos a nuestro entorno de trabajo se convierte en una necesidad.

¿La forma de hacerlo? Compartirle determinadas claves propias con el objetivo de que analicen o manipulen aspectos técnicos sobre los que ellos disponen de un mayor conocimiento o capacidad de gestión que nosotros.

¿Es una acción segura? Depende de cómo lo hagas.

En el espacio de trabajo las cosas se ponen serias, provocando que compartir contraseñas provoque riesgos que afectan, no solo a tu puesto de trabajo o a tus archivos personales, sino a la integridad y seguridad de toda la empresa.

Una de las principales medidas que deberías considerar para evitar un ciberataque es poseer, en todo momento, el control de tus claves.

Empieza por dejar prestar tus contraseñas buscando alguna de las alternativas presentes en el mercado.

Por qué una empresa presta sus contraseñas a sus proveedores

Los motivos por los que tendemos a prestar nuestras claves a un proveedor son muchas, empezando por suponer que darles acceso absoluto a nuestros dominios es la única forma de permitirles que realicen su trabajo.

Uno de los factores más comunes cuando preguntamos a nuestros clientes el motivo por el que prestan sus contraseñas a proveedores está relacionado con “la confianza”.

¿Seguro que puedes confiar en tus proveedores? Aunque actúen de buena fe, ¿conoces qué medidas de ciberseguridad están integrando en sus propios sistemas y en qué lugar almacenan tus claves y cómo las protegen?

Al menos, esperamos que no se trate de un simple Excel almacenado en su carpeta “Mis Documentos”.

Prestamos nuestras contraseñas porque confiamos en nuestros proveedores

En este sentido, es necesario hacer referencia a una acción inconsciente que consiste en despersonalizar a las empresas, considerando que son entes que actúan siempre profesionalmente, según lo esperado y adoptando buenas prácticas propias y para con sus clientes.

Aunque por lo general es así, no debemos obviar que dentro de cada compañía existen personas cuya actividad y motivaciones podrían ser distintas a “las ideales”.

Del mismo modo, la capacidad para saber cómo utilizan o almacenan nuestras claves es algo ajeno a nuestro conocimiento.

Y difícilmente podremos estar seguro de que sus propios métodos de protección y ciberseguridad están a la altura de lo esperado.

Otras ocasiones en las que prestamos nuestras contraseñas a un proveedor está relacionada con la actividad y asistencia en remoto:

Ya no es necesario que nuestro proveedor venga a la oficina a realizar su trabajo, sino que bastará con darle acceso al control de nuestros sistemas. Esto también crea nuevas fisuras en ciberseguridad.

¿Controlas todos los contactos que realizan los empleados con el exterior? Cualquier trabajador puede ser el responsable de compartir su contraseña con uno de los múltiples proveedores que puede tener un mismo negocio. Como ves, las fisuras de seguridad pueden llegar desde cualquier lugar.

Sin obviar lo común de que parte de nuestra plantilla en oficina esté constituida por empleados externos con acceso a la gestión de aspectos técnicos y con participación en el área protegida por la seguridad perimetral.

En definitiva, ceder nuestras claves a proveedores nos parece la forma más eficiente de agilizar el trabajo pero olvidamos los riesgos que van sujetos a ello: les prestamos nuestros accesos y ya pueden hacer su trabajo pero ponen en peligro la seguridad de nuestros sistemas.

¿Has identificado como propio alguno de los motivos por los que prestas tus contraseñas?

Tienes un problema si no estás siguiendo las medidas adecuadas.

En qué situaciones necesitamos compartir nuestras claves

Las situaciones en las que cedemos nuestras claves a empresas externas son variadas.

Pongamos a prueba si alguna guarda relación con tus métodos:

Revisión de datos y auditorías

Cuando trabajamos con algún proveedor que audita o necesita analizar el estado de nuestras métricas, es posible que optemos por facilitarles el acceso a herramientas específicas en las almacenamos o administramos estos datos.

Bien, por ejemplo, para la realización de una auditoría financiera, de marketing o del estado de nuestros servidores y nuestros sistemas. Cedemos nuestras credenciales con el único propósito de facilitarles el trabajo a nuestros socios, dejando abierta una puerta trasera bajo la que perdemos el control.

Instalación de nuevas herramientas o actualizaciones

La instalación de nuevas herramientas o actualizaciones de nuestros sistemas suelen requerir de su integración con otras que ya forman parte de la estructura corporativa.

Facilitar el acceso o prestarle la contraseña al proveedor que va a encargarse de esta tarea nos parece una acción lógica, ya que estamos tratando con profesionales

Sin embargo, toda lógica se rompe si con la cesión de claves y contraseñas estamos aprobando el control absoluto o parcial en los poderes de administración de nuestro sistema.

Externalización en la gestión de herramientas

Es algo totalmente común que nuestra empresa emplee herramientas para las que no tenemos profesionales capacitados, optando por la externalización.

Si contratamos a una empresa especializada, no solo necesitamos profesionales que sepan instalar esas soluciones, sino que se encarguen de su posterior gestión y de lograr que todo funcione correctamente.

Algunas de las herramientas con las que interactúan y para las que prestamos nuestras contraseñas a un proveedor podrían ser, entre muchas otras:

  • Configuración de Internet en el espacio de trabajo.
  • Servicios Gestionados (servidores, electrónica de red, comunicaciones, software empresarial (SAP u otro ERP)).
  • Redes Sociales u otras cuentas corporativas en distintas plataformas como Github.
  • Gestión de tienda online y analíticas.

¿Eres consciente de que prestando acceso a tu Google Analytics, también estás facilitando que vean todos los correos electrónicos que recibes en esa misma cuenta de Google?

Cambio de proveedor. Duplicidad al prestar contraseña

Considerando todos los riesgos anteriores, sumemos el riesgo adicional que supone un cambio de proveedor.

El número de sujetos implicados en el préstamo de contraseñas y claves se duplica: el antiguo proveedor y el nuevo.

Cada vez que contamos con un proveedor hay un proceso de generación de confianza basado en la calidad de la relación que logra establecerse a medio plazo.

El problema adicional al que nos enfrentamos cuando cambiamos de proveedor está relacionado con el motivo que propició el fin de servicio.

Si está relacionado con algún conflicto con nuestro antiguo socio, ¿podemos estar tranquilos de que nuestras claves están a salvo?

Descartando que nos hayamos creado o no un nuevo «enemigo», lo complicado es recuperar el control que le cedimos cuando prestamos nuestras contraseñas de empresa.

¿Por qué las herramientas PAM son la solución a la necesaria cesión de contraseñas?

Las herramientas de Gestión de Accesos Privilegiados (conocidas como PAM por sus siglas en inglés: Privileged Access Management) se están convirtiendo en uno de los productos de ciberseguridad más demandados del mercado.

El motivo es que permiten gestionar el acceso a los sistemas críticos de la compañía de una manera totalmente segura.

Algo que lo convierte en la mejor alternativa al tan peligroso préstamo de contraseñas a nuestros proveedores.

Entre las principales características de las soluciones PAM: su capacidad de administrar, desde un panel único, quién y cómo accede a nuestros sistemas.

Al mismo tiempo, establece condiciones para limitar hasta dónde puede nuestro proveedor controlar o gestionar nuestro sistema.

La cesión de permisos y su capacidad de acceso también puede verse limitada por tiempo o capacidades.

En última instancia, y en caso de descubrir algún tipo de amenaza procedente por los sistemas de alguno de nuestros proveedores (sea voluntaria o accidental), podrás bloquear su acceso completo y reestablecer todas las contraseñas de manera instantánea gracias a su característica de Repositorio Dinámico de Claves.

El Privileged Access Management es, sin lugar a duda, una herramienta imprescindible para aquellos negocios que gestionan información confidencial propia y de sus clientes, y que necesitan protegerla ante los riesgos que supone prestar acceso a sus proveedores.

Si tu relación con proveedores es común, del mismo modo que la cesión y gestión de contraseñas o si te gustaría saber más sobre cómo integrar este tipo de soluciones para incrementar la seguridad de vuestros sistemas ante amenazas que escapan de vuestro control.

Contacta con nosotros a través del siguiente formulario. Uno de nuestros técnicos estará encantando de ofrecerte más información sobre el funcionamiento de las soluciones PAM.

Contacto

Recent Posts

Presiona ENTER para comenzar la búsqueda en Avansis

evitar ciberataqueque es ciberseguridad