La importancia del control de acceso y cómo mejorarlo
Uno de los elementos básicos de una estrategia de ciberseguridad es el control de acceso e identidad empresarial. Expertos chilenos nos ofrecen recomendaciones para robustecer este primer paso, especialmente en tiempos de un extendido trabajo remoto.
El acceso no autorizado a los sistemas e infraestructura de una empresa sigue siendo un tema fundamental en su operación diaria. Aunque con el avance e incorporación de nuevas tecnologías, las compañías han sumado nuevos sistemas de manejo de identidad y control de ingreso tanto físicos (biométricos, claves, tarjetas de proximidad, etc.) como digitales (múltiples factores de autenticación o MFA) para mejorar su seguridad, aún queda bastante camino por recorrer y perfeccionar en la materia.
Según los resultados del «ESET Security Report», solo el 17 % de las empresas encuestadas en la región reconocen tener implementados sistemas de doble autenticación para la validación de identidad. En esa misma línea, de acuerdo con una encuesta global realizada por Cisco, solo el 27 % de las empresas utilizan la metodología y tecnología de MFA para reforzar el proceso de validación de identidad para el acceso a aplicaciones y recursos. Esto, a pesar de que el 81 % de las brechas de seguridad involucran el compromiso de credenciales de usuarios.
En términos tecnológicos, David Alfaro, CEO de Arkavia Networks, señala que solo un porcentaje menor de las empresas utilizan un segundo factor de control de identidad al momento de establecer una conexión. «Esto implica que el esquema de login-password que se usa es débil y no garantiza en sí la identidad. Debieran ser considerados factores extras (por ejemplo, un generador de números aleatorios o un certificado digital) y en algunos casos hasta un tercero, como la huella dactilar (biometría). Además, en la gestión de acceso, la identificación y control sobre la estación remota es pocas veces considerado. Esto implica que muchos están accediendo desde estaciones sin los controles de seguridad mínimos que resguarden ese punto de entrada».
En este sentido, Roberto Alfaro, gerente general de SCM Chile, sostiene que, en general, los sistemas son muy deficientes, poco amigables y fáciles de violar. «Por ejemplo, para la biometría digital existen múltiples opciones en el mercado, pero las actualmente dominantes son alterables con dedos de silicona o de plasticina, muy fáciles de elaborar. La tecnología existe. Existen lectores de huella que detectan si es efectivamente un dedo vivo o no, pero la búsqueda del precio más bajo termina abriendo la puerta a tecnologías inseguras de forma masiva, aunque la diferencia de precio no sea tan relevante».
Los expertos coinciden en que, en Latinoamérica, es necesario perfeccionar la ciberseguridad en términos de la gestión de accesos e identidades, ya que hay una evidente falta de madurez en este aspecto, tanto en el sector público, como privado, donde aún no existen mecanismos robustos para la validación de identidad y controles de acceso.
Para Santiago Pontiroli, analista de seguridad de Kaspersky en América Latina, en la mayoría de los casos, la gestión de accesos e identidades se realiza a través de una credencial (nombre de usuario y contraseña) y un token (ya sea físico o virtual). «Es fundamental tener estas dos partes implementadas y configuradas de forma correcta para poder garantizar la autenticación y autorización de los usuarios a los diferentes recursos compartidos. Por un lado, debemos verificar que el usuario es realmente quien dice ser y, por otro, que tiene permisos para acceder a los recursos que desea. Para poder gestionar todas nuestras credenciales, podemos utilizar herramientas diseñadas específicamente para este propósito, que permiten crear una bóveda digital segura para almacenar información privada relacionada a un pasaporte, licencia de conducir, tarjetas bancarias y otros datos», explica.
Pontiroli detalla que, «del lado de la empresa, se deberá exigir el cumplimiento de los requisitos básicos de complejidad de las contraseñas como son la longitud, tipos de caracteres a utilizar, periodo de vigencia, etc. De igual forma, se deberá proveer y capacitar a los usuarios en la utilización de los tokens que servirán como segundo factor de autenticación en caso de que una tercera parte tenga acceso a sus credenciales».
Consejos para administrar correctamente el acceso de los usuarios
Para Luis Lubeck, especialista de seguridad informática del Laboratorio de Investigación de ESET Latinoamérica, el principal consejo es implementar mayores sistemas de control de acceso. «Hoy, el doble factor de autenticación es fundamental en cualquier servicio que busque mejorar el nivel de autenticación de identidades. Solo usuario y contraseña no es suficiente para garantizar la identidad de un cliente, usuario, proveedor, etc. Con el agregado de otro factor de identidad (token digital, datos biométricos, token físico, etc.), el nivel de certeza de esa identidad crece exponencialmente», destaca.
El experto agrega que, como la seguridad es un concepto que requiere trabajarse en múltiples capas, es fundamental también contar con planes constantes de capacitación a las personas involucradas en todo el proceso (usuarios, empleados y resto de la cadena comercial que interactúe con los sistemas). Se debe tener en cuenta que el 34 % de los casos de filtración de datos es realizado por actores internos, y es necesario clasificar la información según su sensibilidad e importancia.
«Además, [se necesita] contar con sistemas de prevención de pérdida de datos (para monitorear constantemente y evitar o alertar a tiempo fugas de información, ya que el 54 % de las mismas tardan varios meses en detectarse), y para mitigar un problema se requiere contar con sistemas de backup implementados de manera sistemática y en línea con el negocio y sus necesidades», dice.
Por su parte, Juan Marino, responsable de ciberseguridad para MCO de Cisco, sostiene que el primer consejo es revisar los casos de uso para poder crear políticas razonables para cada situación. «Si los controles de seguridad son iguales para todos los casos de uso, podrían resultar muy laxos en algunos o agregar demasiada fricción en otros. El segundo consejo en términos tecnológicos es considerar rápidamente un mecanismo de MFA para elevar drásticamente la seguridad de validación de identidad sin que esto resulte traumático para los usuarios. En ese sentido, el método más popular es el push authentication al dispositivo móvil de los usuarios».
A juicio de Pontiroli, de Kaspersky, es necesario guardar un registro de todos los eventos relacionados a autenticación y autorización de usuarios, ya sea que los mismos ingresen en forma física o remota a los recursos corporativos. De esta forma, se pueden encontrar anomalías: Por ejemplo, un usuario intentando ingresar repetidas veces una credencial errónea a altas horas de la madrugada, o alguien intentando ingresar desde una dirección de internet de otro país.
«Una vez que se tiene monitoreo de lo que sucede, es necesario implementar una política de manejo de identidad digital donde cada usuario tenga acceso solo a aquellos recursos esenciales para realizar su tarea diaria y que necesite su credencial y un código adicional para verificar su identidad. Uno de los factores que debemos tener en cuenta hoy en día, al desarrollar un sistema de este estilo, será la audiencia que lo utilizará, ya que cada segmento de usuarios puede sentirse más cómodo con una tecnología que con otra», resalta.
Finalmente, Alfaro, de Arkavia Networks, detalla que, en lo que respecta a accesos físicos, se deben considerar elementos de identificación y registro, como lectores de huellas digitales y cámaras de vigilancia y grabación, además de hacer portar una tarjeta de identificación permanente y a la vista.
«Además, las empresas deben considerar tener áreas con distintos niveles de seguridad para el acceso, evitando que las personas circulen libremente por zonas críticas, como sectores de gestión de plataformas, mesas de ayuda, centros de datos, etc. Incluso los puntos de red físicos deben ser protegidos y aislados, las redes WiFi de visitas separadas de la red corporativa y todos los dispositivos con acceso a redes 3G/4G/5G con herramientas instaladas para evitar ser usados como pivotes para acceder a la red», indica.
Para efectos de acceso a aplicativos locales o en la nube, desde estaciones o móviles, el ejecutivo manifiesta que, aunque pueda parecer un mecanismo tedioso de manejar, se debe al menos considerar el doble factor de autentificación «con un repositorio central de cuentas, encriptado, usado solo para validar las identidades, actualizar accesos, asignar roles y permisos de acceso, mientras se registra la actividad en la red. El monitoreo de la actividad de red debe ser permanente, priorizando según el nivel de criticidad de los activos de la compañía a los que se accede», concluye.
Cómo mejorar el acceso a los sistemas empresariales
Alex Cabrera, gerente general de Prevsis, recomienda tener en cuenta los siguientes aspectos:
- Implementar políticas y normas sólidas de seguridad de la información, incluyendo el RGPD (Reglamento General de Protección de Datos) de la UE, o estándares tales como los de la norma 27001, para el proceso que se desee abordar.
- Se deben generalizar convenios de confidencialidad específicos para empleados y contratistas de las empresas, al igual que capacitaciones en la normativa y legislación, informando y mejorando continuamente los procedimientos para la aprobación de solicitudes de acceso, modificación y destrucción de información.
- Se debe buscar robustecer y segmentar la seguridad del equipamiento conectado a las redes de las empresas, apoyado por un fortalecimiento contractual del uso de los equipos corporativos.
- Se puede utilizar de manera continua el hackeo ético para encontrar vulnerabilidades en redes, equipos, aplicaciones y servidores antes que otros las encuentren, en conjunto con mejorar el proceso de selección en la contratación y la escritura de los contratos de trabajo.