[10/02/2021] La pandemia de la COVID-19 está lejos de haber terminado, pero muchas empresas están señalando que tal vez nunca vuelvan a exigir que todos los empleados acudan a la oficina cada día. La posibilidad de trabajar desde cualquier lugar, que antes era solo para los equipos de ventas itinerantes y los trabajadores atípicos, podría convertirse en la opción dominante para muchas personas.
Antes de que esto ocurra, las empresas deben establecer una base más segura para la colaboración remota. Las herramientas que han soportado el acceso ocasional de los guerreros de la carretera deben ampliarse y mejorarse para que puedan transportar los datos de todo el flujo de trabajo de la empresa. El primer trabajo debe ser garantizar que los bits fluyan de forma segura. Estas son las herramientas y tecnologías de seguridad básicas para apoyar a los trabajadores remotos.
Certificados TLS
Cuando los empleados se conectan a distancia, deben utilizar conexiones cifradas. Asegúrese de que los sitios web tienen certificados TLS actualizados y que los sitios utilizan HTTPS para todas las comunicaciones. Instalar certificados para permitir conexiones web cifradas no podría ser más fácil gracias a los esfuerzos de proyectos como Let's Encrypt. Los certificados que ofrecen garantías más elaboradas como la organización se encuentran con otras autoridades de certificación como DigiCert, GeoTrust y Comodo. Muchos proveedores de nubes y servicios de colocación revenden certificados.
Confianza Cero
Si utiliza una red privada virtual (VPN), debe poder confiar en el punto final. Las suscripciones a VPN domésticas no harán el trabajo. Algunas de las empresas de redes privadas bien establecidas son Barracuda, Perimeter 81 y WindScribe y todas ofrecen soluciones de VPN tradicionales.
Estas herramientas, sin embargo, están mostrando su edad, y la VPN no es el mejor modelo para un mundo en el que no hay líneas claras que marquen dónde empieza y termina la oficina. Algunas organizaciones están adoptando un modelo de confianza cero, que asume que todos los empleados se conectan desde lugares peligrosos como, por ejemplo, una cafetería cuyo Wi-Fi está comprometido por un malvado colectivo de hackers. Todos los paquetes fluyen por territorio enemigo.
Esta actitud cautelosa no solo se aplica a los bits que viajan por la red. Muchas aplicaciones orientadas al interior se construyen con la suposición de que vivirán en una red segura porque algún firewall u otra herramienta de acceso ha filtrado los paquetes peligrosos. El antiguo paradigma de un perímetro fuerte permitía a los desarrolladores de aplicaciones ignorar los problemas de seguridad.
Pasar a la confianza cero significa cambiar de actitud. Todd Thiemann, vicepresidente de marketing de la empresa de inteligencia de amenazas HYAS, afirma: "El perímetro está completamente muerto. Si se confía en la seguridad del gateway, no se está vigilando todo el tráfico que entra y sale de los puntos finales del trabajo desde casa".
Los desarrolladores deben estudiar el código para encontrar los lugares en los que las antiguas suposiciones no se mantienen. Por ejemplo, ¿responde una aplicación web a cualquier solicitud de una URL? ¿Supone que solo las personas de confianza conocen la URL correcta para descargar un archivo? ¿Se supone que todos los que tienen una cuenta en una máquina son administradores? Estos son atajos comunes que pueden ser suficientes en una red de confianza, pero que fallan gravemente en una abierta.
Los arquitectos tendrán que revisar su código con un plan para adoptar un paradigma de confianza cero. Algunos códigos pueden arreglarse añadiendo comprobaciones para una correcta autentificación, pero otros pueden requerir un rediseño significativo. Una solución directa es asegurar los datos cuando no se están utilizando.
"Somos una gran tienda de Azure y todos los datos en reposo están cifrados", comenta Thiemann. "No se trata de PII; no son datos sensibles de los clientes. Pero como mejor práctica ciframos esos datos cuando están en movimiento o en reposo".
Azure, al igual que las principales nubes, ofrece opciones para asegurar los datos. Oracle, así como otros proveedores de bases de datos, distribuyen un SDK con código Python y Java para simplificar el proceso. Cualquier atacante caprichoso no podrá aprovechar el acceso al sistema de archivos o a la red porque los datos estarán bloqueados.
SASE
Otra forma de reelaborar las aplicaciones existentes para un público en la Internet abierta es añadir un guardián especial donde los usuarios y sus solicitudes de datos se detendrán para comprobar la identidad y el acceso correctos. Un modelo arquitectónico cada vez más extendido para este tipo de filtro inteligente y panempresarial es un proceso que algunos proveedores denominan "secure access service edge" o SASE (se pronuncia "sassy"). Este guardián es mucho más inteligente que un firewall básico y puede desplegar el filtrado de estado examinando los datos dentro de las solicitudes y tomar decisiones inteligentes basadas en estos valores.
Esta nueva capa puede añadirse para proteger cualquiera de los diversos servicios web, incluidos muchos que incluso pueden estar alojados fuera de la empresa en una nube. La computadora del usuario solo habla con el SASE gatekeeper y los otros servicios solo responden a las peticiones que han sido comprobadas por el SASE gatekeeper.
Las herramientas de empresas como Citrix, Palo Alto Networks y McAfee hacen un seguimiento de los usuarios a lo largo del tiempo y toman decisiones sobre el acceso a todos los servicios, incluso si no están alojados en la misma ubicación o en la misma nube.
Aplicaciones y almacenamiento en la nube
Las computadoras remotas de los empleados no pueden convertirse en lugares habituales de almacenamiento de documentos y datos sensibles. Los empleados no deben poder trabajar con información sensible con unidades de memoria USB u otro hardware sin cifrar, y dejar los datos en lugares donde los ladrones puedan aprovecharlos. El ransomware sigue siendo una grave amenaza para la destrucción de datos remotos.
Los proveedores de almacenamiento remoto, como Dropbox, disponen de opciones de cifrado para aumentar la seguridad de los datos en reposo. Los desarrolladores deberían comprobar rutinariamente el código en repositorios como GitHub, GitLab o Bitbucket. Los analistas de datos deberían utilizar centros como Saturn Cloud, Matrix DS o Collaboratory.
Muchas empresas están cambiando a las versiones basadas en la web de herramientas de oficina populares como Google Workspace (antes G Suite) o Microsoft Teams. Éstas son flexibles y relativamente fáciles de desplegar en grandes equipos, pero los detalles de seguridad aún no se comprenden del todo. Mientras que las principales empresas emplean grandes equipos de seguridad, el modelo de envío de código a los navegadores de las personas sigue evolucionando. Google, por ejemplo, sufrió una vergonzosa filtración de documentos privados. Los desarrolladores aún no comprenden del todo la complejidad de asegurar el código que se ejecuta en un navegador que puede inyectar código con extensiones o la consola. Estas herramientas, como todas las demás, deben ser vigiladas para detectar fallas o problemas potenciales.
Autenticación multifactorial
Uno de los primeros retos será la identificación de los usuarios. La anticuada contraseña puede ser suficiente en una oficina de confianza, pero es mejor añadir una capa de seguridad. La solución más sencilla es exigir un segundo nivel de autenticación, como los teléfonos móviles de los empleados. Algunos proveedores de servicios como Twilio, Vonage, Plivo y Telnyx ofrecen APIs para una amplia gama de comunicaciones, incluido el envío de mensajes SMS.
Las soluciones más sofisticadas utilizan aplicaciones que se ejecutan localmente en el dispositivo móvil y que pueden generar contraseñas de un solo uso en función de la hora. Herramientas como Google Authenticator, FreeOTP y LinOTP almacenan un secreto compartido cuando el usuario las inicializa por primera vez y luego lo utilizan para generar una nueva contraseña basada en la hora cada vez que el usuario quiere iniciar sesión.
El aumento del malware en los teléfonos móviles ha incrementado el interés por los tokens de hardware dedicados que aplican todos los algoritmos de cifrado y autenticación dentro de una pieza especial de hardware. Herramientas como RSA SecurID, Yubikey o Onlykey no son susceptibles de ataques capaces de infiltrarse en los sistemas operativos de las computadoras de escritorio o móviles. Ofrecen una mayor seguridad a costa de exigir a los usuarios que hagan malabares con un elemento más.
Gestión de identidades y accesos
Las herramientas para la autenticación de múltiples factores (MFA) tienen que trabajar estrechamente con las aplicaciones de la empresa, y esto es un reto para los desarrolladores internos que tendrán que ajustar el código base local. Algunos equipos están recurriendo a servicios de gestión de la identidad y el acceso (a menudo denominados identidad como servicio o autenticación como servicio) que están diseñados para integrarse fácilmente en cualquier base de código. El software de empresas como Auth0 u Okta gestiona la identidad y el acceso con los mejores algoritmos, permitiendo a los desarrolladores internos concentrarse en la lógica empresarial.
Auth0, por ejemplo, ofrece una colección de ejemplos de inicio rápido que permiten a un desarrollador cortar y pegar unas pocas líneas de código y asegurar todo dentro de la aplicación. El código de Auth0 añade un cuadro de diálogo de inicio de sesión y, a continuación, los servidores de Auth0 comprueban la contraseña y aplican cualquier regla más sólida, como el requisito de una autenticación de dos factores. Si necesita activar una aplicación móvil o enviar un SMS, los servidores de Auth0 hacen el trabajo. Cuando está satisfecho, devuelve el control a su aplicación.
Okta ofrece un conjunto similar de servicios y le gusta llamar a su enfoque un "motor de identidad" para probar a cualquiera que quiera acceder. Reúne una colección de herramientas de autenticación y gestión en un proceso flexible que simplifica la creación de cuentas y la concesión del acceso correcto a los propietarios. Los pasos pueden configurarse para incluir una variedad de opciones, como el seguimiento de la computadora portátil o el teléfono específico del usuario, para reducir el enfoque en la contraseña solamente.
Las empresas también simplifican el trabajo de hacer malabares con todas las cuentas proporcionando un panel de control para el seguimiento de los usuarios, la adición de nuevas cuentas y el ajuste de los roles de acceso. El desarrollador puede añadir una sofisticada capa que organiza tanto la identidad como la autenticación con el código previamente probado.
Revisar las suposiciones sobre la seguridad remota
Algunos de los pasos más importantes no son técnicos; son emocionales y personales. "Todo el mundo se fue a casa muy rápido y ahora creo que estamos en una era en la que tenemos que formalizar los procedimientos", señala Greg Conti, cofundador de la empresa de investigación de ciberseguridad Kopidlon. "No podemos asumir que es algo temporal, luego tenemos que desarrollar políticas para el largo plazo".
Todo el mundo debería hacer una pausa y revisar todas las decisiones tomadas de forma precipitada. Un número sorprendentemente elevado de violaciones de la seguridad se debe a la ingeniería social, el proceso por el que alguien engaña a un empleado para que le conceda privilegios o libere información. Una planilla descentralizada no se ve en los pasillos ni en los ascensores.
Una solución sencilla es gastar más en eventos. Organizar fiestas, comprar almuerzos u organizar retiros ayudará a mantener el tejido social que puede estar deshilachado. Divertirse puede parecer frívolo, pero puede ser la mejor manera de mejorar la seguridad en una oficina distribuida.
Basado en el artículo de Peter Wayner (CSO) y editado por CIO Perú