La desaparición del perímetro es el mayor reto de seguridad
Actualmente, los sistemas de cómputo de las empresas están conformados por una mezcla de sistemas propios, servicios basados en la nube, una colección de dispositivos móviles que los empleados usan para acceder a información desde cualquier parte, e incluso servicios basados en la nube a nivel consumidor, tales como aquellos para compartir archivos, que la misma empresa podría no saber si son utilizados por sus empleados. En estos ambientes es difícil tener una idea precisa sobre la ubicación de los activos y saber quién los está usando, o quién está autorizado para utilizarlos. Muchas empresas no tienen un inventario de sus activos, incluyendo empleados, software, hardware y centros de datos. La realidad es que usted no puede proteger lo que no sabe que tiene.
Esta falta de conocimiento sobre la situación en su totalidad es el resultado de la desaparición del concepto del perímetro. Hemos perforado agujeros en ese perímetro, los cuales permiten a empleados acceder a las redes internas en distintos escenarios, como al trabajar desde casa, al proporcionar a los agentes de ventas servicios más efectivos, o para que los clientes actuales accedan mientras viajan, además de subcontratar a terceros para ejecutar operaciones de nuestra red. La información a la que acceden todos ellos con sus smartphones y tabletas debería estar protegida, pero en este entorno, con frecuencia es difícil saber dónde se encuentran los datos.
Considere, por ejemplo, a cualquier proveedor externo de servicios en la nube que ofrece un software como una aplicación de servicios para su negocio, que depende de la información crítica de su empresa. Como parte de los acuerdos de nivel de servicio, usted puede solicitar que el proveedor externo garantice ciertos niveles de riesgo y protección contra amenazas.
“En estos ambientes es difícil tener una idea precisa sobre la ubicación de los activos y saber quién los está usando, o quién está autorizado para utilizarlos”
Sin embargo, es probable que el proveedor dependa de otro proveedor de servicios en la nube que proporcione el almacenamiento de la información. Así que, ¿dónde está realmente su información y cómo evalúa los riesgos para sus datos si es difícil saber exactamente la ubicación física?
Otra área problemática para algunas empresas es el uso de servicios de bajo costo, por parte de los empleados para compartir archivos sin el conocimiento del personal de seguridad. Este no es un típico caso malintencionado: es un simple caso de empleados tratando de hacer su trabajo de la manera más eficiente. Sin embargo, exponen datos que son propiedad de la empresa ante grandes riesgos, y si esta práctica no es conocida por parte de quienes manejan la seguridad corporativa, representa un riesgo del que no pueden defenderse, porque no lo pueden ver.
Para enfrentar estos retos de seguridad, las organizaciones necesitan iniciar haciendo un inventario preciso de sus activos. Ya sean comprados, rentados o adquiridos como servicio, deben poder rastrearse a través de todo su ciclo de vida. Un ciclo de vida completo empieza con la adquisición o creación, los procesos de mantenimiento y termina con su destrucción. Los activos incluyen el hardware, software, datos e incluso al personal. Los activos deben clasificarse para que la organización sepa qué son y cuánta protección necesita cada uno. Las empresas deben integrar todos los procesos de su negocio con la adquisición de activos para que los gastos y las compras puedan ser rastreados. Las lagunas en el seguimiento de los gastos permiten a los empleados comprar servicios en la nube con una tarjeta de crédito y construir una aplicación que evite los procedimientos del TI. Pero, sobre todo, las empresas necesitan políticas y procesos claros y por escrito para el manejo de activos y un programa efectivo de comunicación y entrenamiento (conciencia de seguridad) para reforzar la adopción de esas políticas.
“El personal de seguridad necesita hacer bien su trabajo cada hora del día, pero los ladrones de datos necesitan hacerlo bien solo una vez.”
La realidad aquí es que la mayoría de las empresas no están en el negocio de pelear contra los hackers. Están en el negocio de hacer negocios. Tienen un departamento de seguridad o personal que hace ese trabajo lo mejor posible para enfrentar los riesgos para que la empresa pueda minimizarlos y que sus operaciones generen ingresos. Pero también existen los ladrones profesionales de información, quienes operan 24×7 para encontrar cómo robar esa información. El personal de seguridad necesita hacer bien su trabajo cada hora del día, pero los ladrones de datos necesitan hacerlo bien solo una vez.
Autor: Robert Shullich
Parte del libro «Asegurando su infraestructura de red y aplicaciones» de Fortinet.
Robert Shullich es un arquitecto de seguridad empresarial en AmTrust Financial Services. Por más de 30 años ha trabajado a nivel senior en el sector de servicios financieros, en puestos de información de riesgos y seguridad de la información. En su puesto actual, asesora sobre riesgos de información a proyectos de TI y propone controles adicionales o cambios en el diseño que reducen riesgos en los proyectos. También ha enseñado el manejo de riesgos cibernéticos a nivel maestría.
[mc4wp_form id=»454″]
Newsletter Semanal
Lo más relevante de ciberseguridad y tecnología.
Síguenos en las redes