Muchos trabajadores y gerentes en los Estados Unidos y el Reino Unido valoran más la confianza en el lugar de trabajo que la compensación financiera, según una nueva investigación publicada el martes.
Una encuesta de 500 trabajadores y gerentes en los EE. UU. y el Reino Unido realizada por Investigación Osterman para empresa de ciberseguridad cerby descubrió que casi la mitad de los participantes (47 %) dijeron que aceptarían una reducción salarial del 20 % a cambio de una mayor confianza por parte de su empleador.
Otras características que los investigadores consideraron muy apreciadas por los empleados incluyeron la flexibilidad (48 %), la autonomía (42 %) y la posibilidad de elegir las aplicaciones que necesitan para trabajar con eficacia (39 %).
Informe sobre el estado de la confianza de los empleados de Osterman y cerby examina el impacto de los principios de confianza cero que muchas empresas están adoptando rápidamente como una solución a sus necesidades de seguridad cibernética como resultado del uso de «aplicaciones inmanejables» por parte de trabajadores y gerentes.
“Las aplicaciones están íntimamente ligadas a los niveles de compromiso y empoderamiento de los empleados. Si los empleadores intentan bloquear esas aplicaciones, lo que suelen hacer, afecta negativamente la confianza”, observó Matt Chiodi, director de confianza de Cerby, un proveedor de arquitectura de confianza cero para aplicaciones no administrables con sede en San Francisco.
“El sesenta por ciento de los empleados dijo que si se bloquea una aplicación que quieren, afecta negativamente cómo se sienten acerca de una empresa”, dijo Chiodi a TechNewsWorld.
“La respuesta no es que los empleadores bloqueen estas aplicaciones, sino encontrar soluciones que permitan administrar estas aplicaciones inmanejables”, dijo.
Preocuparse por el control
Los equipos de seguridad desaprueban el uso de aplicaciones inmanejables, también conocidas como TI en la sombra, por muchas razones. “Los empleados van y vienen. Una organización puede terminar con miles de credenciales no utilizadas para acceder a sus recursos”, explicó Szilveszter Szebeni, CISO y cofundador de Tresorituna empresa de soluciones de seguridad basadas en el cifrado de correo electrónico de Zúrich.
“Con una montaña de accesos inactivos, los piratas informáticos seguramente accederán a algunos que pasarían desapercibidos y allanarían el camino para infiltrarse en la organización a través de un movimiento lateral”, dijo Szebeni a TechNewsWorld.
Las aplicaciones inmanejables pueden poner en peligro a una organización porque no tiene control sobre las prácticas de seguridad impuestas en el desarrollo y la gestión de los programas, señaló John Yun, vicepresidente de estrategia de productos de fichas de colorun proveedor de soluciones autónomas de ciberseguridad de confianza cero en San José, California.
“Además, la organización no supervisa los requisitos de actualización de seguridad de las aplicaciones”, dijo Yun a TechNewsWorld.
Sin ningún control sobre la aplicación, las organizaciones no pueden confiarle el acceso a sus entornos, sostuvo Mike Parkin, ingeniero técnico senior de Vulcano cibernéticoun proveedor de SaaS para la corrección de riesgos cibernéticos empresariales en Tel Aviv, Israel.
«Permitir que los empleados elijan la mejor herramienta para el trabajo, especialmente cuando se ejecuta en su propio equipo, es bienvenido», dijo Parkin a TechNewsWorld.
Sin embargo, afirmó: «Requiere cierto compromiso con la organización que se esfuerza por examinar las aplicaciones elegidas y los empleados dispuestos a abstenerse cuando su aplicación preferida no está en la lista aprobada».
Roger Grimes, un evangelista de defensa basado en datos en SaberBe4un proveedor de capacitación en concientización sobre seguridad en Clearwater, Fla., tomó una línea más dura sobre el tema.
«Depende de los administradores de riesgos de seguridad cibernética de una organización determinar si los riesgos incurridos valen los beneficios», dijo Grimes a TechNewsWorld. “No desea que el usuario final promedio decida qué es o no riesgoso para la organización más de lo que desea que el pasajero promedio vuele un avión”.
¿Vale la pena el riesgo?
Las aplicaciones se consideran inmanejables porque a menudo no admiten medidas de seguridad comunes, como el inicio de sesión único y la adición o eliminación automática de usuarios, explicó Chiodi.
“Eso presenta un riesgo para una empresa, pero los usuarios comerciales aún necesitan esas aplicaciones”, dijo. “Las empresas deben encontrar formas de llevar esas aplicaciones a un punto en el que puedan administrarse, de modo que se reduzcan esos riesgos”.
Etiquetar aplicaciones como inmanejables es engañoso, observó Marcus Smiley, director ejecutivo de Conceptos de épocaun proveedor de soluciones de TI en Littleton, Colo.
“Están construidos sin soporte para los estándares de seguridad modernos de la industria, lo que los hace más difíciles de monitorear y proteger”, dijo Smiley a TechNewsWorld, “pero si bien esto significa que no se pueden administrar como otras aplicaciones, se pueden administrar de diferentes maneras. ”
“Cuando se utilizan aplicaciones inmanejables, siempre hay algún motivo”, dijo. “Muchas organizaciones necesitan una mejor comunicación entre TI y los empleados para aclarar las políticas de la empresa y las razones detrás de ellas”.
“La TI también debe proporcionar canales para solicitar aplicaciones y ser proactivo para brindar alternativas más seguras a las problemáticas”, agregó.
Smiley sostuvo que, en algunas situaciones, permitir aplicaciones inmanejables con supervisión es apropiado para garantizar que se implementen las mejores prácticas de gestión de identidad y configuraciones más seguras en lugar de las menos seguras.
“En última instancia, no existe una estrategia de ciberseguridad libre de riesgos”, señaló. “Todos los programas de seguridad, incluso aquellos que se encuentran bajo confianza cero, incluyen compensaciones entre la funcionalidad comercial, la productividad y el riesgo de misión crítica”.
Se necesita un acto de equilibrio
El enfoque más seguro es hacer que cualquier aplicación sea revisada antes de su adopción por una persona o un equipo con experiencia en seguridad cibernética para identificar cualquier problema que pueda surgir del uso del software o servicio, asegurarse de que los términos legales sean aceptables, así como planificar el mantenimiento continuo, recomendado. Chris Clements, vicepresidente de arquitectura de soluciones en Centinela Cerberouna empresa de consultoría de seguridad cibernética y pruebas de penetración en Scottsdale, Arizona.
“Desafortunadamente, muchas organizaciones no tienen la experiencia o los recursos para evaluar adecuadamente estos riesgos, lo que hace que el proceso no ocurra en absoluto, o sea tan malo, que se prolongue durante semanas o meses, lo que daña la moral y la productividad de los empleados”, dijo Clements a TechNewsWorld. .
“Equilibrar el riesgo de ciberseguridad con las necesidades de los empleados es una práctica que las organizaciones deben tomar más en serio”, dijo. “Permitir un enfoque del Salvaje Oeste inevitablemente introducirá riesgos de ciberseguridad. Pero, por otro lado, ser demasiado estricto puede llevar a elegir soluciones de productos o servicios que están demasiado comprometidas en cuanto a la usabilidad y la comodidad del usuario o simplemente negar la aprobación por completo”.
“Estos pueden causar frustración y llevar al personal a abandonar la organización o subvertir activamente los controles de seguridad”, continuó.
El mal uso de los principios de confianza cero también puede aumentar esa frustración. “La confianza cero es para datos, acceso, aplicaciones y servicios”, argumentó Chiodi. “Pero cuando se trata de generar confianza en el lado humano, las empresas deben apuntar a una gran confianza. Los dos no son mutuamente excluyentes. Es posible, pero se necesitará un cambio en la forma en que los empleadores usan los controles de seguridad”.
“Al dar a los empleados opciones tecnológicas, las empresas pueden demostrar que confían en sus empleados para tomar decisiones tecnológicas que los ayuden a hacer mejor su trabajo”, agregó Karen Walsh, directora de Soluciones Allegrouna empresa de consultoría de seguridad cibernética en West Hartford, Conn.
«Al reforzar esto con la educación en torno a la mentalidad de ‘asumir un compromiso'», dijo Walsh a TechNewsWorld, «construyen una relación más sólida con los miembros de su fuerza laboral».