¿Puede el help desk crear una brecha en nuestra seguridad?
Un estudio entre 900 profesionales de TI muestra que casi la mitad de los Help Desk de empresa tienen lagunas en controles de seguridad y formación que podrían ayudar a evitar ataques como asaltos de ingeniería social.
El SANS 2013 Help Desk Security and Privacy Survey publicado recientemente señalaba que las tareas principales de los agentes de Help Desk eran atender las peticiones de los empleados y otras relacionadas con incidentes en los ordenadores, y restablecimientos de passwords. “Los agentes de Help Desks están entrenados para ser amables y completar, resolver o transferir el mayor número de llamadas posible” destaca el informe. Pero un tercio de los profesionales de TI encuestados, reconocieron que tenían una formación muy débil en gestión de riesgos y seguridad en su personal de Help Desk, mientras que un 5% no tenía ninguna y un 6% no sabía.
El 70% de los encuestados reconocieron que los ataques de “ingeniería social” en los que alguien trata de conseguir información sensible o passwords de los agentes del Help Desk, suponen un riesgo significativo.
Los agentes de Help Desk, que pueden tener acceso a fuentes de información corporativa sensible, suelen estar medidos por métricas de productividad y rapidez, lo que significa que los agentes están bajo presión para trabajar con rapidez. Y los Help Desk están a menudo faltos de personal.
“Como resultado un agente puede ignorar requerimientos de calidad y conformidad para poder cumplir los objetivos de cantidad y puntualidad” destaca el informe SANS. El informe también hace notar que las posiciones de entrada del Help Desk no están particularmente bien pagadas, y que hay una alta rotación, con cifras normales del 30 o 40 por ciento.
La automatización de operaciones del Help Desk es en general bastante bajo. Menos de la mitad de los encuestados dijeron tener algún tipo de herramientas de autenticación de usuarios o de autorización. El Help Desk está “lejos de ser uno de las áreas críticas en el presupuesto corporativo” indica el informe SANS. Alrededor de un cuarto de los profesionales de TI encuestados afirmaron haber tomado en consideración el coste de tener un incidente de seguridad a la hora de establecer el presupuesto del Help Desk, pero la mayoría no.
