Enforcement vs. Enrollment basado en la seguridad: Cómo equilibrar la seguridad y la confianza de los empleados

Desafíos con un enfoque basado en la aplicación#
Un enfoque de la seguridad basado en la aplicación comienza con una política de seguridad respaldada por controles de seguridad, a menudo de mano dura y diseñada para evitar que los empleados se involucren en comportamientos riesgosos o expandan inadvertidamente la superficie de ataque potencial de una organización.

La mayoría de las organizaciones utilizan exclusivamente controles de seguridad basados en la aplicación, que normalmente se llevan a cabo a nivel de red con un Cloud Access Security Broker (CASB) o un Security Services Edge (SSE). Los CASB protegen los datos entre las arquitecturas locales y en la nube, validan las reglas de autorización y los controles de acceso según la política de seguridad de la empresa. Algunas organizaciones también usan CASB para bloquear aplicaciones SaaS, pero al igual que los SSE, los CASB solo admiten algunas aplicaciones.

Las aplicaciones que estas herramientas no admiten suelen ser las más riesgosas porque no cumplen con los estándares de seguridad y de la industria comunes, incluido SAML para la autenticación y SCIM para la administración de usuarios. Estas se denominan «aplicaciones inmanejables» y, según su investigación, el 61 % de las aplicaciones SaaS son inmanejables . Las aplicaciones inmanejables son populares y, en un mundo posterior a la COVID, la tasa a la que los empleados las compran y las implementan ha alcanzado un nuevo nivel.

Antes de COVID, los departamentos de TI eran los principales responsables de comprar e implementar aplicaciones en toda la organización. El cambio al trabajo remoto permitió a los empleados de todas las organizaciones seleccionar sus propias herramientas. Al mismo tiempo, la rápida digitalización les dio una selección cada vez mayor de herramientas para elegir, lo que provocó un aumento en las aplicaciones inmanejables.

El usuario medio no suele pensar primero en la seguridad. La mayoría de las personas tiende a asumir que las aplicaciones son seguras, y es posible que a algunas no les importe en absoluto la seguridad. La mayoría de los usuarios se preocupan por las características fáciles de usar, la estética del diseño y la comodidad. Para cumplir con estos requisitos cambiantes, los proveedores de aplicaciones modificaron sus hojas de ruta de productos; para muchos de ellos, la seguridad ya no era una prioridad.

Ya sea que los empleados lo sepan o no, las aplicaciones inmanejables pueden afectar negativamente la seguridad de una organización y, a menudo, generar más trabajo para los equipos de tecnología. Alguien tiene que monitorear aplicaciones inmanejables, habilitar manualmente funciones como la autenticación de dos factores (2FA) y hacer cumplir contraseñas seguras.

Para eliminar la carga, muchas organizaciones bloquean o prohíben las aplicaciones inmanejables.

Es totalmente comprensible por qué las organizaciones adoptan este enfoque: es una forma rápida y coherente de abordar un problema inmediato y preocupante. Sin embargo, como solución integral a largo plazo, un sistema basado exclusivamente en la aplicación no es sostenible ni realista en la práctica.

A los empleados les gusta elegir sus aplicaciones de trabajo, y el 92% de los empleados y gerentes quieren un control total sobre la elección de la aplicación . Este cambio de comportamiento crea algunos desafíos inesperados para las organizaciones con un enfoque basado en la aplicación.

Por ejemplo, muchos empleados que usan aplicaciones prohibidas o bloqueadas también intentan administrar el acceso manualmente, incluso cuando no están bien equipados. Según nuestra investigación, los empleados y gerentes están inventando la gestión de acceso a medida que avanzan, creando riesgo y exposición para las organizaciones en cada punto de interacción.

Entonces, ¿cuál es la solución? Una postura más práctica y orientada hacia el futuro que equilibra la elección de aplicaciones de los empleados y las prioridades de los empleadores, como la seguridad y el cumplimiento.

Beneficios del enfoque basado en la inscripción#
Un enfoque de seguridad cibernética basado en la inscripción empodera a los empleados para que tengan más libertad y autonomía y opciones individuales y, por lo tanto, los involucra para participar activamente en los esfuerzos de cumplimiento y seguridad de toda la empresa. A diferencia de los sistemas basados en cumplimiento, un enfoque basado en inscripción permite a los empleados elegir las aplicaciones que desean utilizar para el trabajo.

Debido a la necesidad previamente insatisfecha de una solución que equilibre la aplicación y el registro y permita que la seguridad y la autonomía vivan en coexistencia pacífica. Crear este equilibrio es la mejor respuesta tanto para las organizaciones como para los empleados. Los empleados deberían poder elegir sus aplicaciones y los empleadores no deberían preocuparse por la seguridad.

Cuando los empleados entienden que la elección de la aplicación conlleva responsabilidad, y las herramientas correctas están fácilmente disponibles para hacer que esto suceda, la seguridad se convierte en una preocupación de todos. Cuando las aplicaciones de auto inscripción y registro son accesibles, los mismos empleados que resienten las políticas sobre la elección de aplicaciones estarán dispuestos a participar con una seguridad más fácil y reforzada con el beneficio del cumplimiento también.

Fuente y redacción: thehackernews.com

Instalación de Kali Linux en VirtualBox: La manera más rápida y segura

Revelan cómo funciona el ataque de Inyección de Código en la aplicación Signal Messaging

GitLab recomienda parchear falla de gravedad máxima, lo antes posible