Superficie de ataque en entornos híbridos

Superficie de ataque en entornos híbridos

Si seleccionas líneas de la transcripción en esta sección, irás a la marca de tiempo en el vídeo Ahora que Laura nos ha explicado las diferentes situaciones que llevan a un fin de contrato, vamos a ver de forma más práctica sus implicaciones desde el punto de vista de la ciberseguridad de los datos corporativos. Empecemos por ver cómo afecta a los actuales entornos empresariales, que en su mayoría podríamos categorizar como híbridos. Aquellos que peinamos canas hemos vivido una rápida evolución de los sistemas informáticos corporativos. Empezamos con los grandes ordenadores centrales que solo eran accesibles desde terminales directamente conectados a ellos y que únicamente grandes compañías podían tener. Pasamos luego a la expansión de los ordenadores independientes que se conectaban por red a estos grandes sistemas. Entornos aún caros y limitados principalmente a un mismo edificio o lentas comunicaciones entre sedes de una empresa. Con la explosión de Internet, los entornos corporativos pudieron empezar a utilizar servicios en línea que les permitían realizar trabajos específicos o interactuar con otras organizaciones. En este punto, los datos empezaron a salir de la propia empresa y almacenarse en los sistemas de esos proveedores de servicios online. Años después aparecieron entornos de nube pública que hicieron posible el uso de la potencia de computación conjunta para nuestras propias funciones. Así, ya no hacía falta realizar fuertes inversiones en adquisición de equipamiento físico. Algo que gustó mucho a los equipos de administración financiera. En este punto, las empresas empezaron a poner de forma masiva información confidencial en entornos externos. Y por último, hace unos pocos años apareció el concepto de teletrabajo como realidad establecida, donde ya no hace falta ir físicamente a la oficina para acceder a todos los datos necesarios para realizar nuestro trabajo. Este concepto, que ya existía antes de la aparición del COVID 19, sufrió un gran impulso por las restricciones de movilidad debidas a la pandemia. Como ya habrás intuido, todas estas evoluciones han ido modificando la ubicación de los datos que queremos proteger. No es lo mismo proteger la información localizada físicamente dentro de un centro de datos de nuestro edificio corporativo, donde tenemos control tanto físico como digital, de las formas de acceder a esa información, que protegerla en un entorno de nubes híbridas donde la información se almacena en ubicaciones externas y se transmite en entornos separados físicamente a nivel mundial. O tener un control de la información en entornos de teletrabajo donde los datos ya no solo están disponibles en centros de datos, sino también en los propios equipos de los trabajadores que pueden estar solos en sus casas, en una oficina corporativa o de viaje. Los puntos de fuga de información o de acceso no legítimo han ido variando según ha evolucionado la computación corporativa y así se han adaptado también las soluciones y paradigmas de la ciberseguridad de la información. Y créeme, era mucho más fácil cuando toda la información estaba encerrada dentro de nuestra propia empresa. En los entornos corporativos actuales, un atacante malicioso puede optar por atacar los servicios internos corporativos, como en los inicios de la ciberseguridad. La información almacenada en nubes públicas que por definición son accesibles desde cualquier parte del mundo o directamente el entorno del teletrabajador, que probablemente en la soledad de su casa gestione información confidencial sin tener las mismas protecciones que dentro de una red corporativa. Los entornos híbridos actuales representan un desafío que requiere no sólo de soluciones técnicas novedosas, sino principalmente de una mentalidad de gestión de la ciberseguridad muy diferente a la que teníamos hace no tanto tiempo. Y sobre esto te hablaré en la próxima serie de audios.

Cerrar accesos a recursos internos

Si seleccionas líneas de la transcripción en esta sección, irás a la marca de tiempo en el vídeo En nuestras empresas tenemos acceso a múltiples sistemas que almacenan y gestionan información. Muchos trabajos serían imposibles sin utilizar soluciones de carpetas compartidas, intranets corporativas o correos electrónicos. Y como es lógico, estos accesos deben ser retirados una vez se termina nuestra relación laboral. El primer punto que debemos bloquear es la cuenta individual que permite el acceso a la empresa. Hoy en día solemos acceder a los recursos internos mediante conexiones VPN. Es muy importante evitar que la persona despedida tenga acceso a la información corporativa almacenada en los sistemas de la organización. En los entornos corporativos se suelen utilizar cuentas de usuario individuales para gestionar los distintos accesos a las diferentes aplicaciones. Así, es muy habitual encontrarnos herramientas como Microsoft Active Directory para cubrir estas necesidades. Por lo general, estas cuentas serán del tipo nombre . apellido, es decir, del tipo Andrew . Adrogué o Laura . Boró. Aunque esta nomenclatura puede variar en cada organización. Claro, Andrew. La primera cosa que solicitamos al equipo de sistemas cuando hay una desvinculación laboral, es que bloqueen el usuario afectado. Y está perfecto. Pero no debemos olvidarnos de que no todos los sistemas tienen esta integración con el sistema centralizado de cuentas de usuario. Aunque desde hace años se tiende a la centralización de gestión de identidades, es probable que los sistemas más antiguos o que se hayan desarrollado internamente tengan su propio sistema de control de acceso. En tal caso, estas cuentas individuales aisladas deben ser también gestionadas. Además, es posible que haya cuentas compartidas por varias personas de un departamento. Así pues, probablemente existan cuentas llamadas administrador, financiero u operaciones. La contraseña de estas cuentas compartidas es conocida por todos los miembros de la organización, así que en caso de que cualquiera de ellos deje la empresa, ya sea de forma voluntaria o forzosa, dicha contraseña debe cambiarse rápidamente para evitar un posible mal uso. Si piensas un poco en tu día a día, probablemente veas que hay más contraseñas corporativas de las que te imaginas en un primer momento. Y aunque la reacción más interiorizada sea la de bloquear la cuenta personal dentro del sistema de gestión de identidades, no debemos dejar de prestar atención a las otras contraseñas que pueden seguir estando operativas.

Inventariar servicios externos

Si seleccionas líneas de la transcripción en esta sección, irás a la marca de tiempo en el vídeo La gran mayoría de los entornos corporativos actuales suelen utilizar una arquitectura de sistemas híbrida, es decir, parte de los sistemas y aplicaciones se gestionan internamente, pero a la vez cuentan con soluciones en entornos de nube pública. Incluso algunas pequeñas empresas pueden gestionar toda su operativa mediante aplicaciones y servicios de nube pública. Una de las principales ventajas de los servicios de nube pública del tipo que sean, es que permiten el acceso a la información desde cualquier punto de Internet. Lo que por un lado, es muy útil para los entornos con posibilidad de teletrabajo, lleva implícito un riesgo para la seguridad de la información. Los datos ya no están protegidos dentro de los muros de la empresa, sino que son accesibles desde cualquier lugar del planeta. Y puedes tener que despedir a una persona que sabe dónde están y cómo conseguirlos. Cuando una empresa crece en tamaño y se van creando especializaciones, es común que cada departamento vaya seleccionando y utilizando las herramientas que mejor se adapten a sus necesidades. Además, es habitual que ese conocimiento sobre qué herramientas se utilizan para gestionar información corporativa no se propague entre departamentos, lo que puede derivar en un riesgo de ciberseguridad. Si el Departamento de Sistemas no conoce el uso de una herramienta externa, no podrá gestionar el bloqueo de los accesos de la persona despedida. Debemos recordar que solo podemos proteger lo que sabemos que existe. Piensa que cuando hablamos de servicios externos nos referimos a una multitud de posibilidades. Te doy algunos ejemplos. La cuenta corporativa de LinkedIn que usan en recursos humanos para buscar nuevos empleados. La aplicación utilizada para marcar el registro horario de los trabajadores. Las cuentas de redes sociales que lleva el departamento de marketing, el servicio externo que usamos para comprar, el dominio de Internet de nuestra empresa o la aplicación de la gestoría utilizada para el pago de nóminas. Aunque trabajes en una empresa pequeña, haz una revisión rápida de las aplicaciones y páginas web que visitas en tu trabajo diario. Probablemente sean más de las que pensases en un inicio. En el momento de una desvinculación laboral, el departamento de Sistemas o ciberseguridad deberá actuar para proteger la información privada y corporativa que se encuentra en todos los servicios externos que, por su propia definición, están disponibles a nivel mundial y no tenemos el control de acceso en nuestras manos. Para ello necesitamos tener un listado de qué aplicaciones debemos revisar según el departamento al que pertenecía la persona despedida. Los humanos somos bastante olvidadizos y los momentos posteriores a un despido pueden ser bastante tensos y con un importante nivel de nervios. Así que debemos tener una lista actualizada de servicios a revisar por departamentos y que se haga esto de una forma periódica. Así, en el momento del fin de contrato de una persona, podemos simplemente seguir un listado preexistente y proteger la información corporativa de forma rápida y eficaz.

Proteger servicios externos

Si seleccionas líneas de la transcripción en esta sección, irás a la marca de tiempo en el vídeo Los servicios basados en entornos de nube pública son herramientas generalizadas en los entornos corporativos. Los utilizamos cada día. Una de sus grandes ventajas que ayudó mucho a la expansión del teletrabajo es el hecho de permitir su uso desde cualquier lugar. Con una conexión a Internet es suficiente para poder trabajar con estas herramientas. Por lo que ya no se obliga a que la gente esté físicamente en las oficinas corporativas. Pero esta gran ventaja también los hace vulnerables a ser una fuente de riesgos de ciberseguridad, desde una fuga de información confidencial a la destrucción malintencionada de dicha información. Si no realizamos una correcta gestión de las identidades de los trabajadores o de sus permisos de acceso, podemos perder el control de quién y cuándo accede a los datos confidenciales de nuestra empresa. Y no pienses que es algo moderno o que no pasa nunca. Ya en 1996, la empresa Digital Technologies Group perdió toda la información de su página web porque un ex empleado que había sido despedido el día anterior aún tenía acceso a los sistemas de la empresa y decidió borrarlos. Es por ello que los equipos de Recursos Humanos y Sistemas debemos trabajar juntos para minimizar el ciber riesgo para la empresa. En definitiva, cuando una persona deja la empresa o es despedida, debemos actuar para proteger los accesos a los servicios externos que utilizase dicha persona. Primero será necesario eliminar o deshabilitar las cuentas de acceso personales, algo que será más rápido y sencillo si los servicios externos utilizan nuestro sistema centralizado de autenticación. Y segundo, debemos forzar el cambio de contraseña de todas las cuentas compartidas que haya en el departamento y que el exempleado pudiera conocer. Un ejemplo sería el típico servicio web al que nos registramos con la cuenta Soporte@miempresa.com. Si el servicio externo cuenta con un servicio de segundo factor de autenticación, también podemos protegerlo simplemente anulando las vinculaciones actuales con dispositivos externos y forzando el uso de otro dispositivo del que sí tengamos control. Estos sencillos pasos permitirán reducir al mínimo el riesgo de un uso malintencionado de los accesos a servicios de nube pública. Pero para hacerlo bien hay que hacer pruebas y documentar.

Política de contraseñas compartidas

Si seleccionas líneas de la transcripción en esta sección, irás a la marca de tiempo en el vídeo Las políticas de contraseñas son aquellas que definen cómo de compleja debe ser una contraseña, cada cuánto hay que cambiarlas, cuando hay que activar forzosamente el segundo factor de autenticación y cuándo puede ser opcional, entre otros tantos detalles. Te aseguro que no lo hacemos por el mero placer de molestar a los usuarios. Estas políticas buscan establecer una seguridad aceptable para una de las funciones de ciberseguridad que más utilizamos en nuestro día a día. Las contraseñas. Y las contraseñas compartidas son una herramienta incluso más delicada que las personales, porque su uso impide la acreditación única de cualquier acción que se realice con ellas. Es decir, que si todo el equipo financiero sabe la contraseña del usuario Contabilidad@miempresa.com, entonces nos será casi imposible saber qué persona está usando ese acceso para hacer transacciones que podrían ser fraudulentas. Desde el punto de vista de ciberseguridad, te puedo decir que las cuentas y contraseñas compartidas son una mala idea. Sin embargo, desde el punto de vista práctico, todos sabemos que existen las cuentas de sistemas. Como la cuenta Administrator en Windows o Root en entornos Linux o herramientas que solo tienen una cuenta admin para su gestión y no permiten tener cuentas nominales ni individuales. Así, ya que estas cuentas existen aunque les duela a los auditores y no siempre se pueden eliminar, debemos aplicarle una política de gestión de contraseñas especialmente reforzada. Lo primero será eliminar esas cuentas compartidas siempre que sea técnicamente viable. El hecho de tener una política de contraseñas compartidas no es excusa para no eliminarlas. Limitar al máximo las personas que conozcan estas claves compartidas. Obviamente, no hay que usar una contraseña sencilla porque mucha gente tenga que recordarla. El uso de gestores de contraseñas es imprescindible para asegurar una buena robustez y que a su vez, la gente que necesite usarla pueda acceder a ella. Hay que restringir el uso de dichas cuentas únicamente a funciones que no puedan realizarse con accesos nominales. Por otro lado, hay que registrar y monitorizar el uso de dichas cuentas. Es decir, debemos saber cuándo y dónde se usaron. Y alguien debe revisarlo, porque tener un registro en un fichero que nadie va a mirar nunca no permite detectar ningún uso malicioso. Un registro no controlado ayudará al forense informático a ver qué pasó. Pero si ya hablamos con el perito, es que el riesgo de ciberseguridad ya explotó. También será necesario forzar el cambio de contraseñas compartidas de forma periódica y frecuente. En caso de una desvinculación laboral, todas las cuentas compartidas de las que el trabajador tuviera conocimiento deben ser cambiadas sin excepciones ni retrasos. Piensa que en caso de un despido, el ya ex trabajador puede estar muy enfadado y actuar sin pensarlo dos veces. Por último, es importante tener un inventariado actualizado y revisado periódicamente por una persona responsable de todas estas cuentas compartidas. Así podemos aplicar la política de contraseñas, bloqueos y cambios a todos nuestros riesgos. La próxima vez que te fuercen a cambiar la contraseña, ya sea la personal o la de una cuenta compartida, piensa que hay buenas razones de ciberseguridad detrás de esa petición.