Una aplicación de autenticación es un método de autenticación multifactor (MFA) que agrega una capa adicional de seguridad a las cuentas en línea. Keeper® es una
Cada rincón de la organización esconde un desafío de TI tan antiguo como el software como servicio (SaaS): tener un único proveedor de tecnología o varias soluciones. En algunas organizaciones, esto es lo que ocurre con los gestores de contraseñas.
Y dado que las funciones son diferentes en cada software, suele haber razones de peso para que una organización decida contar con una sola solución o con más de una.
En este blog, veremos por qué los gestores de contraseñas deberían implementarse con toda la empresa en mente, y cómo los equipos de TI pueden capacitar a sus organizaciones para que unifiquen la protección de contraseñas en una sola plataforma.
Solución única frente a múltiples soluciones
Una solución de gestión de contraseñas única y uniforme puede cumplir con la mayoría de las necesidades de funcionalidad de una organización o simplemente contentar a la voz con más peso del equipo. Sin embargo, si la solución no es integral, podría dejar a algunos grupos sin las funcionalidades que necesitan.
Entonces, ¿por qué no utilizar varios proveedores? Eso podría, sin duda, satisfacer a todos los departamentos y equipos individuales. Sin embargo, que todas las partes estén contentas conlleva un gasto adicional, además de incoherencias en el proceso, el control y la presentación de informes.
El debate entre soluciones únicas o múltiples podría ser relevante para algunos tipos de software, como las soluciones de procesamiento de textos. Pero los gestores de contraseñas, como las políticas de gestión de identificación y acceso (IAM) que aplican, son de escala empresarial.
Una misma solución de gestión de contraseñas debería proteger a todos los usuarios, aplicaciones y dispositivos.
Por qué las organizaciones tienen varias soluciones implementadas
En primer lugar, examinemos algunas de las razones más comunes por las que las organizaciones utilizan varios gestores de contraseñas y por qué este razonamiento no se sostiene.
Voces con peso y falta de apoyos
La falta de apoyo por parte de gerencia o de cultura empresarial, combinada con voces de más peso que hacen caso omiso a las preocupaciones del personal de TI y de seguridad, pueden hacer que el departamento de TI carezca de autoridad para tomar decisiones importantes. Esto incluye establecer una cierta uniformidad en la gestión de contraseñas y otros programas de software críticos.
En otras palabras, si a Bob, del departamento financiero, le encanta el gestor de contraseñas A, pero Suzy de marketing se ha comprometido con el gestor de contraseñas B y la sección C ha adoptado una actitud holgada respecto al uso de software, el departamento de TI no tiene nada que hacer. A Bob y a Suzy se les seguirá permitiendo utilizar el software que quieran, y mira, tal vez alguien más en el departamento de ventas tenga preferencia por un tercer gestor de contraseñas y también se les permita utilizar su software favorito.
No cuesta imaginar lo rápido que la opción de «utilizar cualquier cosa que funcione» puede hacer que llegue la sangre al río, sobre todo porque la empresa promedio utiliza más de 100 aplicaciones SaaS en la actualidad.
El amor de los usuarios finales por las soluciones tradicionales
Esto está con frecuencia relacionado con el dilema de las voces con peso y la falta de apoyos.
Antes de que la gestión de contraseñas empresarial se convirtiera en una prioridad, los departamentos o unidades de negocio individuales podrían haber adoptado diferentes soluciones de forma independiente para gestionar sus contraseñas. Peor aún, algunas de estas soluciones podrían no ser nada seguras, como es el caso de los gestores de contraseñas integrados en los navegadores, las hojas de cálculo e incluso las notas adhesivas.
Los humanos tienden por naturaleza a resistirse al cambio. Cuando un equipo lleva años utilizando una solución en particular, la posibilidad de cambiar a otra herramienta puede resultar inquietante. Sin embargo, las ventajas a largo plazo de tener una única solución son difíciles de pasar por alto: desde una seguridad más sólida y unos informes de cumplimiento eficientes hasta una mejor asignación de los recursos de TI y una colaboración más eficiente para los empleados.
Preocupaciones sobre la dependencia de los proveedores y las vulnerabilidades de seguridad
En algunos casos, las organizaciones prefieren utilizar varias soluciones por miedo a depender de ciertos proveedores. Temen que si utilizan una sola solución, será casi imposible cambiarse y se quedarán atrapados con ese proveedor para siempre. Sin embargo, siempre y cuando el proveedor elegido ofrezca una exportación sencilla de las contraseñas, la dependencia no sería un problema.
Además, algunas empresas, e incluso los responsables de TI, podrían temer las consecuencias de seguridad derivadas de utilizar un solo gestor de contraseñas, sobre todo teniendo en cuenta las recientes violaciones. En algunos casos, una organización puede guardar sus credenciales en una solución y la copia de seguridad de sus códigos, las respuestas a las preguntas de seguridad, etc. en una solución diferente.
Su lógica es que si se vulnerara un gestor de contraseñas, la organización tendría al menos la protección de otro gestor de contraseñas. Sin embargo, la coexistencia de varios gestores de contraseñas en una organización no ofrece necesariamente más protección y, de hecho, podría decirse que empeora la seguridad.
Cada programa SaaS agregado al entorno de datos de una organización es otro punto final potencial a explotar por parte de los atacantes. Cuantos más gestores de contraseñas tengan que manejar los usuarios finales, más probable es que alguien, en algún momento, meta la pata.
Las organizaciones son igual de vulnerables que sus terminales más desprotegidos. En combinación con la arquitectura de seguridad de la solución en particular y la capacidad del equipo de TI para aplicar políticas sólidas, la adopción de un gestor de contraseñas único por parte de los empleados es una garantía de seguridad empresarial mucho más robusta.
Las ventajas de seguridad de tener un único gestor de contraseñas
Incluso si se dejan de lado las consideraciones de seguridad subyacente de las soluciones individuales, que deberían ser prioritarias en cualquier proceso de adquisición de TI, todavía hay una serie de razones por las que utilizar una única solución de gestión de contraseñas en toda la empresa es mucho mejor que combinar varias soluciones.
Visibilidad y control de TI
Según el informe de Verizon sobre investigaciones de violaciones de datos, el 74 % de los ataques tienen que ver con el elemento humano: contraseñas, secretos y credenciales robadas o débiles. En las organizaciones digitales modernas, todos los usuarios finales necesitan acceder al software, lo que significa que todos deben utilizar contraseñas. Por lo tanto, la gestión de la identificación y el acceso debe ser holística y uniforme en toda la empresa.
Una única solución de gestión de contraseñas unifica la visibilidad y permite a los equipos de TI auditar las contraseñas desde una misma plataforma.
Contar con varias soluciones fragmenta la supervisión de las diferentes funciones y plataformas, que a veces son incompatibles entre sí. La compatibilidad entre los sistemas, o la falta de ella, hace que sea difícil para el departamento de TI conciliar los datos de los diferentes gestores de contraseñas y evaluar los riesgos de forma integral.
Higiene de seguridad de los empleados
Del mismo modo que tener varios gestores de contraseñas fragmenta la visibilidad de los equipos de TI, también socava la misión de TI de proteger la organización al garantizar el cumplimiento de las políticas de contraseñas por parte de los empleados.
Sin un estándar de gestión de contraseñas que TI pueda reforzar, a menudo con el apoyo de recursos humanos (RR. HH.), la organización se expone a los ataques cibernéticos relacionados con contraseñas, y muy posiblemente no cumpla con la HIPAA, el RGPD y otros estándares reglamentarios y del sector.
Una única solución de gestión de contraseñas centraliza el control de los hábitos y el comportamiento de las contraseñas, lo que permite a los administradores de TI garantizar que todos los empleados utilicen contraseñas seguras y únicas para cada cuenta; habilitar la autenticación multifactor (MFA) donde sea compatible y cumplir con otras políticas de seguridad.
Cumplimiento y presentación de informes
La capacidad para auditar y controlar de forma eficiente el acceso a las credenciales y la información confidencial es fundamental para mantener el cumplimiento y evitar violaciones. Una única solución simplifica el cumplimiento de normativas como HIPAA, FedRAMP, StateRAMP, ISO 27001, PCI DSS, RGPD y Sarbanes-Oxley (SOX), todas las cuales requieren informes de control de acceso.
Varias soluciones requieren que los equipos de auditoría y finanzas reconcilien los diferentes métodos de almacenamiento y presentación de datos. Con el aumento de los costes de cumplimiento normativo, así como del trabajo remoto, que añade complejidad al cumplimiento y amplía las potenciales superficies de ataque de las organizaciones, contar con un proceso de auditoría eficiente es más importante que nunca.
Análisis forense desde un único punto de vista
En el caso de que se produzca un incidente de seguridad, los analistas forenses tienen que recrear la línea temporal de los eventos para comprender cómo el malhechor atacó a la organización. Las cuentas de menor nivel vulneradas, como las cuentas de redes sociales, suponen a menudo un punto de entrada para que los cibercriminales amplíen sus privilegios una vez dentro.
De forma similar al proceso simplificado para las auditorías de control y cumplimiento de TI, una única solución de gestión de contraseñas centraliza las líneas temporales de los eventos y acaba con las normas aisladas para la presentación de informes.
Ventajas empresariales de utilizar un gestor de contraseñas empresarial
Además de las consideraciones de seguridad, reducir a un solo gestor de contraseñas ofrece muchas ventajas empresariales. Tener una única solución es además mucho más rentable, compatible y ágil a la hora de proteger las contraseñas y la información confidencial.
Ahorro de costes gracias a una única solución
Con toda probabilidad, es más rentable para una empresa comprar software a un proveedor en lugar de a varios. Y dado que está previsto que el típico presupuesto de TI disminuya en términos reales en 2023, los directores financieros y los responsables de TI pueden mirar sus gestores de contraseñas, entre otros programas, para consolidar la funcionalidad y controlar el gasto.
Mayor capacidad para ofrecer asistencia a los usuarios finales
Un gestor de contraseñas debería reducir el número de tickets relacionados con contraseñas que acaban en manos del departamento de TI, aunque inevitablemente algunos empleados seguirán necesitando ayuda. Con solo un gestor de contraseñas y un conjunto de funciones que los administradores de sistemas han de dominar, los equipos de TI podrán dedicar más tiempo a los proyectos internos que impulsan el negocio.
Capacidad de respuesta de los proveedores
De forma parecida a cómo se simplifica el soporte interno con una sola herramienta, tener una sola solución proporciona un único punto de contacto externo para facilitar la adopción de un gestor de contraseñas por parte de los empleados. Cuando se incorporan nuevos usuarios a una solución, tener un único punto de contacto con el proveedor puede ayudar a coordinar la implementación en toda la organización.
Cómo impulsar una iniciativa empresarial para la gestión de contraseñas
Por razones de coste, facilidad de uso y seguridad, las organizaciones obtendrían un mejor servicio con un único gestor de contraseñas, en lugar de con varias soluciones dispares e incompatibles.
Algunos empleados pueden mostrar su desagrado por tener que hacer la transición a un único gestor de contraseñas. Sin embargo, una estrategia empresarial de gestión de contraseñas, respaldada por una única herramienta, promete una mayor eficiencia, colaboración y seguridad.
Dado que la mayoría de los ataques cibernéticos son el resultado de contraseñas, credenciales y secretos robados, débiles y reutilizados, la seguridad organizacional garantiza la protección de la empresa. Los departamentos de TI y de cumplimiento necesitan una única solución para garantizar visibilidad y control sobre sus sistemas y datos fundamentales.
¿Está listo para unificar la gestión de contraseñas en su organización? Hable con uno de nuestros expertos en seguridad cibernética sobre la implementación coordinada de Keeper gestor de contraseñas hoy mismo.