La procrastinación, la piedra en el zapato de la ciberseguridad
La creación de entornos seguros para sus aplicaciones debería estar en el top 3 de las principales preocupaciones de las empresas, sin embargo, no siempre es así. ¿Por qué se da este fenómeno y cuáles son las consecuencias de “dejar para mañana lo que hay que hacer hoy”?
La seguridad corporativa empezó a ser protagonista de los grandes titulares de los medios “por las malas”, como el ataque de ransomware al gigante de la limpieza Clorox en agosto de este año, que generó la interrupción de parte de sus operaciones comerciales y afectó a toda su producción, además de dañar su infraestructura. El peor saldo son las pérdidas económicas, que se calculan en 356 millones de dólares.
También IFX Networks, proveedora de telecomunicaciones con servicios en la nube con alcance en toda Latinoamérica, sufrió un ransomware. Para peor, en su infraestructura estaban alojadas importantes empresas y organismos de Gobierno. Sólo en Colombia, 65 entidades oficiales tuvieron sus sitios caídos; como consecuencia, más de 50 millones de datos del Ministerio de Salud de ese país, estarían en las manos de ciberdelincuentes, por lo que el Gobierno inició una demanda contra la empresa.
Este tipo de ataques a empresas de todo el mundo, o bien a organismos de Gobierno, dejan en evidencia cómo la generación de entornos seguros en muchos casos no está entre las prioridades de las organizaciones. La procrastinación de la que tanto se habla hoy, — la posposición deliberada de temas importantes pendientes, que requieren atención inmediata-, es uno de los “enemigos” de la seguridad corporativa. Al mismo tiempo, los ataques no paran de crecer. Según Microsoft los ciberdelitos en entornos empresariales crecieron un 38% entre 2022 y 2023.
“Los ataques suceden porque los entornos no son seguros. Entonces, si hay un ataque es porque hubo una vulnerabilidad. Y la responsabilidad es 100% de la empresa”, afirma Juan Ozino Caligaris, cofundador y Country Manager de Nubity. “De la misma manera que en la década pasada las empresas se enfocaron en la calidad con certificaciones como ISO 9000 e ISO 9001, hoy el contexto los impulsa a aplicar políticas de seguridad acordes a sus operaciones y la información que manejan. Las prácticas y procesos empresariales deben normalizarse para realmente tener una organización segura. Por eso en este caso, es una procrastinación organizacional, que va más allá de las personas, sino que es la misma empresa la que no se embarca en la misión de fortalecer la seguridad de sus entornos y que de esta manera no previene que los ataques, que son permanentes y crecientes, no lleguen a alcanzarla, con las pérdidas económicas que genera”.
Para evitar que sus sistemas sean vulnerados, las organizaciones generalmente cumplen como mínimo con algunas de estas prácticas:
Autenticación
Si bien hoy en día todos tenemos incorporado la importancia de una clave de autenticación lo suficientemente robusta, nos cuesta, sobre todo laboralmente, la incorporación de herramientas con doble factor. Está comprobado que los usuarios no solemos tener las mejores prácticas con respecto a la creación y la utilización de claves distintas en distintos ambientes, esto es algo en lo que las claves dinámicas nos ayudan enormemente.
Y acá llegamos a un factor que es fundamental para robustecer la seguridad de los sistemas. En el desarrollo de aplicaciones, el acceso a información que se encuentra en otros sistemas o tienen acceso restringido, impulsó el uso servicios y microservicios, lo que requiere una enorme cantidad de autenticaciones independientes. Aquí la utilización de herramientas que permitan una gestión, simple y segura de la misma es fundamental. Desgraciadamente hemos observado como numerosos sitios han sido vulnerados por la falta de rotación o robustez de los mecanismos de autenticación.
Aplicaciones web y herramientas de terceros
La mayoría de los sitios web utilizan herramientas de terceros (generalmente open source) para proveer sus funcionalidades. Actualmente son más las “aplicaciones web” que los originales “sitios estáticos”. Son estas aplicaciones y la dependencia de terceros (además del código propio de quien construye el sitio) las que normalmente se ven afectadas por vulnerabilidades de seguridad conocidas (CVEs). Es imprescindible revisar de modo procedural y responsable la construcción de la aplicación desde el primer momento, para evitar problemas mayores.
Estrategias zero trust
Los profesionales de tecnología se han basado en estrategias de seguridad perimetral para proteger activos valiosos, ya sean los datos de usuario, propiedad intelectual o sistemas críticos. Hoy, proteger el perímetro de la red ya no es suficiente y deben aplicarse prácticas de confianza cero y siempre verificar cada transacción individual para adaptar la seguridad en torno a cada usuario, dispositivo y conexión.
¿Por qué las empresas siguen con estos ‘malos hábitos’? “Por un lado, deben modificarse muchos de los procesos operativos, forzando las implementaciones, o bien llevar adelante cambios operativos significativos (conciliaciones por ejemplo) o directamente alterando la usabilidad de algunas herramientas”, continúa José María López, Dev Manager de Nubity.
“Es cierto que la incorporación de seguridad en las prácticas y en los entornos lleva tiempo, pero lo que puede pasar si no se las incorpora tiene un potencial catastrófico. Los proveedores de la nube, como Amazon Web Services brindan todas las herramientas para que los entornos sean seguros. De cualquier modo, aunque brindan la facilidad para mitigar este tipo de problemas, inclusive con este apoyo es imprescindible la adhesión consciente de la empresa a procesos bien definidos, acompañados de revisión permanente por parte de los equipos responsables de mantener las aplicaciones seguras, agrega Javier Spagnoletti, Enterprise Solution Architect de la empresa.
