¿Es seguro nuestro sistema?

2 junio, 2022
Foto: Pexels.

El artículo retoma las ponencias realizadas en el Pymes Day de la Mobile Week Barcelona 2022 en torno a la seguridad tecnológica empresarial y las posibles líneas para su gestión y evolución.

Hoy en día no resulta difícil encontrar notícias en torno la seguridad de los sistemas informáticos. O más bien de inseguridad, puesto que a menudo la actualidad se centra en incidentes que pueden comprometer el sistema de una organización, secuestrar datos privados o interrumpir el funcionamiento dejando sin servicio a los usuarios legítimos, entre otros.

En ocasiones, éstas noticias pueden generar indiferencia por la lejanía con la que es fácil percibir la virtualidad tecnológica, por intangible, o la seguridad en particular, por compleja. En otras, quizá motivaran inquietud o sensación de desprotección, especialmente en el ámbito empresarial donde el valor de la información toma una especial relevancia. De hecho, las organizaciones no sólo deben estar implicadas en la seguridad de la tecnología que utilizan para salvaguardar su propio funcionamiento, sino que también están obligadas a gestionarla de forma proactiva (e.g. la protección de los datos). Lógicamente, no resulta efectivo ni desatender la seguridad del sistema ni implantar todo tipo de medidas sin saber si resultan adecuadas o no.

En este sentido, conocer las necesidades o el estado real de la seguridad de un sistema no siempre resulta una tarea fácil. La heterogeneidad y la complejidad que en ocasiones presenta la tecnología o su configuración a menudo requiere procesos de verificación especializados (e.g. auditoría técnica de seguridad) para arrojar datos que sean reales y útiles para la toma de decisiones, pero no se pueden obviar los beneficios que aportan acciones tan simples como el control y la revisión periódica de los elementos clave en la seguridad del sistema (sobre todo si este control puede automatizarse).

Por ejemplo, el registro de incidencias del cortafuegos de la red (función que acostumbra a desempeñar el router) es uno de esos elementos que pueden aportar información valiosa acerca de lo que realmente está sucediendo en un sistema empresarial que, hoy en día, está permanentemente encendido y conectado a Internet. De hecho, las comunicaciones son uno de los principales vectores de inseguridad al facilitar la transmisión de todo tipo de amenazas en tiempo real y desde cualquier ubicación.

El análisis del registro del cortafuegos puede mostrar las habituales incidencias generadas por terceros, desde las simples comprobaciones de puertos abiertos hasta los típicos intentos de conexión a servicios restringidos (e.g. servicios de acceso remoto), intentos que en ocasiones pueden llegar a ser suficientemente organizados y consistentes como para considerarse ataques en toda regla con el objetivo de explotar vulnerabilidades, conseguir credenciales de acceso por fuerza bruta o simplemente para bloquear o denegar los servicios que se ofrecen a sus usuarios legítimos.

Pero el registro también puede mostrar incidencias cuyo origen está en el interior de la organización, rompiendo así la percepción que habitualmente se tiene del origen externo de las amenazas. Quizá esto pueda sorprender a primera vista, pero, por ejemplo, el software malicioso que puede haber conseguido instalarse en los equipos (sean de la organización, de trabajadores o de invitados) burlando las medidas de seguridad implementadas puede generar incidencias de salida (e.g. conexiones hacia servidores de dudosa reputación o combinaciones de puerto/protocolo no estándares), lo que afortunadamente ayuda a la detección de situaciones que deben resolverse.

De hecho, quizá el sistema de la organización no sea finalmente tan confiable como tradicionalmente se ha considerado. El perímetro de seguridad binario que históricamente separa el interior del exterior ha quedado desdibujado con la integración de tecnologías recientes (como los servicios de acceso remoto para el teletrabajo, la conexión de dispositivos no gestionados – BYOD, la conexión inalámbrica para invitados o la integración de dispositivos IoT) que han aumentado la complejidad del sistema, la heterogeneidad de los requisitos y, sobretodo, la superfície de ataque.

Quizá esta ristra de tecnologías se ha implantado en la organización a la misma velocidad que han aparecido o se han necesitado, sin reparar en la necesaria revisión de los requisitos que deben garantizar la seguridad del sistema en conjunto. En este sentido, el modelo de confianza cero puede ser una referencia para revisar, evolucionar y consolidar la estrategia de seguridad de éstos sistemas bajo una premisa clara: “nunca confiar, siempre verificar”.

El modelo de confianza cero rompe con la concepción arquitectural tradicional imponiendo tres principios concretos (en su versión original, algunos autores las han ampliado o complementado a posteriori): (i) garantizar el acceso seguro a todos los recursos independientemente de su ubicación, (ii) establecer una estrategia de privilegios mínimos forzando el control de acceso y (iii) inspeccionar y registrar todo el tráfico. Desarrollando estas líneas de actuación se consigue, entre otros, reducir los perímetros de seguridad, aumentar el control y mejorar el cumplimiento de los estándares y las normativas de seguridad actuales.

Si bien la implantación de un modelo de confianza cero añade cierta complejidad al sistema (sobretodo por esas medidas de control adicionales), no deja de ser un modelo escalable a diferentes escenarios y tecnologías puesto que el planteamiento es ajustable a cada contexto, como demuestra la diversidad de soluciones que está desarrollando la industria tecnológica, cubriendo necesidades que van desde sistemas on-premise hasta sistemas en la nube.

Consecuentemente, implantar un modelo de confianza cero no es una tarea inmediata y requiere no sólo de análisis y reflexión, sino probablemente también de adaptación y evolución de la concepción del sistema como proveedor de servicios para la organización. Sin embargo, el modelo también resulta interesante conceptualmente en casi cualquier circunstancia porque permite dirigir tanto el análisis de la seguridad como la integración efectiva de medidas o mecanismos que complementen o amplíen la implantación actual.

Con un panorama donde los riesgos y las amenazas evolucionan a un ritmo sorprendente, es necesario profundizar en la seguridad del sistema más allá de la implantación de las habituales (y necesarias) medidas en todos los niveles (como podría ser la instalación de herramientas antivirus/antimalware, la actualización periódica del software/firmware o la formación de los usuarios para garantizar la cadena de seguridad). Las políticas de seguridad empresarial han de llevar hacia una estrategia de control y revisión sistemática de las medidas implantadas para hacer frente al contexto actual y también para evolucionar el modelo de seguridad del sistema. Y, ya que se introducen mejoras de seguridad en el sistema, ¿porqué no hacerlo sustentando los cambios en modelos que están demostrando una seguridad contrastada?

(Visited 97 times, 1 visits today)
Autor / Autora
Amadeu Albós Raya
Máster en ingeniería informática, especialista en sistemas de información, seguridad informática y sistemas distribuidos. Es profesor, administrador y gestor tecnológico. En la UOC dirige trabajos finales en el máster universitario de Ciberseguriad y Privacidad y en los programas de grado y máster de Ingeniería Informática. 
Comentarios
Deja un comentario