Rodrigo Chavez Rivas, director de seguridad de Unisys España, incide sobre la necesidad de aumentar los niveles de seguridad en unos entornos cada vez más dispares debido a las conexiones remotas de los usuarios, ya sean clientes, socios o los propios empleados.
La situación que estamos viviendo desde el pasado mes de marzo es de sobra conocida por todos. Lo que no está tan claro aún a estas alturas es que la nueva normalidad de la que tanto nos hablan desde el verano vaya a parecerse en algo a la antigua normalidad.
Es decir, tenemos que empezar a pensar que empleados, fabricantes, socios, clientes y otros prescriptores de nuestra organización van a tener que conectarse a nuestras infraestructuras tecnológicas para hacer negocio desde localizaciones dispares, con dispositivos heterogéneos y a través de conexiones más o menos fiables. La función de los CIOs, CISOs y CSOs será, pues, ahora más que nunca, permitir que el negocio fluya sin fisuras, garantizando las identidades y discriminando a perfiles de confianza de otros sospechosos dentro de una red completamente dispersa y en la que el perímetro difuminará sus límites hasta hacerlos desaparecer.
Los entornos técnicos de las organizaciones hoy en día abarcan diferentes topologías: infraestructuras en la oficina, cloud privada y pública… Además, se comparten aplicaciones y datos con docenas de socios y fabricantes a los que se les permite el acceso aunque sus respectivas fuerzas de trabajo sean dinámicas y elásticas. Por todo ello, cualquier protección basada en una VPN deja de tener sentido.
Para proteger sus activos, las empresas precisan de nuevas formas que se adapten a la realidad actual y la única estrategia válida ahora mismo es la basada en perímetros definidos por software (SDP por sus siglas en inglés) que controlen los accesos a los recursos basándose en la identidad del usuario y, por tanto, con un enfoque de confianza nula (Zero Trust).
Este tipo de perspectivas de seguridad ya se viene usando desde hace años por parte de algunos gobiernos cuando necesitan compartir a gran escala información clasificada o sensible. Lo que hacen estos gobiernos es proteger sus redes mediante microsegmentación cifrada y definida por software porque se han dado cuenta de que una VPN en realidad actúa como una puerta para que quien tiene llave –o la consigue- pueda entrar en casa. Con una estrategia de seguridad perimetral basada en software, la casa no tiene puertas, por lo que nadie puede entrar a menos que se destruyan las sólidas paredes de ladrillo. Y aun así, si el ciberdelincuente consigue romper uno de los ladrillos, como la casa está construida con técnicas de microsegmentación cifrada, sólo podrá ver lo que hay detrás de ese ladrillo y nada más, manteniendo oculto el resto de activos de la organización.
De todas maneras, como siempre decimos, la seguridad al 100% no existe. Tengamos en consideración la posibilidad de que un delincuente consiga romper uno de esos ladrillos. Tendremos que colocar perros guardianes para evitar eso también. La función de los perros –funciones adicionales de seguridad para la protección del perímetro- será rodear al ciberdelincuente para prevenir que toque más ladrillos, pero también para evitar que huya con la información una vez que ha roto el primero. Esto es lo que llamamos aislamiento dinámico, una técnica que permite aislar datos e incluso sistemas completos en menos de diez segundos, previniendo la extracción de información y dotando a los profesionales de seguridad de la organización de tiempo suficiente para investigar el ataque.
Y como no siempre sucede aquello de que “en casa de herrero, cuchillo de palo”, pongo de ejemplo la organización en la que trabajo, Unisys, que el pasado mes de marzo movió a todos sus empleados en el mundo para que pudieran trabajar desde casa en tan solo una semana. Evidentemente esto no habría sido posible si nuestros sistemas hubieran dependido de una
VPN, que solo por su naturaleza nos habría llevado meses desplegar. Con una estrategia de protección perimetral basada en software pudimos instalar en miles de usuarios de todo el mundo, de forma automática y sin que se dieran cuenta, la solución necesaria para poder trabajar con garantías.
La seguridad basada en perímetros definidos por software evolucionará en los próximos meses para incrementar las opciones de protección, por ejemplo, adaptando tecnologías de inteligencia artificial o de automatización de procesos, con reconocimiento de patrones de comportamiento o con soluciones biométricas, todo ello para añadir capas de seguridad mediante la autenticación de usuarios.
La identificación basada en reconocimiento facial, por ejemplo, es una técnica que muchos usuarios –sobre todo los que utilizan iPhone- ya dan por hecha; de hecho, incluso se está utilizando como firma en la Vuelta ciclista a España para evitar contactos. Sin embargo, es necesario dar un paso más y unir esas capacidades de identificación a otras para evitar fallos o manipulaciones. Por ejemplo, si un profesional se suele conectar y autenticar con su rostro en horario laboral, ¿debería el sistema permitirle el acceso a las 3a.m. o debería sospechar que se trata de un intento de intrusión? O si ese mismo usuario suele trabajar accediendo a la base de datos de clientes, ¿debe el sistema tomar como normal que intente acceder a la base de datos de facturación?
En definitiva, el sistema debe saber que usted es siempre usted y nadie está intentando falsificar su identidad ni digital ni física para poder acceder a la infraestructura de la compañía. Y esto es algo que una VPN no podrá nunca conseguir.