Crecer, escalar y ganar de forma segura son algunos de los objetivos principales de las nuevas empresas. Esto las convierte en los principales usuarios de herramientas de vanguardia, big data y tecnología basada en la nube. Sin embargo, la seguridad es fundamental en estos entornos acelerados y de alto riesgo.
Independientemente de la carga de trabajo, las nuevas empresas no pueden permitirse el lujo de dejar que la seguridad se quede en el camino.
Además, a medida que el estándar comercial pasa de las instalaciones físicas a la nube y de la oficina a un modelo de trabajo desde cualquier lugar, las nuevas empresas deben prestar especial atención a su seguridad remota e híbrida.
Hemos preparado una serie de artículos que tratarán de cubrir los aspectos esenciales de la seguridad con recomendaciones adaptadas específicamente para startups. Esto incluye soluciones a los desafíos que enfrentan la mayoría de las nuevas empresas en la actualidad, como:
Las nuevas empresas tienen que ejecutar y trabajar rápido para crear productos y adaptarse al mercado, como también enfrentarse a los desafíos adicionales de presupuestos ajustados, una fuerza laboral pequeña y la falta de procesos establecidos o roles altamente especializados.
Además de estos desafíos, la mayoría de las nuevas empresas de hoy en día tienen que proteger los entornos tanto los remotos como los de la oficina. A continuación describiremos los desafíos comunes que enfrentan las nuevas empresas en estos entornos, y las soluciones recomendadas para cada uno.
Los empleados remotos deben poder conectarse a todos los recursos que necesitan para realizar su trabajo, pero hacerlo desde sus redes domésticas o públicas puede ser riesgoso. Tradicionalmente, la VPN ha sido el método de acceso para que los empleados accedan a la red y los recursos privados de la empresa. Sin embargo, a medida que las empresas se desplazan hacia el alojamiento en la nube, la VPN se vuelve menos relevante y otras soluciones basadas en la nube que encriptan el acceso a los recursos directamente han ganado popularidad.
Las plataformas de directorio basadas en la nube por ejemplo, utilizan LDAP, RADIUS, SCIM, SAML, WebAuthn y otros protocolos para proporcionar a los empleados acceso remoto seguro a todos los recursos que necesitan.
Un caso muy común, es cuando por algún motivo un empleado se debe conectar desde un WiFi público durante unos momentos a la VPN corporativa, y esa actividad inicial no se cifra y por tanto es vulnerable a ataques. Las nuevas empresas deben crear políticas sobre el uso remoto de WiFi, como por ejemplo: las redes domésticas deben protegerse con una contraseña segura; se debe evitar el WiFi público y sin protección.
Esto se puede evitar o controlar, utilizando alguna herramienta que ofrezca políticas de accesos condicionales, con las cuales se pueda denegar el acceso a los recursos corporativos, si un usuario intenta acceder a ellos a través de una red no segura.
El rápido crecimiento y los frecuentes cambios de las nuevas empresas implican frecuentes incorporaciones y desvinculaciones. Ambos pueden tomar varias horas por empleado, lo que puede ser particularmente inconveniente cuando se incorpora a un equipo completo o se coordina una desvinculación rápida.
El uso de una plataforma de directorio basada en la nube que ofrezca inicio de sesión único (SSO), ayuda significativamente al aplicar un conjunto de credenciales seguras a todas las aplicaciones que necesita un empleado y así automatizar el aprovisionamiento de recursos individuales. Además, al crear grupos de usuarios se puede automatizar el aprovisionamiento según el departamento, el nivel administrativo y otros criterio.
Adicionalmente, con este tipo de plataforma de directorio basada en la nube el desvinculamiento se vuelve igual de rápido, todo lo que se debe hacer es eliminar al usuario para revocar inmediatamente el acceso a todos los recursos.
Una de las grandes preocupaciones para las nuevas empresas cuyos empleados trabajen en un entorno remoto, es que estos no cumplan con las políticas de seguridad en el hogar. Para dar solución a esto las nuevas empresas deben establecer, enseñar y hacer cumplir las mejores prácticas de seguridad; además deben invertir en herramientas que hagan posible y fácil el cumplimiento de la cultura empresarial que priorice la seguridad.
Las plataformas de directorio basadas en la nube combinan varias de estas herramientas de seguridad, incluido el directorio, la autenticación multifactor (MFA), SSO seguro y más, en una experiencia de usuario bastante fluida.
Para las nuevas empresas en entornos remotos, una de las grandes dificultades es poder realizar un seguimiento de los activos alojados en la nube, especialmente cuando no se puede supervisar a los usuarios al momento de acceder a ellos. Una recomendación para este desafío es desarrollar y aplicar conversiones de nomenclatura y políticas de almacenamiento claras para el manejo de archivos.
Las plataformas de directorio basadas en la nube son una buena opción para rastrear y conectar aplicaciones, datos de usuarios y dispositivos.
Es importante asegurarse de incluir la concientización del personal en su capacitación de concientización sobre seguridad. Sin importar el tamaño físico de la oficina de una startup, es importante que los empleados sepan quienes deben estar en la oficina.
Los piratas informáticos a menudo probarán la vieja técnica de hacerse pasar por un empleado o un visitante, por lo que si un extraño está en la oficina, los empleados deben saber el motivo por el cual se encuentra allí.
Muchas oficinas tienen algún tipo de control de acceso físico, ya sea a través de un sistema de acceso con llave, llavero o tarjeta. Se recomienda invertir en soluciones digitales que realicen el registro de quién entra y sale, como también rastrear a los visitantes no solicitados. Las cámaras de video también son recomendables para monitorear su equipo y materiales: algunas cámaras son inteligentes y están conectadas a la red para que puedan alertarlo sobre la actividad fuera del horario laboral y guardar imágenes en la nube.
La oficina debe contar con una conexión a Internet segura. Para lo cual es fundamental e imprescindible invertir en un firewall fuerte, como también adquirir un filtrado de contenido o la tecnología de detección de intrusos.
La seguridad WiFi no debe ser solo un SSID y una frase de contraseña. Ese nivel de seguridad es simplemente demasiado fácil de comprometer.
Cada usuario debe tener acceso único a la red WiFi a través de un sistema de autenticación como RADIUS, que autentica a cada usuario individualmente.
Idealmente, RADIUS debería integrarse con el directorio de usuarios para optimizar los datos de los usuarios y eliminar los problemas que plantean las credenciales de red compartidas .
Para una capa adicional de protección, se puede crear una VLAN invitada separada con acceso restringido para garantizar la seguridad y brindar una experiencia de usuario positiva.
Si la organización cuenta con una sala de servidores locales, esta debe mantener estrictamente restringida y monitoreada. Solo se debe otorgar acceso a las personas que lo necesiten y se debe realizar un seguimiento de quienes tienen acceso.
Con la evolución de la tecnología, la infraestructura en la nube y las aplicaciones web se convierten en los aliados ideales para las nuevas empresas. Sin embargo, el hecho de que iniciar una empresa se haya vuelto más accesible no significa que con lleve menos riesgos. Con el poder de la computación, el almacenamiento y los servicios en la nube, viene la responsabilidad de la seguridad.
Para proteger la infraestructura en la nube, el primer paso importante es habilitar adecuadamente el firewall y la red. Por ejemplo, AWS llama a esta función Grupos de seguridad, pero casi todos los proveedores de IaaS tienen una funcionalidad equivalente.
Es importante asegurarse de bloquear el acceso entrante y saliente a la política más restrictiva que este funcionando para cada aplicación. Además, de asegurarse de que todos los servidores activos estén protegidos por un cortafuegos y conectados en red de forma adecuada.
Es fácil olvidarse de un servidor y dejarlo desprotegido en la Internet pública. Idealmente, también tendrá acceso VPN a la infraestructura de la nube con restricciones, como acceso basado en certificados o incluso requisitos de geolocalización/IP para continuar mejorando la seguridad.
Es importante asegúrese de que todos sus servidores y aplicaciones estén actualizados. Los servidores desactualizados (especialmente los conectados a Internet) son muy susceptibles a los ataques; pueden ser el objetivo de técnicas automatizadas que buscan y explotan vulnerabilidades conocidas.
Algunas plataformas de directorio basadas en la nube, ofrecen servicios de parches y recomiendan complementar con servicios de parches basados en SaaS, como es el caso de JumpCloud, que ofrece parches para servidores virtuales, máquinas virtuales y soluciones de terceros.
La seguridad de la infraestructura de la nube depende en gran medida de un acceso de usuario preciso y estrictamente controlado. Un sistema central de administración de usuarios puede ayudar a resolver este problema al administrar quién puede acceder a sus sistemas Windows, Linux o Mac. Como también se le puede solicitar a los usuarios que utilicen contraseñas complejas, claves SSH o MFA para acceder al infraestructura del servidor.
Independientemente de cómo administre el acceso con credenciales, siempre se deben aplicar los principios de privilegio mínimos. El tiempo adicional dedicado a determinar quién debe tener acceso a qué y en qué nivel podría significar la diferencia entre un incidente de seguridad y una violación en toda regla.
Dado que actualmente en la mayoría de los casos las soluciones de AWS SSO y AWS IAM a menudo son aprovechadas para acceder a varios componentes de la infraestructura de la nube, se debe tener mucho cuidado al asignar a los usuarios las funciones y los permisos correctos. Además, la integración de una plataforma de directorio basada en la nube con AWS SSO o AWS IAM es fundamental para tener un control total sobre el acceso de los usuarios a los recursos de TI, y el registro detallado de todos los accesos de los usuarios también es imprescindible en los entornos actuales de gran cumplimiento.
Si es posible, es mejor proteger los datos en reposo con encriptanción. Diferentes proveedores ofrecen diferentes niveles y tipos de encriptación, y la encriptación de mayor seguridad no siempre está habilitada de forma predeterminada. Se debe verificar las políticas y ofertas de encriptación ofrecida; si no satisfacen las necesidades requeridas, existe una amplia variedad de herramientas y sistemas que pueden ayudar a encriptar los datos almacenados en la nube.
Además de encriptar datos en reposo, es importante proteger los datos en tránsito. Por ejemplo, si los servidores de la empresa se comunican entre sí desde diferentes firewalls, debe haber una comunicación segura entre todos los componentes involucrados. Esto se puede lograr a través de VPN u otros mecanismos para encriptar los datos en tránsito.
Los proveedores de infraestructura en la nube y los proveedores de SaaS solo llegan hasta cierto punto con sus medidas de seguridad; los clientes deben hacer su debida diligencia para verificar las medidas de seguridad de los proveedores y personalizarlas o complementarlas para cumplir con los estándares de seguridad de las organizaciones.
Prácticamente todos los proveedores de infraestructura en la nube y plataformas SaaS realizan negocios bajo un modelo de seguridad compartida: algunos aspectos están cubiertos por el proveedor y muchos otros son responsabilidad del cliente. Cada Startup debe entender cómo el proveedor aborda y ejecuta la seguridad que sigue siendo responsabilidad de la Startup.
El control del acceso de los usuarios a las aplicaciones y la gestión eficaz del ciclo de vida de los usuarios son algunos de los aspectos más importantes de la seguridad en una Startup en crecimiento. La mayoría de las Startup actualmente almacenan sus datos críticos en varias ubicaciones diferentes: por ejemplo, una startup puede almacenar su código fuente en GitHub, los datos de los clientes en Salesforce y las finanzas en Xero. Por este motivo, las nuevas empresas deben ser extremadamente restrictivas y diligentes sobre a quién otorgan acceso a las aplicaciones.
Conectar el acceso de los usuarios a una plataforma de directorio basada en la nube, puede hacer que el proceso de administración del ciclo de vida del usuario sea mucho más simple y seguro. Para lograrlo se deben atribuir roles a cada usuario y aprovisionar de manera inteligente el acceso a las aplicaciones y las políticas de seguridad en función de los datos de ese usuario. El contexto también importa, y las organizaciones innovadoras están aprovechando las técnicas de acceso condicional para garantizar que el acceso a las aplicaciones web críticas se verifique y sea seguro en función de la identidad, el dispositivo, la red y el acceso con privilegios mínimos.
El acceso compartido es un problema común en las nuevas empresas. A menudo, esto ocurre en un intento de ahorrar en costos de licencias o por el afán de obtener soluciones en menos tiempo sin involucrar el área de TI. Sin embargo, los beneficios de ahorro de costos o tiempo no superan el riesgo de compartir credenciales.
Además de los problemas obvios de compartir contraseñas, también hace que sea casi imposible rastrear quién tiene acceso a las credenciales. Las organizaciones nunca deben escatimar en licencias o permitir que los usuarios compartan cuentas entre sí, especialmente cuando se trata de acceder a la infraestructura de la nube o las aplicaciones web.
A pesar de una comprensión generalizada de la importancia de las mejores prácticas de contraseñas, muchos usuarios aún no las siguen. Esto, junto con la creciente sofisticación de los piratas informáticos en el descifrado de contraseñas, genera la necesidad de una solución de inicio de sesión más sofisticada.
MFA alivia los problemas con las contraseñas; siempre que sea posible, MFA debe estar activado. Esto aumenta exponencialmente la seguridad al requerir acceso tanto a las credenciales como al dispositivo del usuario al mismo tiempo.
Muchos sistemas y aplicaciones tienen la opción de habilitar MFA; para aquellos que no lo hacen, las soluciones de inicio de sesión único pueden aplicar MFA a todas las aplicaciones de un usuario con un inicio de sesión seguro.
Retener cuentas no utilizadas y desatendidas es una de las principales formas en que las organizaciones se ven comprometidas; de hecho, el 48% de las personas conservan el acceso a al menos algunos de los recursos de TI de su organización anterior. Esto presenta riesgos tanto de seguridad como de cumplimiento.
Las plataformas de directorio en la nube reducen drásticamente el riesgo de dejar cuentas abiertas desatendidas a través de una eliminación rápida e integrada: cuando un IdP administra todas las aplicaciones de un usuario, puede desaprovisionarlas todas a la vez. Las soluciones de informes y análisis también pueden resaltar las cuentas antiguas y que deben eliminarse.
En esta sección, se cubrirán los desafíos comunes que enfrentan las nuevas empresas al proteger a los usuarios y sus dispositivos, especialmente en el lugar de trabajo remoto o híbrido cada vez más común, y las soluciones para ayudarlo a continuar creciendo rápidamente y con éxito.
Como saben los expertos en seguridad, el componente más crítico en la cadena de seguridad es el usuario. No importa cuán grandes sean los sistemas implementados o los procesos, un error de un individuo puede hacer que todas esas salvaguardas sean inútiles.
Lo ideal es poder contabilizar a todos los usuarios de la organización y almacenar datos críticos sobre ellos, como permisos y recursos asignados, en cualquier momento y desde cualquier lugar. Estos son algunos de los atributos que se deberían poder ver y administrar:
La mayoría de las empresas utilizan plataformas de directorio en la nube para lograr esto. Algunas empresas emergentes no ven como una prioridad el uso de una plataforma de estas características si solo administran unos pocos usuarios; sin embargo, optar por prescindir de un servicio de directorio y rastrear estos datos de forma manual, tarea que se dificulta cuando llega el momento de un crecimiento exponencial.
Si bien la mayoría de los directorios permiten el seguimiento de los usuarios y los datos de los usuarios, las plataformas de directorios en la nube dan un paso adelante a las nuevas empresas en la nube al ofrecer SSO a todas las aplicaciones basadas en la nube, aprovisionamiento y desaprovisionamiento automatizados, gestión de sistemas/capacidades de MDM, integración de RADIUS, informes de cumplimiento y varias otras características que ahorran tiempo.
Si bien se puede configurar requisitos de complejidad de contraseña para los dispositivos y aplicaciones, es fundamental que los usuarios se sientan cómodos con la creación de contraseñas seguras.
Algunas plataformas de directorio en la nube, como JumpCloud, le permiten establecer y hacer cumplir los requisitos mínimos de complejidad de la contraseña. Los administradores de contraseñas son otra forma muy efectiva de garantizar que los empleados creen contraseñas seguras y únicas sin comprometer su efectividad al escribirlas.
Cuando los empleados mezclan las contraseñas de las cuentas comerciales y personales, el compromiso de una cuenta personal pone en riesgo el negocio. Se deben crear contraseñas únicas para cada una de las cuentas, preferiblemente con un administrador de contraseñas, como se detalla anteriormente.
Si bien todos los dispositivos de trabajo deben tener controles estrictos y estar encriptados, este no debe ser el único método de defensa. Los empleados deben comprender que son responsables de mantener el control físico de los dispositivos que utilizan para el trabajo, ya sean personales o corporativos. Agregar esta capa de control y protección diligentes por parte del empleado asegura aún más los datos corporativos.
Los sistemas operativos más recientes ofrecen cifrado de disco completo para ayudar a proteger los datos ubicados en los terminales. Debido a que es muy probable que los datos corporativos se puedan encontrar en los puntos finales a pesar de usar servicios en la nube, el cifrado de dispositivos es un paso importante para proteger los datos corporativos valiosos.
El cifrado de disco es relativamente simple de habilitar y también es fácil de usar. La contraseña del dispositivo puede activar o desactivar el cifrado del disco, lo que subraya la importancia de una contraseña compleja. Un enfoque centralizado garantizará que las claves de recuperación se almacenen de forma segura, así como informará sobre qué usuarios/máquinas tienen habilitado el cifrado de disco y cuáles no.
Además de usar MFA para sistemas y aplicaciones, los empleados deben habilitar MFA en sus dispositivos. Una contraseña compleja aumenta la seguridad del punto final, pero agregar acceso MFA al punto final lo eleva a otro nivel.
El acceso condicional puede reducir la fricción de este paso cuando un usuario inicia sesión utilizando otros criterios conocidos, como en una red aprobada.
El software antivirus (AV) debe instalarse en todos los dispositivos. Hay una razón por la que este protocolo de seguridad ha sido un elemento básico de TI durante muchos años. Si bien el software AV no detecta todos los problemas, sí reduce drásticamente las posibilidades de que un punto final se vea comprometido. Una vez más, la seguridad en capas siempre es mejor que un enfoque unidimensional, y antivirus/antimalware es una capa efectiva sin fricciones.
Para cultivar una cultura empresarial orientada a la seguridad, las nuevas empresas deben crear un programa de seguridad que especifique sus estándares y políticas de seguridad. También deben emitir capacitación obligatoria para garantizar que los empleados comprendan estas políticas.
El programa de seguridad no necesita ser un documento largo o complejo; de hecho, es probable que un programa claro y conciso para los empleados funcione mucho mejor que una larga lista de cosas que deben hacer o de las que deben estar al tanto. El programa de seguridad adecuado hace que los empleados piensen en cómo proteger sus datos personales, cuentas y acceso porque entienden la importancia.
Si estás interesado en una solución que ofrezca todas estas funcionalidades de forma integrada, te recomiendo conocer JumpCloud. Es una plataforma de directorio en la nube que abarca desde autenticación multifactor (MFA) hasta cifrado de dispositivos y gestión de contraseñas.
Para programar una demostración y explorar cómo JumpCloud puede satisfacer las necesidades de tu empresa, haz clic aquí.
Desde 1954 ofrecemos un servicio integral y personalizado a empresas de todos los tamaños. Esto nos ha permitido expandir las operaciones desde España hacia América Latina y África para ayudar a nuestros clientes en sus operaciones ofreciéndoles soluciones innovadoras y vanguardistas.
