Conjugar la ciberseguridad con la operatividad de las infraestructuras críticas siempre ha sido el objetivo principal subyacente en el concepto de Fortificación de Sistemas, que también se conoce como Hardening o ‘bastionado’.
Sin embargo, los retos que plantean las ciberamenazas actuales, obligan a redimensionar el concepto de fortificación, para que vaya más allá de la securización de la infraestructura informática, sin perder de vista la meta originaria de conciliar protección y funcionalidad. Algo en lo que hay un conflicto inherente, debido a la fricción permanente entre seguridad y usabilidad. Por poner un ejemplo simple, no tener que logarse para acceder a una cuenta de email es muy cómodo para el usuario, pero el nivel de exposición que eso conlleva entraña unos evidentes riesgos.
En el contexto en el que nos desenvolvemos, inevitablemente hay que poner el foco en la salvaguarda de los datos sensibles de las empresas (tanto información necesaria para su operativa habitual como la de carácter personal de sus clientes), que precisamente son el objetivo preferente de todo el repertorio de ciberataques actuales, desde los de phishing para fraudes de identidad, hasta los de ransomware para secuestro de información crítica.
Por ello, ya no valen los viejos esquemas de fortificación de sistemas basados meramente en las actualizaciones de SO y softwares, eliminación de usuarios o aplicaciones sin actividad, revisión de privilegios de acceso o cierre de puertos.
Todo esto sigue siendo necesario, pero para un hardening eficiente ahora hay que desplegar un modelo de fortificación integral, que abarque a la infraestructura crítica, a los usuarios y a los procesos de trabajo, ya que todos esos vectores pueden ofrecer brechas de seguridad susceptibles de ser explotadas, más aun incluso los que están asociados a la intervención humana, fácilmente manipulable mediante técnicas de ingeniería social que los ciberdelicuentes no dejan de renovar y sofisticar para conseguir sus objetivos.
Aunque al tiempo que se han de aminorar los riesgos no se deben perder de vista las situaciones de uso, buscando ese complejo equilibrio entre un sistema óptimo para las exigencias de ciberseguridad de los administradores y la usabilidad que precisan los usuarios, cuya operativa ha de verse ralentizada lo menos posible por los errores involuntarios derivados de la implementación de medidas de protección.
De hecho, la dificultad de conciliar ambos aspectos a nivel endpoints ha llevado al desarrollo de todo un campo específico dentro de las Ciencias y Tecnología de la Información denominado HCI-Sec (Seguridad e Interacción entre el usuario y el ordenador).
Sistemas Zero-Trust o ‘confianza cero’
Es en medio de este contexto, donde los modelos Zero-Trust pueden hacer una gran contribución al nuevo concepto reforzado de fortificación al que se aspira, ya que estos sistemas eliminan una fuente de problemas de ciberseguridad como la confianza apriorística, esto es la presunción de que quien accede está autorizado a hacerlo. Al tiempo, que también permiten la realización de adaptaciones para que no se resienta la usabilidad.
Así, la arquitectura Zero-Trust posibilita regular de manera más fiable el acceso a la red (ZTNA) y a los datos (ZTDA), tanto de los usuarios como de los dispositivos (algo clave para el nuevo Internet de las cosas). Para ello, se implementa un sistema de autenticación permanente que regula el acceso pero también la propia continuidad operativa.
Además, estos sistemas aportan una protección segmentada de la red ZTNA que cubre información, aplicaciones y servicios, regulando qué usuarios y dispositivos pueden acceder a cada cosa, así como las condiciones en las que pueden hacerlo.
Asimismo, monitorizan la actividad y establecen criterios para la operativa en cada punto de la red, creando lo que se denomina como microperímetros, siempre dinámicos al poder variarse en función de ampliaciones y cambios en usuarios, datos, aplicaciones, servicios, etc.
Con ello, vemos que el modelo Zero-Trust permite desplegar un esquema dinámico, flexible y adaptativo, con lo que realiza una aportación esencial para obtener una fortificación que armonice seguridad y funcionalidad.
Modelos de doble factor de autenticación
Igualmente, con la vista puesta en un nuevo enfoque de hardening que tenga en cuenta todos los vectores para reducir las vulnerabilidades, la protección del acceso de los usuarios con sistemas de autenticación de dos factores (2FA) también pueden jugar importante papel.
Con ellos, se subsana la debilidad inherente a las contraseñas tradicionales, ya que por poco previsibles que sean al estar basadas en algo que el usuario ‘sabe’ siempre son susceptibles de ser corrompidas, ya sea por medios mecánicos o por técnicas de ingeniería social que logren engañar al usuario para que brinde esa información que solo él conoce.
Sin embargo, con el doble factor de autenticación, se combina algo que el usuario sabe (quién es) con algo que ‘tiene’, como por ejemplo un código de un solo uso (OTP) que se ha creado aleatoriamente.
Además, no solo puede reforzarse la contraseña, sino que también pueden añadirse más capas de protección adicionales con más factores de autenticación, relativos por ejemplo a algo que se ‘sea’, es decir una característica física intransferible como la huella, el iris o el rostro. Algo que de hecho ya está funcionado en dispositivos de uso común como los smartphones.
Estos sistemas de doble factor de autenticación pueden aportar un gran valor añadido al nuevo concepto de fortificación, al reforzar el eslabón que quizás sea el más débil de la cadena, el de los usuarios, sin que por ello se reduzca un ápice la funcionalidad, toda vez que se hacen posibles identificaciones tan rápidas como las que se realizan por rasgos físicos, partiendo de la base siempre de que una usabilidad entendida como acceso con contraseña simple (no digamos ya sin ninguna) es sencillamente inasumible a efectos de ciberseguridad.
La ayuda de expertos para conciliar fortificación y operatividad
Para las empresas es fundamental el soporte de servicios y soluciones profesionales para afrontar los retos y desafíos en la coyuntura actual de transformación tecnológica. Solo así es factible para los negocios poder conjugar la óptima protección de su infraestructura y datos con la extracción de todas las potencialidades de sus sistemas TI.
Por ello, cobra una gran importancia el recurso a soluciones as a service: desde para funcionalidades CISO (CISOaaS) hasta para backup (BaaS).
En ITRES nos enfocamos a la fortificación de los sistemas de nuestros clientes, conciliando la adopción de un enfoque integral de ciberseguridad 360º, el máximo aprovechamiento de los recursos tecnológicos, la usabilidad, el mantenimiento de unos procesos operativos altamente eficientes, la escalabilidad y el ahorro de costes.
