El número de claves que una persona maneja en la red, tanto en el ámbito profesional como el privado, crece sin parar. Según algunos estudios, esta cifra se ha duplicado en el último año, y actualmente se calcula que una persona individual maneja una media de 45 claves. Algo parecido ocurre con las empresas, donde más de la mitad de las claves dan acceso a información sensible o a niveles de información y de toma de decisiones críticos.
En el caso de las empresas, el incremento exponencial de la vulnerabilidad de sus sistemas a través de las claves de identificación tiene que ver con el cada vez mayor uso del SaaS, de aplicaciones en la nube. El Software as a Service ha crecido un 70% en todo el mundo en apenas un año, con la particularidad —reconocida por las empresas— de que en muchos casos estas aplicaciones requieren de solo una clave apara acceder a ellas, y no un MFA (Multifactor Autenthication Access), lo que las hace más accesibles a ataques maliciosos.
El problema no es sencillo de resolver, sobre todo teniendo en cuenta las necesidades derivadas del teletrabajo y de la propia dinámica actual, en la que los trabajadores acceden desde múltiples dispositivos -ordenadores de sobremesa, teléfonos móviles, tabletas…—. Proteger los accesos es imprescindible, pero esta necesidad tiene que conciliarse con un entorno empresarial cada vez más presionado por los tiempos y los plazos. En el equilibrio entre la seguridad y la agilidad está, nunca mejor dicho, la verdadera clave.
El problema de los accesos y las identidades se ha agravado por los despidos masivos postpandemia de los grandes players mundiales y por la rotación de empleados en algunos sectores. Según algunas encuestas, el 74% de las empresas están muy preocupadas por las fugas de información procedentes de empleados descontentos, ex empleados y proveedores externos, y solo el 25% reconoce haber tomado medidas, por ejemplo, contras los ataques de bots que intentan penetrar en sus sistemas.
Los equipos de seguridad de las empresas no lo tienen fácil. Los ecosistemas IT de las organizaciones se han hecho cada vez más complejos, con múltiples aplicaciones de recursos humanos, RPAs de gestión comercial, de relaciones con los clientes, de administración y finanzas… Tan complejo es este árbol que muchas veces los equipos de seguridad de las empresas no tienen una visión completa de todas las ramas, lo que supone un problema añadido de vulnerabilidad.
Siguiendo en clave interna, otro problema reconocido por las propias empresas es la gran capacidad de acceso a los sistemas que tienen sus desarrolladores de software. La presión por innovar ese enorme y el trabajo intenso, y la mayoría de las empresas (el 77% en algunas encuestas) reconoce que sus desarrolladores de software tienen demasiados privilegios de acceso, y que eso supone un importe riesgo.
La paradoja se produce cuando estas brechas de seguridad conviven con solapamientos innecesarios en los requerimientos de acceso, que provocan enormes ineficiencias. Las soluciones no son fáciles, pero en la actualidad existen varias iniciativas encaminadas a desarrollar herramientas que permitan conciliar la seguridad con las necesidades operacionales de las empresas bajo el concepto de Zero Trust Nothing, es decir, “trust nothing, verify everything”. No confiar en nada y verificarlo todo. Ese es el mejor punto de partida.