José Luis Laguna, Director Systems Engineering Fortinet España y Portugal, nos ofrece en esta tribuna algunas pautas a seguir para asegurar la seguridad de los recursos de TI de las organizaciones.
Lo único cosa que tenemos todos los responsables de la seguridad corporativa es que somos los `controladores del riesgo´. Incluso en situaciones extraordinarias para el negocio en las que se requiere mantener la continuidad operativa, somos responsables de asegurar la confidencialidad, integridad y disponibilidad de los datos 24x7x365. Nuestro trabajo consiste en mantener la cabeza fría durante una crisis para asegurarnos de que, por ejemplo, podamos trasladar la labor de nuestro equipo humano de un entorno tradicional a un marco dinámico de teletrabajo sin olvidar los fundamentos críticos de seguridad que podrían exponer a la organización a riesgos.
El objetivo principal es minimizar el riesgo. Independientemente de cómo puedan cambiar las necesidades de la situación, el objetivo es que las funciones básicas de la organización permanezcan consistentemente disponibles, confiables y seguras. La capacidad de recuperación es uno de los elementos críticos de la gestión de riesgos: se trata de obtener los mismos resultados previstos, incluso cuando el entorno que produce y ofrece esos resultados experimenta una rápida transformación y stress.
Por supuesto, mantener la resiliencia en circunstancias extremas es más fácil de decir que de hacer. Hay algunos elementos que debemos tener en cuenta para que la seguridad y la productividad se mantengan resistentes independientemente de las circunstancias normales o extraordinarias a las que nos enfrentemos.
Los fundamentos para garantizar un acceso fiable y seguro a la red
El primer objetivo es asegurar que todos los usuarios y dispositivos tengan acceso a los recursos que necesitan para hacer su trabajo. Y eso significa también garantizar que no puedan acceder a recursos que no necesitan, así como impedir que usuarios y dispositivos no autorizados exploten la transición a un nuevo modelo de red para acceder a los recursos de la red con fines malintencionados. Para asegurar este acceso se requieren dos cosas:
Primero, todos los usuarios y dispositivos deben ser clasificados. Esta es una oportunidad única para asegurar que la clasificación de sus datos y procesos esté actualizada. De esa manera, independientemente de cómo o dónde accedan a los recursos de la red, pueden ser identificados rápidamente y adaptados a su correspondiente política de red
En segundo lugar, en función de sus roles, se debería asignar a los usuarios el acceso a recursos específicos basados en una variedad de información contextual. Por ello es tan importante la clasificación de los datos y procesos, junto con la comprensión de las dependencias subyacentes. Los controles de acceso deben basarse en la necesidad de conocer y evaluar en función de los roles, el tipo de dispositivo que se utiliza, la metodología de acceso, la ubicación geográfica e incluso la hora del día en que se intenta realizar esa conexión.
Conocer las capacidades y los límites de los recursos
Los CSOs necesitan comprender las capacidades y limitaciones de los recursos que tienen para poder determinar rápidamente lo que se puede y lo que no se puede hacer. Por ejemplo, no basta con saber que una plataforma NGFW existente puede proporcionar conexiones remotas. El responsable de seguridad también debería saber, o ser capaz de averiguar rápidamente, la capacidad de ese dispositivo, el número de conexiones por segundo y las conexiones simultáneas que puede soportar, su capacidad para inspeccionar el tráfico VPN cifrado, su capacidad de escalar para proteger un nuevo paradigma de red y el esfuerzo que supone establecer esas funciones.
Es necesario comprender estos y otros detalles similares antes de introducir tecnologías adicionales para buscar soluciones a nuestras carencias. Y, francamente, estas contingencias deberían haberse considerado con mucha antelación para, por un lado, asegurarse de que la mayor parte de los instrumentos y capacidades necesarios ya están en funcionamiento, y por otro, para comprender la capacidad de los instrumentos existentes para apoyar y colaborar con sistemas y tecnologías de terceros. Para ello es necesario haber desplegado ya herramientas diseñadas en torno a estándares comunes y API abiertas.
Requisitos de acceso de los usuarios
Si se han tomado estas precauciones, entonces no hay necesidad de entrar en pánico cuando se necesita hacer la transición de la fuerza de trabajo tradicional a una estrategia de teletrabajo. Esencialmente, todos los trabajadores pueden clasificarse en estas tres categorías:
Teletrabajador básico. Este grupo representa la mayoría de la fuerza laboral en remoto. El teletrabajador básico sólo requiere acceso a correo electrónico, Internet, teleconferencias, intercambio limitado de archivos y capacidades específicas de funciones (Finanzas, RRHH, etc.) desde su lugar de trabajo remoto. Esto incluye el acceso a aplicaciones de Software como Servicio (SaaS) en la nube, como Microsoft Office 365, así como una conexión segura a la red corporativa. La mayoría de las organizaciones deberían disponer de gran parte de las tecnologías necesarias para acomodar a estos usuarios. Es probable que el mayor problema sea el de la escalabilidad.
Usuarios avanzados. Los usuarios avanzados son empleados que requieren un mayor nivel de acceso a los recursos corporativos cuando teletrabajan. Puede incluir la necesidad de operar en múltiples entornos informáticos paralelos, como administradores de sistemas, técnicos de soporte informático y personal de emergencia. Necesitarán acceso a túneles permanentes, de alto rendimiento y seguros para acceder a los recursos que tienen en el servidor y en la nube. Para atender a las necesidades de estos usuarios probablemente será necesario contar con un punto de acceso seguro o incluso un NGFW de sobremesa que permita el aprovisionamiento sin intervención (Zero Touch Provisioning).
Superusuarios. Un superusuario es un empleado que requiere un acceso avanzado a recursos corporativos confidenciales, incluso cuando trabaja desde una oficina alternativa como su casa. En este grupo se incluye a los administradores con acceso privilegiado a los sistemas, los técnicos de asistencia técnica, las personas clave identificadas en el plan de continuidad de negocio, el personal de emergencia y la dirección ejecutiva. Además de los recursos requeridos por los usuarios avanzados, también suelen necesitar acceso a la telefonía IP corporativa y a un sistema de videoconferencia seguro.
Formación y apoyo adicional
Es fundamental que, a medida que los empleados pasan a ser más autónomos y se convierten en teletrabajadores, aumenten su conciencia de seguridad. Si bien puede compensar muchos de los nuevos riesgos que plantean a la organización (como actualizar o mejorar su pasarela de correo electrónico seguro y las soluciones de filtrado web), también es esencial que comprenda que estos trabajadores se han convertido, en muchos sentidos, tanto en sus objetivos más vulnerables como en su primera línea de defensa de la red.
Debido a la transición generalizada al teletrabajo, los cibercriminales están ahora dirigiéndose explícitamente a los trabajadores remotos con ataques de “phishing” diseñados para aprovecharse de sus preocupaciones sobre su salud y bienestar, o de su condición de novatos como teletrabajadores. La formación de los usuarios es, por lo tanto, fundamental para ayudarlos a detectar, evitar y denunciar correos electrónicos y sitios web sospechosos.
Las medidas adicionales que se deberían considerar a medida que se intensifica el teletrabajo son las siguientes:
· Confirmar las capacidades/utilización de la VPN y determinar si son adecuadas
· Exigir el uso de la autenticación multifactor
· Registrar y monitorizar todo con especial atención a los comportamientos anómalos
· Vigilar la disposición final de los datos a los que acceden los usuarios con acceso privilegiado
· Monitorizar las aplicaciones y dependencias clave para detectar comportamientos sospechosos
Además, se debería identificar a los administradores de sistemas, ejecutivos, asistentes y otras personas con elevados privilegios de acceso para no solo implementar capas adicionales de autenticación y validación, sino también para supervisar activamente y registrar sus conexiones en busca de comportamientos anómalos.
Hay un dicho entre los carpinteros que dice, “mide dos veces y corta una vez”. Lo mismo ocurre con la ciberseguridad. Es esencial que todos los planes y estrategias se comprueben dos veces, y que tareas como la clasificación de datos y procesos estén bajo constante revisión para asegurar que todo esté actualizado. También es necesario tomar nota de todas las dependencias y hacer un seguimiento de las mismas.
Y finalmente, asegurarse de revisar el plan de contingencia para asegurarse de que todo esté actualizado y que es preciso, incluyendo la información de contacto del equipo de respuesta a crisis y situaciones extraordinarias que se prolongan en el tiempo.
La gestión de riesgos y la capacidad de recuperación requieren una planificación cuidadosa, combinada con un equipo experimentado y capacitado para hacer frente a situaciones en proceso de evolución. Es esencial que los equipos mantengan la cabeza fría, entiendan sus objetivos y ejecuten estrategias con un objetivo común en mente: mantener la coherencia operativa, lo que incluye garantizar que su organización no comprometa la seguridad en aras de la conveniencia.
