Vitalii Gulenok/istock via Getty
Crear programas de seguridad eficaces requiere estrategia, paciencia y una visión clara
Ejecutivos de Capital One comparten ideas sobre cómo las organizaciones deben diseñar sus programas de seguridad, implementar tecnologías sin contraseña y reducir su superficie de ataque.
Los CISO enfrentan una creciente variedad de amenazas, incluyendo ransomware, compromiso del correo electrónico empresarial, ataques basados en identidad, ataques de phishing y filtraciones de datos. Se requiere paciencia y adaptabilidad para construir, implementar y mantener un programa de seguridad eficaz que aborde la totalidad de estos riesgos.
Existen muchas tecnologías y medidas de seguridad disponibles para abordar los diversos problemas que enfrentan las organizaciones, pero requieren tiempo y recursos para implementarse adecuadamente. Una forma de lograrlo es tratar el programa de seguridad de la organización como un producto, señaló Mike Benjamin, CTO de ciberseguridad de Capital One, en la Conferencia RSAC de este año en San Francisco.
Al igual que los productos, los programas de seguridad tienen clientes, satisfacen una necesidad, ofrecen algo de valor y pueden ser adquiridos, afirmó. Algunos podrían argumentar que los programas de seguridad no son como productos, sino más bien como centros de costo porque son requeridos o tienen entregables poco claros.
"Las personas que votaron que no, que un programa de seguridad no es un producto, en todo lo que vemos hay cosas que todos argumentaríamos que son un programa de seguridad que necesita ayuda", afirmó Benjamin. "La empresa solo lo hace porque es obligatorio. ¿Alguien quiere que su programa sea percibido de esa manera? Todos aspiramos a que sea algo que la empresa valore, que sea un componente central de su funcionamiento, no algo que simplemente deba cumplirse por obligación".
Los programas sólidos equilibran la tecnología con el trabajo interno y la gestión general del riesgo. Lograr un equilibrio eficaz puede resultar complicado, especialmente en lo que respecta a los programas de seguridad de aplicaciones. Los equipos de seguridad deben asegurarse de que no existan vulnerabilidades, sin que ello ralentice las operaciones empresariales.
Los programas de seguridad sólidos son "audaces" y están liderados por gerentes que tienen un profundo conocimiento de lo que necesita la organización, con las habilidades para comunicarlo a través de los niveles adecuados. Más importante aún, los gerentes deben saber cuándo algo no funciona.
"Ellos deben ser capaces de decir que no y deben, dentro de una estrategia, evitar decir: 'Necesito hacer feliz a esa persona'. Debe mantenerse el enfoque, de lo contrario, el programa no podrá ofrecer resultados", indicó Benjamin.
La integración entre herramientas y protocolos también puede ser complicada. Pero lo que es aún más difícil es saber cuándo rechazar un nuevo producto atractivo que puede resultar repetitivo o innecesario.
Consejos para la transición a un entorno sin contraseñas
La gestión de identidades y el acceso, así como la autenticación, siguen siendo componentes críticos de la defensa empresarial, y muchas organizaciones están explorando tecnologías sin contraseñas para abordar algunos de estos desafíos.
Las opciones sin contraseñas utilizan, por ejemplo, datos biométricos para desbloquear claves de acceso o llaves físicas de seguridad donde los usuarios pueden ingresar un PIN. Sin embargo, aún existen barreras persistentes para su adopción debido a la alta fricción para el usuario. Aunque puede reducir drásticamente los riesgos de autenticación, especialmente contra el phishing, la compatibilidad entre plataformas sigue siendo complicada.
El impulso hacia un entorno sin contraseñas ganó popularidad porque a los usuarios no les agradan las contraseñas; es una lucha que lleva décadas, señaló Andy Ozment, director de riesgos tecnológicos de Capital One, en la RSAC. Aunque a Capital One le tomó años implementarlo entre sus empleados, Ozment afirmó que la adopción de este enfoque es clave para fortalecer los programas de seguridad.
En el caso de Capital One, eliminar las contraseñas implicó emitir un certificado X.509 combinado con una clave de acceso FIDO2 a sus empleados. Entre los desafíos de implementación se incluyó actualizar contratos con consultores y terceros para garantizar que su hardware admitiera la autenticación sin contraseñas, y trabajar alrededor de las políticas de Apple.
"Lo que nos causó muchísimos problemas fue lo referente a iOS. Apple exige que las claves privadas se sincronicen con el llavero en la nube", explicó Ozment. "Apple no se enfoca en clientes empresariales. Es un problema complejo que no podemos resolver".
"[Eliminar contraseñas] no fue una buena experiencia para el usuario al principio", añadió. "No fue tan fluido para los usuarios como esperábamos".
Por ejemplo, el término "sin contraseñas" resultó engañoso, ya que los usuarios aún debían ingresar un PIN u otra forma de autenticación para iniciar sesión. También se consideró difícil el hecho de tener que registrarse en varios requisitos físicos.
"Pasen directamente a FIDO2. Lo recomendaría", afirmó Ozment. "También es importante contar con un equipo centralizado de gestión de identidades y accesos que esté empoderado y sea competente. Subestimamos la cantidad de trabajo en gestión del cambio que requeriría, pero es posible. Perseveren y enfóquense en cómo educar a sus usuarios. Involúcrenlos en el proceso".
Prepárese para que un atacante obtenga acceso
Reducir la superficie de ataque es otro paso clave para fortalecer un programa de seguridad. Una forma de lograrlo es almacenar todos los recursos en un único entorno en la nube. Amazon Web Services (AWS), que sirve como base para los recursos de AWS, es una de las opciones; sin embargo, contar con cuentas más pequeñas puede "reducir el radio de explosión", afirmó Ozment.
En caso de que, y probablemente cuando, ocurra una vulneración, estas cuentas pequeñas pueden ayudar a limitar el acceso del atacante al entorno empresarial más amplio. "Las cuentas grandes generan riesgos. Los adversarios aprovecharán los roles de IAM con permisos excesivos en su entorno", indicó. "La gobernanza también resulta complicada con una cuenta grande de AWS".
Aunque AWS promueve desde el principio el uso de cuentas pequeñas, implementarlo a gran escala puede ser difícil, por lo que Ozment recomendó que las organizaciones comiencen con poco. Adoptar un enfoque basado en el riesgo durante la migración puede resultar útil, y también representa una buena oportunidad para depurar datos.
"A continuación, deben automatizar, automatizar y automatizar", afirmó. "Apunten a tener todo automatizado. Utilicen AWS Control Tower, realicen un seguimiento y exíjanse responsabilidad. Comiencen con los elementos de mayor riesgo y vayan descendiendo", concluyó.
