La procrastinación, la piedra en el zapato de la seguridad informática
1 de Enero de 2024Escribe Juan Ozino Caligaris, co fundador y Country Manager de Nubity
Como venimos observando, la seguridad corporativa empezó a ser protagonista de los grandes titulares de los medios “por las malas”. Un ejemplo fue el ataque de ransomware al gigante de la limpieza Clorox en agosto de este año, que generó la interrupción de parte de sus operaciones comerciales y afectó a toda su producción, además de dañar su infraestructura. El peor saldo son las pérdidas económicas, que se calculan en 356 millones de dólares.
Otro caso muy resonante fue el de IFX Networks, proveedora de telecomunicaciones con servicios en la nube con alcance en toda Latinoamérica, que también sufrió un ransomware. Para peor, en su infraestructura estaban alojadas importantes empresas y organismos de Gobierno. Sólo en Colombia, 65 entidades oficiales tuvieron sus sitios caídos. Como consecuencia, más de 50 millones de datos del Ministerio de Salud de ese país, estarían en las manos de ciberdelincuentes, mientras el Gobierno hace una mes inició una demanda contra la empresa.
Nuestro país, por supuesto, no está exento de estos episodios e incluso este año fueron afectados cinco organismos estatales: el Instituto Nacimiento de Tecnología Agropecuaria (INTA), la Comisión Nacional de Valores (CNV), el Ministerio de Mujeres, Géneros y Diversidad, el Programa de Atención Médica Integral (PAMI) y recientemente la Universidad de Buenos Aires (UBA), donde afectó a más de 350.000 personas, entre docentes y estudiantes y según trascendidos por estar vencida una licencia de un software.
Este tipo de ataques a empresas y organismos de todo el mundo dejan en evidencia cómo la generación de entornos seguros en muchos casos no está entre las prioridades de las organizaciones. La procrastinación de la que tanto se habla hoy, -la posposición deliberada de temas importantes pendientes, que requieren atención inmediata-, es uno de los “enemigos” de la seguridad corporativa. Al mismo tiempo, los ataques no paran de crecer. Según Microsoft los ciberdelitos en entornos empresariales crecieron un 38% entre 2022 y 2023.
En nuestra compañía lo vemos todo el tiempo, los ataques suceden porque los entornos no son seguros. Entonces, si hay un ataque es porque hubo una vulnerabilidad. Y la responsabilidad es 100% de la empresa. De la misma manera que en la década pasada las corporaciones se enfocaron en la calidad con certificaciones como ISO 9000 y ISO 9001, hoy el contexto los impulsa a aplicar políticas de seguridad acordes a sus operaciones y la información que manejan. Las prácticas y procesos empresariales deben normalizarse para realmente tener una organización segura. Por eso en este caso, es una procrastinación organizacional, que va más allá de las personas, sino que es la misma empresa la que no se embarca en la misión de fortalecer la seguridad de sus entornos y que de esta manera no previene que los ataques, que son permanentes y crecientes, no lleguen a alcanzarla, con las pérdidas económicas que genera.
Para evitar que sus sistemas sean vulnerados, las organizaciones generalmente cumplen como mínimo con algunas de estas prácticas:
Autenticación
Si bien hoy en día todos tenemos incorporado la importancia de una clave de autenticación lo suficientemente robusta, nos cuesta, sobre todo laboralmente, añadir herramientas con doble factor. Está comprobado que los usuarios no solemos tener las mejores prácticas con respecto a la creación y la utilización de claves distintas en distintos ambientes, esto es algo dónde claves dinámicas nos ayudan enormemente.
Y acá llegamos a un factor que es fundamental para robustecer la seguridad de los sistemas. En el desarrollo de aplicaciones, el acceso a información que se encuentra en otros sistemas o tienen acceso restringido, impulsó el uso servicios y microservicios, lo que requiere una enorme cantidad de autenticaciones independientes. Aquí la utilización de herramientas que permitan una gestión, simple y segura de la misma es fundamental. Desgraciadamente hemos observado como numerosos sitios han sido vulnerados por la falta de rotación o robustez de los mecanismos de autenticación.
Aplicaciones web y herramientas de terceros
La mayoría de los sitios web utilizan herramientas de terceros (generalmente open source) para proveer sus funcionalidades. Actualmente son más las "aplicaciones web" que los originales "sitios estáticos". Son las aplicaciones web y las dependencias de terceros (además del código propio de quien construye el sitio) las que normalmente se ven afectadas por vulnerabilidades de seguridad conocidas (CVEs). Es imprescindible revisar de modo procedural y responsable la construcción de la aplicación desde el primer momento, para evitar problemas mayores.
Estrategias zero trust
Los profesionales de tecnología se han basado en estrategias de seguridad perimetral para proteger activos valiosos, ya sean los datos de usuario, propiedad intelectual o sistemas críticos. Hoy, proteger el perímetro de la red ya no es suficiente. Deben aplicarse prácticas de confianza cero y siempre verificar cada transacción individual para adaptar la seguridad en torno a cada usuario, dispositivo y conexión.
La pregunta es: ¿Por qué las empresas siguen con estos “malos hábitos”? De acuerdo a lo que vemos, se debe, por un lado, porque tienen que modificar muchos de los procesos operativos, forzando las implementaciones, o bien llevar adelante cambios operativos significativos (conciliaciones por ejemplo) o directamente alterando la usabilidad de algunas herramientas.
Sabemos que la incorporación de seguridad en las prácticas y en los entornos lleva tiempo, pero lo que puede pasar si no se las incorpora tiene un potencial catastrófico. Los proveedores de la nube, como Amazon Web Services proveen todas las herramientas para que los entornos sean seguros. De todos modos, aunque brindan la facilidad para mitigar este tipo de problemas, inclusive con este apoyo es imprescindible la adhesión consciente de la empresa a procesos bien definidos, acompañados de revisión permanente por parte de los equipos responsables de mantener las aplicaciones seguras.
A la larga dejar para mañana lo que hay que hacer hoy puede costar millones.
(*) Juan Ozino Caligaris: Co fundador y Country Manager de Nubity