De acuerdo con los datos publicados en el ESET Security Report 2020, el 60% de las organizaciones afirma que el acceso indebido a su información es su principal preocupación, mientras que al 55% también le preocupa el robo de la misma. Sin embargo, de las casi 4000 empresas que participaron en la elaboración de este informe que analiza el estado de la seguridad de las empresas de América Latina, apenas el 17% dijo implementar la autenticación multifactor como mecanismo de gestión para evitar el acceso indebido. En algunos países, como es el caso de México, la implementación de este tipo de tecnología llega apenas al 11% de las empresas, tal como lo señala la siguiente infografía.
Lectura relacionada: Por qué las empresas deben usar un segundo factor de autenticación
Otra tecnología para evitar el acceso indebido a la información es el uso de soluciones de cifrado, pero su adopción también es bastante baja: apenas el 19% de las empresas de la región la implementa. Por otra parte, si bien el 79% asegura utilizar un software antivirus y el 75% un firewall, que son medidas básicas de seguridad, solo el 12% utiliza una solución de seguridad en los dispositivos móviles.
Es importante tener en cuenta que, pese a que la mayoría de las acciones que se realizan como parte de la gestión de la seguridad no se condicen con las preocupaciones que manifiestan las empresas, no podemos omitir que la falta de presupuesto para el área de seguridad es una de las quejas más recurrentes y que el 75% de las empresas manifestó la falta de presupuesto destinado al área de seguridad.
En el caso del doble factor de autenticación (2FA) se trata de una tecnología que compañías importantes han destacado su efectividad contra el acceso indebido. Microsoft, por ejemplo, compartió a principios de este año datos del trabajo de monitoreo que realizan de los millones de inicio de sesión que se registran diariamente y revelaron que el 99% de las cuentas que lograron ser comprometidas no utilizaban doble factor de autenticación. Por otra parte, un estudio que realizó Google a mediados de 2019 afirma que “el solo hecho de asociar un número de teléfono a tu cuenta de Google para recuperar el acceso mediante el envío de un código a través de SMS, puede bloquear el 100% de los bots automáticos, el 99% de los ataques de phishing masivos, y el 76% de los ataques dirigidos”, convirtiendo a esta tecnología en la solución más efectiva para prevenir el secuestro de cuentas.
Existen diferentes opciones al momento de elegir una forma de autenticación, ya sea mediante un token físico, un teléfono móvil o biometría. Sea cual sea la opción elegida, lo importante es que se adapte a sus objetivos y que sea fácil de incluir a la rutina laboral. Como explica el investigador Cameron Camp en un artículo sobre los beneficios de la autenticación multifactor en tiempos de trabajo remoto, además de robustecer la seguridad de los inicio de sesión al evitar depender solamente de una contraseña que puede ser vulnerada, robada o filtrada, el 2FA puede ofrecer beneficios adicionales, ya que, por ejemplo, “si recibe una notificación indicando que su contraseña está comprometida, es muy probable que el atacante no tenga la clave que le brinda el doble factor de autenticación. En este sentido, si el método de autenticación multifactor elegido se implementa correctamente, debería bajar precipitadamente la cantidad de ciberataques exitosos”, comenta.
Retomando el tema de que el acceso indebido a la información es una de las principales preocupaciones de las empresas, una vez implementado un método de autenticación de dos pasos para acceder a un servicio, las empresas deberán definir en una segunda instancia los procesos de autorización y control de acceso. Generalmente, estos procesos lo que hacen es especificar cómo se deben cumplir las políticas de acceso como parte de la política de seguridad de la empresa (el 39% de las empresas no cuenta con políticas de seguridad). Para ello, las empresas pueden seguir una estrategia conocida como el principio de menor privilegio, que se basa en la idea de otorgar únicamente permisos cuando son necesarios para el desempeño de cierta actividad.
Como conclusión, si bien el 20% de las empresas dijo haber aumentado el presupuesto para el área de seguridad respecto del año anterior, como mencionamos anteriormente, en la mayoría de los países consideran que el presupuesto destinado es insuficiente. Pese a que son momentos difíciles los que atravesamos a nivel global por la pandemia, la seguridad es un aspecto que no debe ser descuidado a nivel corporativo, por que las consecuencias de un incidente de seguridad para una empresa pueden llegar a ser severas.