Llegamos a ustedes gracias a:



Columnas de opinión

Cómo abordar los desafíos de la ciberseguridad del trabajo desde casa

Por: Pete Lindstrom, vicepresidente de investigación de Enterprise / NextGen Security en IDC

[14/09/2020] "¿Cómo debemos adaptar nuestros controles de ciberseguridad para abordar la nueva realidad del trabajo desde casa? Esta pregunta es una prioridad para los CIO y los ejecutivos de seguridad. Cuando se trata de ciberseguridad en la era posterior a la COVID-19, todo CIO necesita la respuesta a tres preguntas clave:

  1. ¿Cuáles son los cambios en los patrones de uso y la arquitectura en mi ambiente de TI?
  2.  ¿Cómo afectan estos cambios al riesgo?
  3.  ¿Qué cambios debo realizar en mi ambiente de control y posición de ciberseguridad?

Cambios en los patrones de uso y la arquitectura

Para muchas organizaciones, trabajar desde casa (FMH, por sus siglas en inglés) era poco común, especialmente para los trabajadores de oficina tradicionales en funciones comerciales horizontales como Finanzas, Recursos Humanos, Marketing, etcétera. Además, están acostumbrados a ir al escritorio de alguien cuando necesitan algo. Esto afecta el uso de dos maneras: el acceso remoto ahora es fundamental para muchos empleados, y las soluciones de comunicación y colaboración son esenciales para la efectividad de muchos empleados en el trabajo.

De particular importancia son las aplicaciones más sensibles, que a menudo se ejecutan localmente en redes separadas. Esto plantea un problema no solo para las necesidades de protección, sino también para el cumplimiento de las regulaciones globales y de la industria.

Cómo cambian los riesgos

El riesgo es una función de la probabilidad de que ocurra algún evento malo y su impacto en la organización. En ciberseguridad, la probabilidad se ve afectada por las actividades de los atacantes y la vulnerabilidad del ambiente de TI dentro del contexto del uso normal y legítimo de los sistemas. El impacto involucra la medida en que un ataque afecta la confidencialidad, integridad, disponibilidad, productividad y/o propiedad. Para comprender el efecto del uso de la COVID-19 y los cambios en la arquitectura, debemos comprender las amenazas, las vulnerabilidades y el impacto que conllevan estos cambios.

Al igual que con cualquier evento generalizado como las vacaciones, eventos deportivos o desastres naturales; durante la pandemia, hemos visto un aumento de la actividad de los hackers, con un aumento de los ataques de spam y phishing. Además, a veces se emplean nuevos métodos para cometer fraude o dañar de otro modo a las organizaciones debido a cambios en el uso. Por ejemplo, una vez que Zoom se volvió ampliamente utilizado para las reuniones, el hackeo "Zoom bombing se convirtió en una conclusión inevitable.

El riesgo se incrementa debido a la creciente importancia de las redes domésticas a medida que el trabado desde casa se convierta en una nueva realidad para muchos, y los trabajadores lleven sus actividades y prácticas comunes desde los puntos de acceso Wi-Fi a sus ambientes domésticos. Si bien las laptops suelen estar bien reforzadas para estos contextos, las redes domésticas no han sido objetivos importantes en el pasado y pueden necesitar más atención.

En el lado de la vulnerabilidad, es probable que las aplicaciones y servidores tengan una mayor superficie de ataque, simplemente debido a que los ambientes de TI extienden la conectividad de la red a los hogares; esto potencialmente expone nuevas vulnerabilidades de laptops, redes domésticas y aplicaciones en más componentes (piense que la red se detiene o "saltos). Las empresas que ya están acostumbradas al cómputo en cualquier momento y lugar saben cómo lidiar con estos ambientes, pero los nuevos patrones de uso y arquitecturas son cambios significativos para otras. Con la interconexión de las organizaciones y los socios comerciales, puede ser útil reconocer que esos socios, digamos en una cadena de abastecimiento, están experimentando desafíos similares: como resultado, todo el ambiente conectado soporta un mayor riesgo. En este contexto, puede haber una tercera, cuarta o incluso quinta parte involucrada en la actividad.

Finalmente, la COVID-19 trae consigo un nivel completamente nuevo de confianza en las aplicaciones de comunicación y colaboración, que puede no haber existido anteriormente. Esta es quizás la noción más difícil de recordar sobre el riesgo: incluso si nada hubiera cambiado técnicamente -lo que no es cierto en este caso-, el impacto puede aumentar, y ese es un contexto probable ya que las empresas actualmente luchan para mantenerse a flote en estos desafiantes momentos. El impacto también se siente en el soporte técnico debido a la naturaleza distribuida de los recursos. Cualquier tipo de triaje o infección de malware, etcétera. tendrá un mayor impacto simplemente debido a los esfuerzos logísticos adicionales necesarios para abordar el problema.

Efecto en el ambiente de control de la ciberseguridad

Históricamente, los ambientes de TI se han protegido "de abajo hacia arriba al abordar la ubicación física (generalmente un centro de datos), la red y los servidores/hosts. Se pueden obtener economías de escala en seguridad física colocando todos los equipos informáticos en la misma habitación (centros de datos, armarios de cableado, etcétera), y en seguridad de la red colocando todos los equipos en la misma red física, y utilizando firewalls para su separación. Estas economías de escala se han ampliado mediante el uso de las VPN de sitio a sitio, gateways de seguridad web y otras soluciones.

Aunque hay menos economías de escala, la seguridad de los terminales se ha incrementado a lo largo de los años y, en la actualidad, las laptops de propiedad de la empresa tienen una seguridad bastante sólida. Sin embargo, los smartphones, las tabletas y laptops de los empleados son otra historia. Algunas organizaciones han desarrollado un programa de seguridad que incluye todo, mientras que otras todavía se basan en una expectativa de propiedad total on premises de los activos. Por supuesto, muchos otros factores han cambiado a lo largo de los años, con la computación distribuida, Internet, la virtualización, la nube y todo definido por software. Sin embargo, se han aplicado muchos de los mismos principios. La COVID-19 cambiará todo eso.

Un día después de la primera orden de quedarse en casa, el efecto de la COVID-19 fue obvio. El primer gran obstáculo para muchas organizaciones fue garantizar que los usuarios pudieran acceder, desde casa, a las aplicaciones necesarias de forma segura. Por supuesto, las VPN son la primera línea de defensa y son extremadamente comunes, pero la necesidad de abordar el rendimiento y la administración se volvió primordial. Cambiar las restricciones y reglas de acceso de seguridad a la red ha sido una gran carga para algunos.

Sin embargo, otros están un poco más avanzados en la curva de innovación y no han tenido ningún problema significativo. Estas son empresas que a menudo modelan la arquitectura BeyondCorp de Google, o algunas otras capacidades de confianza cero, para introducir reglas dinámicas asignadas a usuarios y aplicaciones que cambian cuando cambia la ubicación. Estas empresas han implementado la autenticación multifactorial en todo su ambiente. Efectivamente, han subido la seguridad en ese stack para centrarse en los usuarios, los datos y las aplicaciones, independientemente de qué dispositivos o redes se usen normalmente, o dónde se almacenen.

Los profesionales de la ciberseguridad conocen, desde hace mucho tiempo, la necesidad de contar con controles más sólidos para proteger los ambientes informáticos cada vez más complejos. Para algunos programas en los que ya se ha realizado el trabajo de ingeniería e integración, este puede ser un buen momento para considerar una implementación lenta en una nueva arquitectura.

Sin embargo, otros programas que están detrás de la curva deben ser aún más conservadores. La línea, entre equilibrar el riesgo de un ataque futuro con la desventaja de los posibles falsos positivos que impiden la productividad de los usuarios legítimos, nunca ha sido tan fina. Ahora no es el momento de interrumpir la productividad en nombre de una mejora en la seguridad. Eso no significa ignorarlo; significa tener mucho, mucho cuidado.

Su lista de 10 puntos de tareas pendientes para el trabajo desde casa a largo plazo

El siguiente consejo supone que todos los incendios asociados con la clasificación del ambiente de control existente se han apagado, y que el ambiente es al menos temporalmente estable.

En los próximos seis meses

  • Automatizar, automatizar, automatizar: Busque formas de garantizar que las actualizaciones, el restablecimiento de contraseñas, el control de cambios, la gestión de incidentes y otros procesos manuales estén automatizados siempre que sea posible.
  • Implemente la autenticación multifactorial en todas partes: Una lección, que debería ser evidente para todos, es que no se puede confiar en las contraseñas para nada, incluso dentro de una organización. Aunque no es una solución milagrosa, el multifactorial puede ser lo más parecido a una panacea de elixir mágico que puede reducir el riesgo en todas partes.
  • Desarrolle un plan BYOD, incluso si normalmente no permite BYOD: Asegúrese de tener una forma para que los dispositivos no administrados accedan a los recursos de la organización, sin comprometer la protección. Esto incluye prestar atención a la seguridad de la red doméstica.
  • Revise su política y programa de gobernanza de datos: Asegúrese de que los propietarios estén identificados y de que se aborden todos los problemas de política asociados con el contenido, como problemas jurisdiccionales con ambientes de nube.
  • Actualice el programa de cumplimiento de terceros/4tos: Cree un programa de cumplimiento continuo que no requiera visitas al sitio. Confíe en auditorías de terceros, informes continuos de actividad y controles, y una arquitectura sólida para la protección.
  • Evalúe la necesidad de controles orientados a la ubicación o los activos: Trabaje para eliminar la necesidad de que las aplicaciones se ejecuten en un dispositivo determinado o en una ubicación determinada o en una red determinada para brindar protección.

En los próximos 18 meses

  • Cree un SOC virtual: Ya sea a través de un MSSP o aprovechando las soluciones SaaS, cree un SOC para el monitoreo en cualquier momento y lugar.
  • Separe las aplicaciones y los datos de la red y la seguridad del dispositivo: Asegúrese de que las aplicaciones y los datos estén protegidos cuando se acceda a ellos desde cualquier dispositivo en cualquier ruta de red.
  • Implemente un gateway y/o ambiente de seguridad en la nube: Cree un ambiente basado en la nube para el routing de cualquier/todo el tráfico de la red para usar la protección de seguridad aplicable.
  • Desarrolle una arquitectura de integridad distribuida: Incorpore cifrado e integridad en datos y aplicaciones.

Pete Lindstrom es vicepresidente de investigación de Enterprise / NextGen Security en IDC.