"Todos son administradores cuando el acceso a la red no está controlado". Eso es algo que un consultor de TI que sabía solía decir. Fue estricto al otorgar privilegios de red, pero debido a eso, la compañía no sufrió una sola violación mientras trabajaba allí. Eso es porque lo que dijo era cierto. Si no va a utilizar sus niveles de acceso de seguridad, también podría otorgar privilegios administrativos a todos. Tenga en cuenta que esos privilegios permitirán a los empleados agregar o eliminar casi cualquier cosa en su red. Si eso suena como si fuera un desastre, y debería serlo, entonces es hora de recalibrar sus niveles de acceso.
Demasiadas empresas intentan fragmentar su seguridad asignando acceso a la red según sea necesario. Esto es problemático porque una vez que la empresa crece lo suficiente, puede ser difícil hacer un seguimiento de quién tiene qué tipo de acceso. Es por eso que estandarizar el proceso es una mejor opción. Cree un sistema fijo para otorgar las cantidades correctas de acceso y encontrará que muchos problemas de seguridad de red se resuelven por sí mismos.
Cómo una política de control de acceso limita el error humano
El error humano sigue siendo la causa principal número uno de violaciones de seguridad en toda la industria. O alguien instala algo que no debería o visita un sitio web que no debería, y se violan los datos. Las infecciones de phishing, piratería y malware son todas las cosas que se pueden evitar si los empleados siguen los protocolos, dado ese error humano representa el 37% de los incidentes del sistema empresarial. Peor aún, las acciones intencionales de los empleados representan el 16% de estos incidentes.
Eso significa que más de la mitad de sus problemas de red serán causados por sus empleados. Solo se espera que este número aumente a medida que aumenta la cantidad de dispositivos que pueden conectarse a su red. Los empleados pueden acceder a los datos de la compañía desde teléfonos inteligentes, computadoras portátiles, tabletas y una amplia gama de otros dispositivos que podrían ser un riesgo para su sistema.
Es por eso que necesita reducir esos privilegios al observar las responsabilidades laborales de los empleados. Asegúrese de que el título del trabajo tenga asignada una autorización de seguridad interna específica. Podría ayudar dividir esos niveles de seguridad interna en cinco categorías:
- Solo en la oficina - Este nivel de acceso debe reservarse para los empleados cuyas funciones laborales no requieren acceso fuera de la oficina, como los empleados por hora o empleados cuyo trabajo generalmente se realiza en la oficina. Este acceso también limitaría los dispositivos permitidos en la red solo a dispositivos emitidos por la compañía.
- Acceso básico - Este nivel de acceso sería para los empleados que podrían necesitar trabajar de forma remota, pero no tienen la responsabilidad de gestión sobre nadie más. Esto les permitiría acceder a los sistemas de la compañía fuera del sitio y a través de dispositivos personales, pero limitaría la información que podrían cambiar o eliminar de esos sistemas.
- Acceso del administrador del equipo - Este acceso puede ser para gerentes intermedios que supervisan a uno o más empleados. Esto les permitiría acceder a todo lo que los empleados básicos tienen acceso, pero también podrían cambiar o actualizar los privilegios de acceso para los empleados que están debajo de ellos.
- Acceso del gerente del departamento - El acceso del gerente del departamento permitiría al empleado acceder a todas las redes pertinentes de la compañía a través de dispositivos domésticos y personales. Podrían realizar cambios en la información para los empleados que trabajan debajo de ellos y tendrían acceso administrativo limitado para uso de emergencia.
- Administrador - Este es un nivel de acceso que deja abierta su red, por lo que debería limitarse al personal clave. Este es el único nivel de acceso que permitiría al individuo realizar cambios importantes en la red, instalar nuevo software, etc.
Si bien muchos de sus empleados pueden ser expertos en informática, solo su personal de TI debe realizar cambios en la red y los sistemas de su oficina. A menudo, el malware se instala engañando a los usuarios para que piensen que es un parche o actualización de software para un software existente. Sin embargo, cuando solo los administradores pueden agregar software, esa estafa se vuelve ineficaz. Solo sus empleados más confiables deberían tener ese nivel de acceso. Es por eso que necesita escalonar su acceso a sus verificaciones de antecedentes.
Usar verificaciones de antecedentes para nivelar el nivel de acceso
Con más responsabilidad viene más escrutinio. La configuración del acceso de sus empleados debe depender de que pasen una verificación de antecedentes adecuada. Para los empleados con el acceso más bajo, esto puede incluir antecedentes penales y búsqueda de crédito. Sin embargo, para los empleados de mayor nivel de acceso, puede ser conveniente completar algunos pasos adicionales.
Uno de estos pasos sería hacer que el individuo complete una evaluación remota de riesgos con respecto a su propio conocimiento de seguridad cibernética. RRA es una tecnología que se utiliza junto con una breve entrevista telefónica. Durante la entrevista, al individuo se le hacen preguntas que deben responder con un "sí" o un "no". La tecnología luego mide la respuesta del individuo y asigna una calificación de riesgo de menor a mayor a cada respuesta.
Esta puede ser una buena opción para eliminar tanto a las personas que carecen de conocimiento de seguridad cibernética como a aquellos que violarían los procedimientos de la compañía. Por ejemplo, se les podría preguntar: "¿Alguna vez ha utilizado un punto de acceso público wi-fi para acceder a los datos de la empresa?" Alguien que dijo que sí sería marcado como de alto riesgo, pero alguien que dijo que no pero que fue deshonesto también sería señalado como de alto riesgo. Esta tecnología puede evaluar infracciones de protocolo intencionales y no intencionales y ayudar a las empresas a identificar las áreas donde más necesitan reevaluar las prácticas de seguridad.
Clearspeed ahora ofrece su software patentado como una solución para clientes empresariales que buscan controlar sus riesgos de seguridad cibernética. Nuestros servicios se pueden adaptar para una amplia gama de usos y están disponibles en cualquier idioma, en cualquier lugar. Contáctanos hoy mismo para obtener más información.