Los ataques cibernéticos pueden generar cuantiosas pérdidas económicas a las instituciones públicas y privadas. De acuerdo al Banco Interamericano de Desarrollo (BID), estas pueden superar el 1 % del producto bruto interno (PBI) en algunas naciones de América Latina y el Caribe. Para evitarlo, es importante que las empresas adopten una arquitectura de ciberseguridad robusta que proteja sus activos en todo momento.
Para ello, considerando la actual coyuntura por la que estamos atravesando, en la que no existe el perímetro físico donde los trabajadores laboraban dentro de una organización, los principios Zero Trust contribuyen a mejorar la ciberseguridad de la empresa.
Es una iniciativa estratégica que ayuda a prevenir violaciones de datos al eliminar el concepto de confianza de la arquitectura de red de una organización. Enraizado en el principio de "nunca confiar, siempre verificar", Zero Trust está diseñado para proteger los entornos digitales modernos, aprovechando la segmentación de la red, evitando el movimiento lateral, proporcionando prevención de amenazas y simplificando el control granular de acceso de los usuarios.
La COVID-19 ha dado lugar a que muchas personas trabajen desde casa. Desafortunadamente, también ha provocado un fuerte aumento de las amenazas maliciosas. El Internet no es tan seguro y la computadora no está administrada al nivel que normalmente tiene una computadora de propiedad corporativa. Además, los trabajadores no tienen el mismo acceso y capacitación en concientización sobre seguridad cibernética que tendrían en la oficina, lo que ocasiona serios problemas a las organizaciones.
La actual normalidad, donde las empresas han acelerado exponencialmente el proceso de transformación digital, así como el uso de tecnologías disruptivas como Big Data, Cloud, Machine Learning y la falsa "sensación" de seguridad, ha generado un aumento en las brechas de seguridad en los distintos sectores.
Según McKinsey, las empresas de todos los sectores se están digitalizando con profundas implicaciones para las funciones de ciberseguridad:
En el caso del modelo de seguridad tradicional de Ciberseguridad, el cual es visto como un castillo rodeado por un foso, no permite acceder a los recursos de la organización estando fuera de la red. Sin embargo, todos los que están dentro de la misma son considerados como "confiables" de forma predeterminada. El problema con este enfoque es que una vez que un atacante obtiene acceso a la red, tiene acceso a todos los recursos de ella.
Zero Trust compensa las debilidades de una conexión tradicional
Las conexiones tradicionales están basadas en los protocolos del tipo TCP/IP. Por lo tanto, tenemos la visibilidad de todos los recursos de la red antes de establecer algún tipo de autenticación preliminar, lo que conlleva a brechas de seguridad y accesos no autorizados.
Uno de los puntos importantes en el proceso de diseño de una arquitectura de ciberseguridad, son los responsables de dicho diseño, que son los arquitectos de ciberseguridad. Estos profesionales son los responsables del análisis, diseño e implementación de los arquetipos y distintos componentes de ciberseguridad en la compañía. Para ello, estos profesionales deben mantener ciertos principios en su labor cotidiana:
Para una adecuada definición de las funciones, roles, responsabilidades, habilidades necesarias e indicadores de medición, podemos recurrir al Framework de NICE.
En el National Cyber Security Centre del Reino Unido, se describen algunos patrones comunes que a menudo vemos en los diseños de sistemas que se deben evitar. Estos son:
Este principio establece la creación de varios controles de seguridad para resguardar un sistema informático. Es decir, en lugar de tener un solo control de seguridad para el acceso de los usuarios, se diseñan múltiples capas de validación y herramientas alternativas de autoría y de gestión. Por ejemplo, aparte de que el colaborador utilice su nombre, usuario y contraseña para iniciar sesión, deberá emplear una verificación IP, un sistema captcha y un registro de sus intentos de inicio de sesión.
El riesgo de vulnerar la seguridad de un sistema depende de las funciones con las que cuenta el sitio web o la aplicación. En ese sentido, reducir el área de la superficie de ataque permite restringir las labores de los usuarios, ayudando a reducir el riesgo de sufrir un potencial atentado cibernético. Por ello, es necesario que las empresas limiten el acceso a ciertos usuarios específicos.
Los datos pueden ser robados, tanto cuando están en reposo (extraídos directamente de los servidores o sistemas de almacenamiento) o en tránsito. Este principio, a diferencia de otros, aborda dos etapas clave:
Una vez realizados ambos procesos, los datos estarán más seguros y será más difícil obtener la información si estos son robados.
Cabe destacar que la arquitectura de ciberseguridad de cada organización es diferente; pues deben responder y satisfacer necesidades únicas y particulares. No obstante, todas suelen compartir el mismo propósito: proteger a la compañía de las amenazas y daños cibernéticos.
Fuentes:
CYBERSECURITY ARCHITECTURE PRINCIPLES: WHAT YOU NEED TO KNOW
DISA Zero Trust Reference Architecture
Appbrain; Blue Wolf; ContactBabel; eMarketer; Gartner; IDC; LiveChat; US Bureau of Economic Analysis; US Bureau of Labor Statistics; US Census Bureau; Global Payments Map by McKinsey; McKinsey Social Technology Survey; McKinsey analysis; McKinsey Global Institute analysis
SDP Specification and Architecture Guide
Antipatrones de arquitectura de ciberseguridad
WHAT IS SECURITY ARCHITECTURE, AND WHAT DO YOU NEED TO KNOW?
The Six Principles of Cyber Security
Ciberseguridad: RIESGOS, AVANCES Y EL CAMINO A SEGUIR EN AMÉRICA LATINA Y EL CARIBE
Gianncarlo Gustavo Gómez Morales
Head Of Cybersecurity Audit en el Banco Interamericano de Finanzas y Docente Adjunto del curso Cyber Policy Development en la National Defense University en Washington D.C. Se desempeñó como Oficial de Seguridad de la Información y Protección de Datos Personales en el OSIPTEL y Gerente Adjunto de Arquitectura de Seguridad en el Banco de Crédito del Perú. Además, es auditor y entrenador de norma ISO/IEC 27001. Magister en Administración y Dirección de TI por la Universidad Nacional de Trujillo. Posgrado en Seguridad de la Información por ESAN. Cuenta con especialización en la UNE ISO/IEC 27001 por el INTECO-CERT de España, Lead Auditor en ISO/IEC 27001, Protección de Datos Personales por la Agencia Española de Protección de Datos, Ciberseguridad por la Universidad Rey Juan Carlos y en Desarrollo de Políticas de Ciberseguridad por la Universidad Nacional de Defensa de EE. UU. - Washington D.C.
El ransomware es la modalidad de ciberdelito más frecuente en la actualidad, además se ejecuta con mayor rapidez que antes. ¿Qué medidas pueden tomar las empresas para disminuir las posibilidades de sufrir este tipo de ataques?