Modernización de las TI: cambiar la seguridad por la gestión de riesgos
Adoptar un enfoque de seguridad basado en el riesgo requiere un cambio significativo en nuestra forma de pensar sobre la seguridad y los activos digitales. Pero este cambio es necesario dada la rápida evolución de las amenazas digitales y la incapacidad de los modelos de seguridad existentes para mitigarlas, y mucho menos para seguirles el ritmo.
De paquetes, a cargas útiles y a procesos
Los marcos tradicionales de arquitectura empresarial se crearon sin tener en cuenta la seguridad. Es absolutamente cierto que la seguridad, en general, es una idea tardía, habiéndose desarrollado en gran medida en un modelo reactivo. Es decir, los malos actores crearon ataques para los que los vendedores y los líderes tecnológicos construyeron mitigaciones. Esto se debe a la naturaleza de la transformación digital. En sus primeras etapas, el objetivo era permitir la productividad y la eficiencia a través de las aplicaciones. Estas aplicaciones eran en gran medida fijas y estáticas, y residían en un centro de datos aislado. Había poco riesgo de ataque desde el exterior porque no había puntos de entrada en el centro de datos hasta que llegó la era de Internet.
En su forma más temprana, la seguridad se centraba en proteger las aplicações expuestas en Internet en las capas más bajas de la pila tecnológica: la red. Demasiados paquetes por segundo indicaban algún tipo de ataque de denegación de servicio. ¿La respuesta de seguridad? Cortafuegos capaces de bloquear el origen del ataque. Los puertos y protocolos se convirtieron en la base de las políticas de seguridad, con umbrales basados en el volumen y la velocidad de los paquetes que intentaban utilizar alguna aplicação. El objetivo de la seguridad en esta etapa era evitar interrupciones cortando un ataque mediante reglas simples y estáticas .
Los ataques evolucionaron rápidamente ante una fuerte defensa. A medida que las aplicações se volvieron más ricas y capaces, los atacantes descubrieron rápidamente vulnerabilidades en las pilas de software. La industria comenzó a ver ataques incrustados en la carga útil de los mensajes intercambiados entre usuarios y aplicações, cada uno buscando explotar alguna vulnerabilidad conocida que podría causar una interrupción, ofrecer acceso no autorizado o exfiltrar datos. La industria de la seguridad respondió nuevamente a estas nuevas formas de ataques, construyendo soluciones capaces de detectar y neutralizar ataques integrados. El enfoque de la seguridad en esta etapa fue detectar y neutralizar los ataques incrustados en las transacciones.
A medida que la economía digital se expandió, llegando más profundamente y más ampliamente a cada aspecto de nuestras vidas, la oportunidad para los atacantes también se expandió. El valor de los datos y el acceso a las cuentas de consumidores y empresas está creciendo exponencialmente. Tenga en cuenta que se estima que miles de cuentas de videojuegos de empresas como Steam, EA Sports y Epic “son robadas cada mes, y grandes bases de datos de cuentas se comercializan en canales privados de Telegram por sumas de entre 10 000 y 40 000 dólares ” ( BitDefender ). Hoy en día, las apropiaciones de cuentas son moneda corriente en todos los sectores, desde los juegos hasta las finanzas, la atención sanitaria y los servicios gubernamentales. Durante 2021, el fraude le costó al gobierno de Estados Unidos un estimado de 87 mil millones de dólares en beneficios federales ( CNBC ). La pérdida se atribuye principalmente al programa de desempleo pandémico, que se operó en gran medida a través de servicios digitales.
El desarrollo de bots especializados diseñados para ayudar a los consumidores a adquirir uno de los productos de lanzamiento limitado es cada vez mayor. Estos bots aprovechan la tecnología y la velocidad para garantizar que los consumidores puedan comprar un producto en línea en menos tiempo del que un ser humano puede seleccionar la talla y el color adecuados. Presentados como una tecnología de ayuda a los consumidores, los actores malintencionados usaron estos bots casi inmediatamente para agotar rápidamente los recursos con el fin de revenderlos a un precio mayor. Los bots de zapatillas, los grinch bots y otros especializados se dirigen cada vez más a productos y proveedores específicos de gran demanda.
“Gracias a sitios de reventa como StockX y GOAT , las zapatillas coleccionables se han convertido en una clase de activo, donde el precio se corresponde vagamente con la rapidez con la que se agota un artículo. Los sofisticados robots de zapatillas, que pueden costar miles de dólares, son clave para crear la escasez artificial que hace que una zapatilla sea valiosa y, a su vez, hace que una marca parezca genial”. ( New York Times )
El sector de la seguridad debe responder ahora a los ataques dirigidos a los procesos empresariales, como el inicio de sesión en un servicio o la compra de productos, además de los ataques existentes dirigidos a los servicios y aplicaciones de red. Los métodos tradicionales de inspección y evaluación son incapaces de detectar los ataques contra procesos empresariales legítimos. No se trata de vulnerabilidades, ni son objeto de explotaciones de protocolo. Se trata de procesos expuestos como una capacidad digital que es vulnerable a la explotación por parte de quienes tienen los medios para obtener —o el dinero para comprar— el conjunto adecuado de credenciales.
Las herramientas que protegen los procesos también deben ser capaces de diferenciar entre el software y los consumidores humanos. Esta tarea se ve dificultada por la realidad de que el software (como los bots) es utilizado tanto por consumidores que buscan eficiencia como por atacantes que buscan ventaja. La seguridad debe evolucionar de nuevo, y esta vez debe orientarse hacia la gestión de riesgos.
Adoptar un enfoque de gestión de riesgos no significa abandonar iteraciones anteriores de seguridad. De hecho, los ataques a cada capa de la pila tecnológica son constantes y deben abordarse. Un enfoque de gestión de riesgos no excluye el uso de tecnologías para prevenir ataques volumétricos o aquellos generados por contenido malicioso. Un enfoque de gestión de riesgos no se centra en la implementación Se detalla tanto como se explica cómo se identifican las amenazas y se determina el riesgo.
Al abordar la seguridad con una mentalidad basada en el riesgo, las organizaciones pueden alejarse de las respuestas frenéticas a los ataques. En su lugar, pueden tomar deliberadamente decisiones de seguridad que se alineen con los resultados empresariales y tengan en cuenta la tolerancia al riesgo de la empresa.
Modernizar la seguridad: el cambio hacia la gestión de riesgos
Las empresas digitales de hoy en día se conectan con sus clientes y socios ofreciendo experiencias digitales a través de aplicaciones modernas. Por lo tanto, la protección de las aplicaciones es primordial para la tarea de modernizar la seguridad. Estas aplicaciones —y, en el siguiente nivel de detalle, las cargas de trabajo y los servicios que son sus bloques de construcción— aportan valor al crear, enriquecer y/o proporcionar acceso a los activos digitales de la empresa de una manera u otra. Por lo tanto, son el foco central de una mentalidad de seguridad moderna. La ciberseguridad, como se denomina comúnmente hoy en día, se centra en gran medida en la protección de las aplicaciones y las API que exponen esas aplicaciones para conectar a los usuarios de todo tipo a los activos digitales que alimentan un negocio digital.
Los líderes tecnológicos conocen bien las herramientas y técnicas necesarias para aplicar la seguridad reactiva y proactiva. La pregunta es: «¿Cómo cambiar su organización hacia un enfoque basado en la evaluación del riesgo que se apoya en gran medida en la identidad y los activos?».
Hay dos tecnologías fundamentales para este cambio: la autenticación y el control de acceso. La autenticación proporciona políticas con el componente de identidad, mientras que el control de acceso proporciona la gobernanza de los activos digitales.
La autenticación es esencialmente el proceso de determinar y verificar la identidad de un consumidor de una aplicação . En el pasado, se trataba principalmente de humanos que buscaban acceso a aplicações monolíticas que vivían en un centro de datos privados. Como resultado, todos los sistemas y servicios de autenticación podrían residir dentro de ese mismo centro de datos. Hoy en día, las aplicações modernas utilizan una arquitectura distribuida y API expuestas; por lo tanto, la autenticación debe evolucionar. La autenticación ahora debe reconocer no sólo a los consumidores humanos, sino también a los agentes humanos, como los agentes automatizados. Además, debido a que las aplicações distribuidas se componen de servicios provenientes de múltiples nubes, la autenticación debe existir en un mundo de almacenes de identidad federados e interempresariales. En resumen, si bien la autenticación sigue siendo un elemento central de la defensa básica, la naturaleza ampliada de los servicios digitales actuales requiere una visión evolucionada de la identidad y de cómo se valida.
El control de acceso ha sido y sigue siendo el proceso de determinar quién (o qué) puede acceder a un recurso empresarial. Pero, al igual que ocurre con la autenticación, la funcionalidad requerida para el control de acceso también ha evolucionado junto con las aplicações empresariales. Las primeras encarnaciones del control de acceso estaban en la capa de red; los consumidores potenciales de la aplicação estaban “dentro” o “fuera” de un perímetro definido por direcciones IP de red. Pero hoy, cuando los consumidores móviles acceden a aplicações distribuidas que se entregan en múltiples puntos de entrega, no existe un perímetro claro y estático que defina la noción de adentro versus afuera. Por lo tanto, el control de acceso debe formularse en términos de la identidad del usuario, validada mediante autenticación. Los consumidores de aplicação modernas ya no pueden separarse según la ubicación de la red, sino que se clasifican según su identidad.
Estas tecnologías, cuando se combinan con un inventario completo de todos los activos digitales clave, se pueden utilizar para ejecutar decisiones tomadas con respecto al riesgo de permitir el acceso a un activo determinado. Esas decisiones se basan en una comprensión de cómo están expuestos esos activos junto con a quién deberían (o no) estar expuestos esos activos.
Por lo tanto, el primer paso para modernizar la seguridad es crear o mejorar el inventario de activos centrándose en los medios por los que se accede a esos activos y por qué. Además, los responsables de la tecnología deben tener en cuenta que las aplicaciones son el principal medio para acceder a todos los datos y, por lo tanto, el inventario también debe ser capaz de asignar los activos a las aplicaciones que interactúan con ellos.
A continuación, los líderes tecnológicos deberán colaborar con los líderes empresariales para establecer perfiles de riesgo/recompensa para los activos clave. Los perfiles de riesgo/recompensa resultantes deben alinear las acciones de seguridad con los resultados comerciales. Por ejemplo, una investigación de AiteNovarica nos dice que “los comerciantes pierden 75 veces más ingresos por rechazos falsos que por fraude”, lo que hace que el riesgo de lo que se conoce como un rechazo falso supere potencialmente el riesgo de permitir una transacción.
Por tanto, las interacciones relacionadas con esa transacción deben permitirse o denegarse en función de la tolerancia al riesgo de la organización. Los factores que pueden influir en la decisión son el valor de la transacción y la certeza asociada a la legitimidad del usuario. ¿Está el sistema seguro al 50 % de que el usuario es legítimo? ¿Más seguro? ¿Menos? Cada organización determinará su tolerancia al riesgo y, basándose en ella, ajustará sus perfiles para aplicar la seguridad dentro de esos límites. Un perfil de riesgo/recompensa guía a los humanos y a los sistemas a determinar cómo abordar el riesgo potencial. Las organizaciones más reacias al riesgo tenderán a ponderarlo más y a aplicar controles para evitarlo. Por el contrario, las organizaciones con una mayor tolerancia al riesgo valorarán la recompensa como un factor más importante a la hora de determinar cómo aplicar los controles de seguridad.
La granularidad aquí (la de la evaluación a nivel transaccional) implica la capacidad de evaluar continuamente las interacciones digitales y adaptar las decisiones de seguridad en función del contexto en tiempo real evaluado en relación con las políticas. Este enfoque es una capacidad clave de los enfoques de confianza cero, al igual que las tecnologías clave utilizadas para hacer cumplir las decisiones: autenticación (quién) y control de acceso (qué), como se describe en este documento técnico, “ Seguridad de confianza cero: Por qué es importante la Confianza Cero (y para algo más que el acceso) ”
La capacidad de evaluar continuamente las interacciones digitales depende de una estrategia de datos y observabilidad a nivel empresarial; es decir, que la organización tenga una estrategia y esté avanzando hacia la habilitación de una observabilidad completa, además de un medio para conectar y correlacionar interacciones entre distintas tiendas si no está centralizando los datos en una sola tienda.
Así, el cambio hacia la gestión de riesgos gira en torno a la adopción de tres tecnologías específicas: identidad, observabilidad y control de acceso, con un enfoque global de confianza cero que rige la ejecución.
La modernización de las TI debe incluir la seguridad
Una capacidad clave de una empresa digital es la seguridad: la seguridad de sus activos digitales, sus datos y la información financiera y personal de sus clientes.
En una empresa digital, casi todas las interacciones se llevan a cabo de forma digital y, por tanto, la seguridad debe convertirse en un ciudadano de primera clase y, en el caso de TI, de la arquitectura empresarial de la empresa. Para la mayoría, esto significará evaluar las prácticas, herramientas y políticas de seguridad —muchas de ellas puestas en marcha de forma ad hoc para combatir los crecientes ataques y las amenazas emergentes— con la vista puesta en si siguen siendo relevantes en un entorno principalmente digital. Será necesario un enfoque más deliberado y exhaustivo para asegurar plenamente todos los activos e interacciones digitales necesarios para que la organización prospere en una economía digital.
Muchas de las facetas del funcionamiento de una empresa digital no se tuvieron en cuenta cuando las organizaciones sentaron sus bases tecnológicas en forma de arquitectura empresarial. La seguridad es una de esas facetas insuficientemente consideradas.
A medida que nos precipitamos hacia un mundo digital por defecto, es necesario que las organizaciones modernicen las TI para apoyar y permitir el ritmo de cambio y la toma de decisiones basada en datos necesaria para prosperar en el futuro. Un paso importante es la modernización de la arquitectura empresarial. Esto debe incluir un enfoque de seguridad más generalizado, completo y, en última instancia, adaptable: un enfoque de gestión de riesgos.
Para obtener más información sobre cómo modernizar la arquitectura, especialmente la seguridad, para servir a un negocio digital, consulte nuestro nuevo libro de O'Reilly, “ Arquitectura empresarial para negocios digitales ”.