La agenda pospandemia en ciberseguridad: qué es la ‘confianza cero’

Entrevista con Gonzalo García, vicepresidente de Fortinet para Sudamérica. Las recomendaciones para las nuevas estrategias de las empresas. Cuáles son las amenazas.

La incertidumbre global en cuanto a la pandemia del COVID-19 aún persiste, pero las empresas han comenzado a acomodarse al nuevo escenario y, por lo tanto, a repensar sus estrategias de mediano y largo plazo. Un dato de la realidad es que la crisis ha acelerado enormemente la transformación digital y ese proceso está  creando la necesidad de nuevas inversiones en infraestructura tecnológica y medidas de seguridad de la información  y prevención de ciberataques.

¿Cuáles son las recomendaciones a la hora de trazar nuevos planes de inversión o expansión en tecnología para sostener el negocio en la nueva coyuntura?¿Cuáles son las nuevas amenazas que pueden interrumpir la continuidad de las operaciones o dañar gravemente la reputación de una empresa? Gonzalo García, vicepresidente para Sudamérica de Fortinet, la compañía especializada en soluciones para la ciberseguridad -con sede Estados Unidos y con presencia en la Argentina-, habla de “una agenda pospandemia y aconseja la adopción de una nueva metodología de trabajo.

Gonzalo García, VP de Fortinet para Sudamérica.

Es decir, se abre un nuevo ciclo. “Cambió la mentalidad del mercado, del cliente. En la primera mitad de la pandemia, cómo reaccionar y prepararse para el confinamiento era lo que estaba en la cabeza de toda decisión. La continuidad del negocio ante todo. En este momento, la agenda empieza a planear ‘el día después de mañana’. Una agenda de pospandemia, sabiendo que más allá de la cuestión sanitaria, hay hábitos y nuevas formas de conectarse con el cliente y con los trabajadores que van a permanecer. Se empiezan ya a revisar infraestructuras y estrategias y vemos también proyectos que estaban stand-by vuelven a tomar tracción , describe García en una entrevista.

-Y pensando en este nuevo contexto, ¿cuáles son las inversiones necesarias? ¿Cuáles son los consejos que darías a las empresas a la hora de repensar la infraestructura y la seguridad?

-Hay distintas metodologías, pero hoy se está desarrollando el enfoque de “Confianza Cero (Cero Trust).

-¿De qué se trata?

-En realidad no es una tecnología, sino más bien una metodología. Tiene que ver con cambiar un poco el paradigma de cómo pensar las defensas. Antiguamente, uno pensaba en un perímetro y separar allí lo bueno y lo malo. Entonces uno decía: esto es lo “riesgoso , esto es lo “confiable , lo “peligroso , lo “seguro . Y básicamente se buscaba hacer segregación y poner controles para que esa transferencia de información desde lo que se consideraba externo o interno, peligrosos o seguro, estuviera muy auditada. En muchos lugares es lo que impera aún como estrategia de ciberseguridad. En cambio, la estrategia de Confianza Cero consiste en saber que no existe algo totalmente seguro, por lo cual pensar en zonas seguras no sirve. Y en entender la totalidad de la superficie de ataque. Esto significa la totalidad de dispositivos, aplicaciones, actores que van a estar interactuando con esta tecnología y proveer defensas desde ese lado. Un dispositivo que hoy es seguro mañana puede estar comprometido, entonces no se relajan los controles en ningún momento. El nivel de confianza puede mutar a lo largo del tiempo. Se busca que los mecanismos de control permitan segmentar, contener en el caso de un incidente y detectar de forma rápida.

-Y este sería entonces el primer paso de una estrategia...

-Claro. Es reforzar esa estrategia por sobre todas las cosas. Y tiene que ver con un cambio que va  a ser permanente después de la pandemia. El concepto de “ésta es la red que controlo, el perímetro , si bien venías hablando de que ya no existe, muchos han tomado ahora conciencia. Esto es beneficioso y permite trabajar desde formas distintas para mantenerse seguro.

-¿A nivel de infraestructura, cómo se acompaña esta metodología?

-Me gusta arrancar desde la parte de infraestructura y comunicaciones. Es súper importante que el transporte de la información pueda garantizar niveles de control y niveles de detección y reacción.  También me gusta hablar desde los dispositivos, porque por más que tenga una red óptima de transporte con seguridad, si el dispositivo en algún momento es vulnerado y ocurre además en una red, en un ambiente que uno no controla, cuando me entero puede ser demasiado tarde. Hay que pensar en la red, en la seguridad del dispositivo y trabajar muchísimo en lo que es segmentación de la infraestructura y aplicación. Por otro lado, también trabajar en una realidad donde hoy mínimamente vas a convivir entre tecnología e infraestructura legacy e infraestructura multicloud. Entonces tu visión de seguridad tiene que cubrir la totalidad de la superficie de ataque, no puede ser parcial. Por ejemplo, tener una estrategia para cuando es mi data center o mis aplicaciones, y otra para tal proveedor de nube, u otra distinta para otra cosa, eso realmente no escala. Cero Trust necesita de una estrategia para la totalidad de la cobertura de ataque, pero tiene que ser coherente y homogénea, porque de lo contrario va a costar muchísimo desplegarla, mantenerla y administrarla.

Las nuevas modalidades delictivas

-En la primera parte de la cuarentena, un informe provisto por Fortinet dio cuenta de la creciente modalidad de ataques de tipo phishing, tanto en la región como en Argentina. ¿Ese fenómeno se sigue registrando? ¿Cambió algo en los últimos meses?

-En general, el ransomware es la principal problemática. Y tiene que ver con la búsqueda de lucrar con lo que se está haciendo. Uno empieza a ver mayor sofisticación y personalización de los ataques. Los malvivientes y las organizaciones criminales mutaron: primero buscaron al individuo, al consumidor, secuestrándole la información. Vieron que no era un negocio redituable y encontraron en las empresas un nicho mucho más redituable, por pagos de rescates que se hacen a fin de sortear un problema. Las técnicas más comunes están relacionadas a explotar el factor humano, el engaño para poder inducir a una acción que termina comprometiendo la seguridad de la compañía. En algunos casos incluso mediante sobornos y extorsiones, es decir no por errores involuntarios. Y la estrategia de Cero Trust tiene que ver también con eso. Otra fuente es la explotación de vulnerabilidades conocidas de una organización, para lo cual se requiere un trabajo muy importante de inteligencia para encontrar esas brechas. Hablamos no solo de fallos de códigos, sino también de errores en las configuraciones que los ciberdelincuentes buscan y saben explotar.

-¿Qué recomendaciones están haciendo sobre el acceso a redes corporativas?

-Primero, garantizar que los dispositivos a los que voy a habilitar acceso estén actualizados, tengan tecnología de prevención de malware. La mayoría de los sistemas de antivirus se basan en la pre-ejecución. Esto quiere decir que ante un determinado software que un dispositivo quiere ejecutar se lo compara contra una lista de software comunmente conocidos como maliciosos. Esto está probado que es ineficiente. Hubo una evolución hacia una ejecución en algún entorno fuera de la computadora, veo cómo se comporta y en base a eso tomo una decisión. Esto mejoró un poco la seguridad, sin embargo tampoco es suficiente porque el malware empezó a tener la capacidad de saber que está siendo ejecutado en un ambiente cerrado (sandbox) y entonces se comporta bien para después hacer otra cosa. Las tecnologías que vienen ahora, y que nosotros recomendamos implementar, tienen que ver con lo que es pos-ejecución. Se trata de las tecnologías EDR (Endpoint Detection and Response): dejar ejecutar pero monitorear en tiempo real el comportamiento para saber si es hostil o no. Si veo que es potencialmente dañino lo freno, pero el seguimiento va paso a paso. Esto mejora sensiblemente la capacidad de prevención tanto contra ransomware como de ataques dirigidos.

Aparte hay que chequear si el acceso es remoto o de un lugar que yo controlo. En este último caso, desplegar tecnologías inalámbricas de conexión, de wifi seguro, para eventualmente poder bloquear y aislar rápidamente. Si es un ambiente no controlado por la organización, más allá del cifrado, que tiene que estar, recomendamos también controles de seguridad. Y otro factor importante es la autenticación:  cómo saber si el que se está conectando es realmente quien dice ser. Muchos problemas tienen que ver con el robo de credenciales.  El sistema de contraseñas no es hoy un nivel de seguridad que nos deje tranquilos.

-¿Qué otras tendencias se pueden destacar finalmente?

-Hay una nueva tecnología que se puede llamar de “engaño , y que simula la infraestructura o ambiente de la organización para que los ataques se desvíen hacia allí. Es una tecnología disponible para ser evaluada a nivel corporativo. Tenemos también que empezar a incorporar como estrategia de nueva generación el uso de la inteligencia artificial para analizar la información que se genera, para poder operar y automatizar las respuestas. Si hay una diferencia entre una brecha de seguridad y un incidente grave es cómo reaccioné y la rapidez con que lo hice. Hoy realmente no es el momento para aprender a reaccionar mientras se produce el incidente. Entonces, la infraestructura que se plantee debe permitir definir las distintas estrategias ante los distintos problemas. Incluso, se trata de estrategias típicas del área de Defensa.

Temas relacionados
Más noticias de Fortinet
Noticias de tu interés

Compartí tus comentarios

¿Querés dejar tu opinión? Registrate para comentar este artículo.