En todo el mundo, solo el 46 % de las pequeñas y medianas empresas (PYME) han implementado la tecnología de autenticación multifactor recomendada (MFA), y solo el 13 % exige su uso para el uso de aplicaciones o cuentas de empleados, y más de la mitad continúa confiando solo en nombres de usuario y contraseñas para proteger sus datos críticos, según un informe elaborado por la organización sin fines de lucro Cyber Readiness Institute (CRI) con sede en EE. UU.
MFA, también conocida como autenticación de dos factores (2FA), es una herramienta de gestión de identidad y acceso (IAM) que requiere que un usuario presente más de una prueba de que es quien dice ser cuando inicia sesión. Los métodos comunes de verificación incluyen el envío de un código único a un dispositivo separado o el escaneo biométrico.
Sin embargo, a pesar de que MFA ha existido durante algún tiempo, bien recomendado por expertos en seguridad y ampliamente adoptado en el mundo empresarial, según el CRI, está claro que la industria no ha logrado transmitir el mensaje a las PYME. Alrededor del 55 % de las pymes dijeron que no conocían mucho el MFA, el 47 % dijo que no lo entendía ni veía su valor, y el 60 % ni siquiera lo había discutido con sus empleados.
“Sabemos que casi todos los ataques de compromiso de cuentas se pueden detener por completo, simplemente usando MFA”, dijo la directora general de CRI, Karen Evans. “Es una forma comprobada y efectiva de frustrar a los malos actores. Todos nosotros (gobiernos, organizaciones sin fines de lucro, industria) debemos hacer mucho más para comunicar el valor de MFA a los propietarios de pequeñas y medianas empresas”.
Además, donde MFA se estaba utilizando en entornos de PYME, el estudio de CRI encontró que su implementación tiende hacia el azar. Solo el 39 % de los que lo usaron tenían un proceso para priorizar su uso en sistemas críticos, y el 49 % dijo que simplemente fomentaba su uso si estaba disponible, y también había brechas claras en torno a la capacitación de los empleados. Aquellos que usaron MFA tendieron a citar la financiación de herramientas, recursos de implementación y costos de mantenimiento como sus mayores desafíos de implementación.
Jen Easterly, directora de la Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA), agregó: “La verdad es que necesitamos que las pequeñas y medianas empresas estén seguras para proteger todo el ecosistema de seguridad cibernética, y eso significa que necesitan la herramientas, el conocimiento y el ímpetu para hacer cumplir la AMF.
“Tenemos la misión de alentar a las organizaciones de todos los tamaños a usar Más que una contraseña y habilitar MFA. El estudio de hoy señala el trabajo que queda por hacer, pero también muestra que la creciente comunidad se está uniendo para colaborar y garantizar que las pymes tengan lo que necesitan para mantenerse seguros en línea, tanto ellos como sus clientes”.
CRI señaló que la implementación de MFA generalmente no requiere que las organizaciones realicen cambios costosos de hardware en el estado de sus dispositivos, y las PYME pueden aprovechar numerosas herramientas de software de bajo costo (o incluso gratuitas) disponibles para que los usuarios las descarguen. Todos los principales proveedores de correo electrónico, por ejemplo, ofrecen MFA como una opción, con activación poco más que una cuestión de hacer clic en una opción en la configuración de la cuenta.
Si busca adoptar un enfoque más formalizado, lo cual se recomienda encarecidamente, hay varios pasos sencillos que las pymes pueden tomar:
- Designe a alguien en la organización para que esté a cargo de implementar MFA y para proporcionar liderazgo con actualizaciones sobre el progreso.
- Actualice las políticas y los procedimientos con explicaciones de lo que se espera de los empleados que usan MFA.
- Realice una sesión de capacitación para comunicar las políticas y expectativas de los empleados, apoyándose en lo simple que puede ser el proceso de usar MFA.
- Designe a alguien dentro de la organización para ayudar a solucionar los problemas de los empleados.
