¿Cómo asegurar la información de la empresa?, Por: Kurt Roemer, Chief Security Strategist Citrix.
Lima, Perú, 11 de febrero del 2015.— En los últimos años se produjo un movimiento de proporciones sísmicas en relación a cómo las empresas manejan la información. Las organizaciones solían ser propietarias de todo: aplicaciones, datos, red de trabajo, almacenamiento y servidores. Pero el auge de la tecnología móvil y la nube, impulsado por tendencias como «traiga su propio dispositivo» (BYOD por su sigla en inglés) y software como servicio, o SaaS, generó un enorme aumento en el acceso.
Las historias sobre ciberataques por parte de bandas de hackers externos suelen generar titulares, pero si nos centramos solamente en eso, nos arriesgamos a pasar por alto los grandes riesgos como el error humano y las acciones internas malintencionadas. Los usuarios esperan poder acceder a la información desde donde sea que estén, en cualquier dispositivo y en cualquier momento. Esta expectativa crea un grupo más amplio de problemas de seguridad.
El antiguo modelo de acceso le brindaba las llaves del reino en cuanto iniciaba sesión con credenciales válidas, dándole un pase de acceso completo para extraer información. El resultado era una cadena de filtración de datos y ataques de alto perfil.
El informe de investigación de filtraciones de Verizon publicado en 2014 reveló que la detección de fraudes está empeorando y la mayoría de las filtraciones se detectan a través de agentes de la ley o terceros. En el último año, el 88 por ciento de los casos de filtraciones no se descubrieron hasta semanas después de sucedidos. Una exfiltración, ya sea por actividad maliciosa o por error, puede producirse en minutos. Es claro que hace falta un nuevo modelo.
Reimaginar el acceso
Si vamos a atacar de frente y con éxito estos desafíos de seguridad, necesitamos un modelo sencillo que se pueda aplicar a toda solicitud de acceso a la información y decisión de transacciones. Las cinco preguntas del acceso son la clave:
- ¿Quién está tratando de entrar?
- ¿A qué se está accediendo?
- ¿Cuándo está ocurriendo esto?
- ¿En qué lugar del mundo está?
- ¿Por qué se necesita acceso?
Analicemos los elementos un poco más para ver cómo el análisis contextual y el modelado de comportamiento pueden permitir una detección de fraudes eficaz y una especificidad de acceso oportuno.
Establecer identidad y criterios de admisión
El concepto de identidad está evolucionando rápidamente. Ya no es sólo una cuestión de credenciales de usuario, ID y contraseña, o incluso identificaciones de dos factores. Analizar quién es usted y qué está tratando de hacer es la única forma de establecer el contexto y decidir si corresponde aplicar medidas de seguridad adicionales.
Es posible que se pueda iniciar sesión y obtener acceso a información pública con una cuenta de Gmail o Facebook. Queremos que sea sencillo y cómodo acceder a este tipo de datos, porque el riesgo es bajo y es más práctico para la gente que intenta trabajar. Pero en cuanto se intenta acceder a datos más sensibles, debe existir un mecanismo de defensa que pida una prueba de identidad mayor.
A través del modelado de comportamiento podemos activar una bandera roja cuando un usuario hace algo poco característico. ¿Por qué está iniciando sesión a las 3:30 de la mañana? ¿Está utilizando un dispositivo no registrado con el departamento de TI? ¿Está iniciando sesión desde otro país? ¿Está tratando de acceder a un proyecto en el que no está involucrado directamente?
Todo lo que no se ajuste al modelo habitual es una anomalía que requiere una explicación.
Círculos concéntricos de seguridad
El peso de la prueba debe hacerse más estricto a medida que la información a la que se trata de acceder se vuelve más sensible. Las comprobaciones de seguridad deben realizarse con más frecuencia y la validación debe ser más rigurosa cuando el riesgo es mayor.
Los modelos de confianza se deben establecer y verificar constantemente. Que esto se logre analizando el ID de un empleado con datos biométricos o reconocimiento facial con una cámara web depende de usted. Puede restringir algunas transacciones para máquinas y redes de trabajo de confianza. Se necesita aplicar una encriptación y un sistema que protejan la transacción que verifica, registra y prueba auditorías en forma defensiva.
El eje de la cuestión reside en la proporción correcta: uno no quiere someter a los empleados de bajo nivel que acceden a datos públicos a procedimientos de autenticación de factor múltiple durante todo el día de trabajo.
Automatizar el sistema
La mayoría de las organizaciones ya está recolectando un conjunto sofisticado de datos sobre sus empleados. Lo que no hacen es analizarlo. Para ser eficiente, el sistema tiene que ser automático, de modo que pueda usar estos datos para generar un modelo detallado que pueda realizar una referencia cruzada con el comportamiento actual y las solicitudes en tiempo real.
Además, el sistema debería ser predictivo y extrapolar los cambios de política necesarios o las actualizaciones de equipo a través de eventos en el calendario, o autorizar acceso desde una ubicación específica basada en confirmaciones de vuelo. Cotejar e interpretar estos datos le permite actuar en consecuencia antes de que sea demasiado tarde. Es la diferencia entre prevenir una filtración al cerrar la puerta a tiempo y realizar un análisis forense una vez que se escapó la liebre.