La verdadera seguridad requiere entendimiento y una aproximación en niveles
Proteger la información y entender los riesgos que enfrenta son dos de las más grandes debilidades. Nos enfocamos en proteger el perímetro e invertimos muchos recursos en hacerlo que, probablemente, descuidamos la misma información, especialmente cuando vemos amenazas internas y amenazas persistentes avanzadas. Proteger el perímetro no necesariamente ofrece la protección requerida. Creo que nuestra estrategia debe enfocarse en proteger los datos.
No queremos decir que no debería proteger la red, pero no creo que nuestras defensas estén a la par de los riesgos. Una manera de protegerse contra las amenazas internas es una autenticación de doble factor (2FA), la cual usa lo que usted conoce y lo que tiene. El problema de la adopción preventiva del 2FA pueden ser los costos asociados y el hecho de que las aplicaciones heredadas no son siempre compatibles con estos métodos.
Otra forma es un acercamiento a la información protegida, básicamente con la postura de “no confiar en nadie”. La confianza es verificada: si eres quien dices ser, pruébalo. Cuando este acercamiento se aplica y los usuarios han sido verificados, pueden ir a donde quieran y acceder a cualquier cosa dentro de la red.
Otro ejemplo de cómo las amenazas internas pueden comprometer la seguridad de una organización es la violación que le ocurrió a la Oficina de Información Pública hace algunos años. Una persona que no estaba autorizada para acceder a ciertos documentos, no solo lo hizo, sino que se las arregló para sacarlos de las instalaciones. En este ejemplo, confiamos mucho en las contraseñas para asegurar las cosas. Con frecuencia pensamos que la solución es cambiar por una más complicada, pero este problema es mucho más grande que un simple tema de passwords. Las organizaciones necesitan entender que estas amenazas van a un nivel mucho más profundo.
«No creo que nuestras defensas estén a la par de los riesgos.»
Entender los factores de las amenazas y riesgos ayuda a guiarlo hacia mejores aproximaciones de defensa. Una buena forma de entender estos riesgos es que las organizaciones piensen en ellos desde el principio. Invertimos mucho tiempo y recursos” verificando la casilla” junto al análisis de riesgos, pero realmente no indagamos para descifrar cuáles son las verdaderas amenazas. Necesitamos hacer una buena evaluación a la antigua sobre cuáles son nuestros riesgos, los cales varían de empresa a empresa.
También invertimos mucho tiempo y recursos entendiendo el cumplimiento de normas y haciéndolo para poder encaminarnos a encontrar la protección adecuada. Nos presionamos para cumplir con la gran lista de cosas que pueden o no aplicar a la situación de nuestra organización. Sería mejor si invirtiéramos ese tiempo evaluando los riesgos. Si entendemos nuestros riesgos, podemos priorizar los elementos en esa gran lista, seleccionar los más críticos y encontrar la solución correcta para mitigarlos.
Como siempre, tenemos la tendencia de buscar una solución única que resuelva todo, pero este escenario simplemente no aplica. Hay una gran cantidad de soluciones en el mercado. Son tantas que se ha convertido en un problema. ¿Cómo elegir la correcta? Algunos piensan que lo único que se debe tener es un firewall, pero no solo el firewall, también protección contra intrusiones, un buen mecanismo de autenticación, buena topología de red, y la lista sigue… para que cuando se presente una fuga, sea capaz de recuperase mejor.
«La verdadera seguridad requiere una defensa en capas, con varias soluciones en conjunto para obtener el tipo de protección adecuada que cumpla con las necesidades de su organización»
No hay una bala mágica que detenga cada riesgo de seguridad. La verdadera seguridad requiere una defensa en capas, con varias soluciones en conjunto para obtener el tipo de protección adecuada que cumpla con las necesidades de su organización. Ninguna herramienta por sí sola mantendrá a salvo su red y su información.
Autor: Linda Cureton
Parte del libro «Asegurando su infraestructura de red y aplicaciones» de Fortinet.
Linda Cureton es CEO de Muse Technologies y ex CIO de NASA. Tiene más de 34 años de experiencia en la administración de TI y a nivel de gabinete federal de los
Estados Unidos. Linda tiene una licenciatura en matemáticas por parte de la Universidad de Harvard y una maestría y post-maestría en matemáticas avanzadas aplicadas por parte de la Universidad Johns Hopkins. Ella es una estratega innovadora, líder, inagotable bloguera y pionera del uso de las redes sociales a nivel federal. Linda ha recibido muchos premios y es una autora de libros más vendidos.
Newsletter Semanal
Lo más relevante de ciberseguridad y tecnología.
Síguenos en las redes