Descubriendo la verdad sobre las aplicaciones no federadas a través de una investigación independiente.
De vez en cuando surge una nueva categoría de riesgo, normalmente impulsada por un acontecimiento decisivo. Pensemos en el ataque a la cadena de suministro de SolarWinds. En una investigación que anunciamos hoy con el Instituto Ponemon , hemos descubierto el próximo cisne negro de la ciberseguridad: las aplicaciones no federadas. Nuestra investigación indica que generan entre el 11% y el 15% de las brechas anualmente.
¿Qué son las aplicaciones no federadas?
Definimos las aplicaciones como no federadas si no admiten estándares comunes de identidad y seguridad como APIs y SAML (Lenguaje de Marcado para Confirmaciones de Seguridad). Mientras que el Shadow IT suele referirse a utilizar SaaS sin la aprobación de TI y de seguridad, las aplicaciones no federadas, incluidas las locales, OT, legacy y en la nube, abarcan todo el espectro de infraestructuras y sistemas de TI.
La falta de soporte para los estándares de seguridad imposibilita la gestión de estas aplicaciones con proveedores de identidad. Por desgracia, el 44% de los profesionales de seguridad y TI afirman que los CISO subestiman los riesgos inherentes a su uso. ¿No es lógico que los equipos de seguridad dediquen un promedio de 47 horas a la semana investigando posibles accesos no autorizados a estas aplicaciones?
Basándose en la investigación del Instituto Ponemon, las siguientes son cinco conclusiones clave que muestran por qué las aplicaciones no federadas serán la próxima amenaza significativa por manejar en ciberseguridad:
Riesgos elevados de ciberseguridad y contribución a las brechas
El 52% de las organizaciones han experimentado incidentes de ciberseguridad causados por aplicaciones no federadas. El 63% informó de un mínimo de 4 y un máximo de 5 incidentes. Estas infracciones pueden provocar la pérdida de clientes y socios comerciales, lo que enfatiza la importancia de abordar los riesgos de seguridad asociados a las aplicaciones no federadas.
Correlacionando la investigación de Ponemon con el Reporte de Investigaciones de Brechas de Datos de Verizon (DBIR) y el Reporte de Costos de una Brecha de IBM, el porcentaje de brechas en general causadas por aplicaciones no federadas puede estimarse entre 11 y 15 por ciento.
Ineficacia de las políticas de seguridad y los controles de acceso
Un alarmante 69% de los encuestados indicó que sus organizaciones son poco eficaces a la hora de impedir que los usuarios desactiven la autenticación de múltiples factores (MFA). Este dato es especialmente preocupante, ya que el MFA se considera uno de los métodos más eficaces para evitar el acceso no autorizado. Además, el 63% de los encuestados indicó que sus organizaciones son poco eficaces a la hora de evitar que los empleados reutilicen contraseñas. La reutilización de contraseñas es un riesgo de seguridad importante, ya que permite a un atacante que obtiene la contraseña de una cuenta acceder a otras muchas.
La encuesta también reveló que el 65% de los encuestados son poco eficaces a la hora de evitar que los empleados conserven el acceso a los sistemas críticos después de dejar su trabajo o cambiar de puesto. La conservación del acceso es un hecho preocupante, ya que sugiere que muchas organizaciones no disponen de procesos de gestión de acceso adecuados para las aplicaciones no federadas. Los empleados o contratistas que conservan el acceso a estos sistemas después de dejar el trabajo o cambiar de puesto aumentan la probabilidad de que se produzca un incidente de seguridad.
Falta de visibilidad y de una gestión precisa del inventario
La falta de visibilidad y de un inventario preciso de las aplicaciones no federadas es un reto importante para las organizaciones, ya que el 38% de los encuestados indica que no dispone de una lista precisa de las aplicaciones no federadas y un porcentaje similar indica que la falta de visibilidad dificulta la gestión de estas aplicaciones. Como dice el dicho, no puedes asegurar lo que no conoces.
El riesgo más grande, sin embargo, es que los CISO están volando a ciegas, probablemente sin tener estas aplicaciones en su registro de riesgos. Los registros de riesgos son vitales a la hora de elaborar el presupuesto de ciberseguridad y gestionar los riesgos adecuadamente. Cuando un riesgo como las aplicaciones no federadas no está en su registro, significa que no hay presupuesto para remediarlo y probablemente no hay controles compensatorios. Nuestra investigación confirma que ambas cosas son ciertas.
Costes ocultos y pérdidas de productividad
Las aplicaciones no federadas repercuten negativamente en los resultados financieros debido al trabajo manual. Un promedio de 8 personas participa en el proceso de aprovisionamiento y desaprovisionamiento, además de sus otras responsabilidades. El coste total anual de personal asciende a 648,000 dólares, de los que una parte significativa se destina al tedioso trabajo manual de aprovisionamiento y desaprovisionamiento, que podría ser mejor utilizado en otro lugar.
Desde el punto de vista de la pérdida de productividad, las organizaciones invierten un promedio de 7 horas en el aprovisionamiento de acceso para los nuevos empleados y 8 horas en el desaprovisionamiento de acceso para los empleados que se van. Nótese la diferencia entre la contratación y la salida. Por ejemplo, cuando Jenny entra a trabajar, puede que empiece con un conjunto estándar de aplicaciones, pero para cuando se vaya, esa lista habrá crecido y llevará más tiempo desprovisionar. Las unidades de negocio se llevan la peor parte de este costoso trabajo manual, ya que el 63% afirma que TI no gestiona el acceso de forma centralizada.
¿Resultados? El trabajo de gestión de accesos lo realizan unidades de negocio que probablemente no están capacitadas en las mejores prácticas de seguridad, ni es el mejor uso de su tiempo.
Impactos específicos en la industria
Los servicios financieros fueron la industria más representada en la encuesta, con un 18% de los encuestados procedentes de este sector. El sector médico y farmacéutico también estuvo bien representado, con un 11% de los encuestados. Ambos sectores son conocidos por ser objetivos principales de los atacantes. Según el reporte de Costos de una Brecha de Datos de 2022 de IBM, la industria médica experimentó el costo promedio más alto por brecha de datos, con 10.1 millones de dólares.
Las aplicaciones no federadas son un riesgo de ciberseguridad importante y poco conocido, que contribuye a muchos incidentes y brechas de seguridad. También crean retos operativos y aumentan la complejidad y los costos de TI. Los CISO y los CIO pueden abordar de forma proactiva los posibles riesgos de seguridad explorando estrategias que identifiquen las aplicaciones no federadas y faciliten la integración con sus proveedores de identidad. Descarga nuestro informe completo para adelantarte a los acontecimientos y proteger tu empresa.
Traducido por Luis Felipe Calvo, Vicente Muñoz Milchorena, y Nearshore Cyber.
