Asana implementa 1Password para proteger credenciales sensibles y datos de clientes

Se bloquearon todos los intentos de acceso no autorizados

Implantar 1Password en un día

Todos los empleados de Asana ahora utilizan dispositivos conocidos y seguros

Resultados

• Se ha pasado de la seguridad básica del dispositivo a la aplicación completa en todos los sistemas sensibles sin afectar la carga de trabajo del equipo de ayuda o la productividad de los empleados. 

• Se se ha asegurado que toda la autenticación se realice desde dispositivos aprobados y compatibles.

• Revisiones y requisitos de seguridad simplificados solicitados por los clientes empresariales y gubernamentales de Asana.

• Ha fortalecido los procesos de baja revocando el acceso desde los dispositivos personales de los empleados salientes.

• Acceso seguro con un despliegue sencillo que equilibró la productividad y tuvo buena acogida entre los equipos de ingeniería.

Lo ideal es una herramienta de seguridad que no afecte a los usuarios, sea fácil de gestionar para el departamento de TI y cumpla con lo que se supone que debe hacer. 1Password cumple esos requisitos.

Johan Dowdy
Global Head of IT and IT Security at Asana

Desafíos

Asana es el sistema de acción para el trabajo, en el que las personas y la IA colaboran para ayudar a los particulares a trabajar de forma más inteligente, a los equipos a avanzar más rápido y a las organizaciones a obtener resultados. Con una plantilla mundial de 1700 personas, Asana necesitaba una forma segura de gestionar y compartir las credenciales y, al mismo tiempo, garantizar que el acceso a los sistemas confidenciales solo se realizaba desde dispositivos autorizados y que cumplieran con las normas. 

Asana usa 1Password Enterprise Password Manager desde 2019 y, en 2024, añadió 1Password Device Trust para cumplir su objetivo de establecer un entorno de seguridad de confianza cero. El director global de TI y seguridad informática, Johan Dowdy, eligió 1Password para cumplir su objetivo de establecer un entorno de seguridad de confianza cero que abordara varios desafíos clave:

• Gestión de credenciales. Asana necesitaba un lugar único y seguro para proteger y compartir credenciales entre sus equipos distribuidos.

• Cumplimiento de los dispositivos. La empresa necesitaba una forma de verificar el cumplimiento de su Política de Uso Aceptable (AUP) y garantizar que los empleados accedieran a los sistemas solo desde dispositivos autorizados.

• Requisitos normativos y empresariales. Las crecientes expectativas de cumplimiento, incluidas las exigencias de FedRAMP y de los clientes empresariales, requerían controles más estrictos y verificables de los dispositivos y de la postura de identidad.

• Punto de entrada de Zero Trust. La empresa necesitaba un punto de entrada práctico a la seguridad Zero Trust sin la interrupción de herramientas grandes y complejas.

Elegir el progreso sobre la disrupción en el camino hacia la Zero Trust

El objetivo de Dowdy es implementar una arquitectura de red Zero Trust para Asana a fin de reforzar la seguridad. Las estrategias de Zero Trust pueden ser costosas, complejas y requerir varios años, lo que interrumpe el negocio. Así que Dowdy adoptó un enfoque pragmático y de varias etapas, centrándose primero en lo que considera la pieza más crítica del rompecabezas de Zero Trust: proteger los puntos finales y, en concreto, los dispositivos de los usuarios finales. «Debemos estar seguros de que nuestros puntos finales sean seguros y saber que nuestros usuarios finales solo inician sesión en nuestros sistemas desde dispositivos en los que confiamos», afirma.

Dowdy eligió 1Password por dos razones clave. En primer lugar, 1Password Enterprise Password Manager ya era una herramienta fiable y ampliamente adoptada dentro de Asana. En segundo lugar, 1Password Device Trust ofrecía una forma mucho más sencilla y eficaz de bloquear el acceso no confiable que otras soluciones. 1Password Device Trust también ofrecía una integración perfecta con Okta, la plataforma de gestión de identidades y accesos (IAM) elegida por Asana. 

Lo más importante para Dowdy sería que la experiencia del usuario final fuera transparente, con una fricción mínima y una carga extremadamente baja del servicio de asistencia técnica. Si un dispositivo o acción no cumple con la política, se deja claro a los usuarios que el acceso está restringido. Mientras tanto, el alto nivel de incorporación y soporte al éxito del cliente de 1Password permite un despliegue rápido y sin problemas para los empleados.

Elegimos 1Password porque nos ofrecía soluciones eficaces y fáciles de usar para los desafíos de seguridad fundamentales y avanzados.

Johan Dowdy
Global Head of IT and IT Security at Asana

Comenzando con confianza cero donde más importa: en el endpoint

1Password Device Trust funciona conjuntamente con Okta, el proveedor de identidad de Asana, para verificar un dispositivo antes de concederle acceso a aplicaciones confidenciales. Comprueba que el usuario utiliza un portátil de trabajo gestionado, seguro y de confianza, cumpliendo así con un principio central de seguridad de confianza cero.

1Password Device Trust también proporciona al equipo de TI una mayor confianza en el proceso de incorporación. Una vez que Device Trust comprueba el dispositivo de un empleado, éste sigue su flujo habitual de SSO/Okta, que desbloquea 1Password EPM o le da acceso a las aplicaciones que Asana ha protegido mediante SSO. 

«Una vez que este proceso esté completo, los empleados pueden continuar con su día, sin que se requiera ninguna acción adicional por su parte», explica Dowdy. «Las herramientas de seguridad están diseñadas para ser transparentes, con solo una pantalla parpadeando rápidamente cada vez que un usuario se autentica con Okta».

Los dispositivos de los usuarios finales son nuestros puntos finales más críticos. Queremos asegurarnos de que la gente inicie sesión en nuestros sistemas desde dispositivos de confianza que podamos verificar. Y 1Password Device Trust lo consigue.

Johan Dowdy
Global Head of IT and IT Security at Asana

Para minimizar las interrupciones, el equipo de Dowdy implementó 1Password Device Trust metódicamente e introdujo las nuevas comprobaciones y políticas por fases. Este enfoque provocó una interrupción mínima de los empleados mientras se lograba un paso importante hacia la seguridad Zero Trust. «Al ir más allá de la dependencia de la política de uso aceptable, ahora podemos verificar realmente que los usuarios están siguiendo los protocolos», dice Dowdy.

Bloquear más amenazas manteniendo la productividad y la capacidad del servicio de asistencia técnica.

Asana utiliza 1Password Enterprise Password Manager para que los equipos compartan contraseñas y otros secretos, como claves de API y credenciales de gestión de servidores. La solución ofrece a Asana un lugar único y seguro para proteger cada credencial. Garantiza que la información confidencial y de acceso crítico, como las claves de los sistemas de producción y los inicios de sesión en los servidores, nunca se almacene en formatos inseguros, como hojas de cálculo. 

Con la implementación completa de 1Password Device Trust, Asana pasó de un entorno con pocos controles de seguridad de dispositivos a una aplicación completa en toda su plantilla. El equipo de Dowdy ahora cuenta con capacidades de supervisión fiables, que incluyen visibilidad del comportamiento del usuario y los patrones de acceso a los dispositivos. Esta visibilidad les permite asegurar que toda la autenticación se realice desde dispositivos aprobados y conformes. 

Como resultado, Asana ha conseguido la gran mayoría de los inicios de sesión de dispositivos. Todos los usuarios del ecosistema Asana tienen ahora un dispositivo conocido y compatible. Todos los intentos de acceso no autorizados están bloqueados. Asana ha implementado una amplia gama de comprobaciones, como el MDM, el sensor CS Falcon, las actualizaciones de macOS/Windows y el cifrado de archivos y discos, entre muchas otras. La empresa también ha conseguido controles claros y verificables que permiten obtener mejores resultados en las revisiones de seguridad para clientes empresariales y gubernamentales.

Es un trabajo mucho más ligero si empiezas con 1Password Device Trust como primera pieza del rompecabezas de Zero Trust. Llevamos meses usando la solución y, hasta ahora, no ha habido ninguna queja.

Johan Dowdy
Global Head of IT and IT Security at Asana

Asana pudo implementar la tecnología rápidamente y, a continuación, refinar gradualmente la aplicación de las políticas, en función de las necesidades empresariales y de la preparación de los usuarios. 1Password también proporcionó al equipo de TI una mayor confianza en el proceso de desvinculación: los empleados utilizan 1Password Device Trust desde el primer día sin interrupciones, y el acceso desde dispositivos personales se elimina en cuanto finaliza su relación laboral. 1Password Device Trust también añade una capa adicional de seguridad para el equipo de TI, de modo que incluso si un empleado que ha abandonado abruptamente la empresa aún posee sus credenciales corporativas, se le impide inmediatamente iniciar sesión en los recursos de la empresa desde un dispositivo personal no confiable.

Todo esto se logró con un impacto mínimo en la experiencia de los empleados. «Con 1Password, logramos una actualización crítica de seguridad con una implementación que evitó la pérdida de productividad o la resistencia de los ingenieros», dice Dowdy. 

Construyendo una arquitectura Zero Trust en capas basada en una sólida integridad de los puntos finales

Dowdy planea construir poco a poco su nueva arquitectura de red de confianza cero. Con 1Password Device Trust implementado para garantizar que los dispositivos son conocidos y están en buen estado, Dowdy confía en que su equipo cuenta con la base necesaria para proteger aún más la empresa.

A medida que amplíe la seguridad Zero Trust de Asana, Dowdy seguirá adoptando un enfoque pragmático y «más ligero» para minimizar las interrupciones y maximizar la adopción.

«Operar con éxito en la intersección entre las personas y la tecnología significa proporcionar a las personas el acceso digital que necesitan para ser productivas, mientras se mantiene la seguridad y el cumplimiento de sus sistemas», dice Dowdy. «Estamos logrando eso con 1Password».