Informe de la Oficina del CTO
Modernización de las TI: cambiar la seguridad por la gestión de riesgos
Adoptar un enfoque de seguridad basado en el riesgo requiere un cambio significativo en nuestra forma de pensar sobre la seguridad y los activos digitales. Pero este cambio es necesario dada la rápida evolución de las amenazas digitales y la incapacidad de los modelos de seguridad existentes para mitigarlas, y mucho menos para seguirles el ritmo.
De paquetes, a cargas útiles y a procesos
Los marcos tradicionales de arquitectura empresarial se crearon sin tener en cuenta la seguridad. Es absolutamente cierto que la seguridad, en general, es una idea tardía, habiéndose desarrollado en gran medida en un modelo reactivo. Es decir, los malos actores crearon ataques para los que los vendedores y los líderes tecnológicos construyeron mitigaciones. Esto se debe a la naturaleza de la transformación digital. En sus primeras etapas, el objetivo era permitir la productividad y la eficiencia a través de las aplicaciones. Estas aplicaciones eran en gran medida fijas y estáticas, y residían en un centro de datos aislado. Había poco riesgo de ataque desde el exterior porque no había puntos de entrada en el centro de datos hasta que llegó la era de Internet.
En sus inicios, la seguridad se centraba en proteger las aplicaciones expuestas en Internet en las capas más bajas de la pila tecnológica: la red. Demasiados paquetes por segundo indicaban algún tipo de ataque de denegación de servicio. ¿La respuesta de seguridad? Cortafuegos capaces de bloquear el origen del ataque. Los puertos y protocolos se convirtieron en la base de las políticas de seguridad, con umbrales basados en el volumen y la velocidad de los paquetes que intentaban utilizar alguna aplicación. El objetivo de la seguridad en esta etapa era evitar las interrupciones cortando un ataque mediante reglas simples y estáticas.
Los ataques evolucionaron rápidamente frente a una fuerte defensa. A medida que las aplicaciones se volvían más ricas y capaces, los atacantes descubrían rápidamente vulnerabilidades en las pilas de software. La industria comenzó a ver ataques incrustados en la carga útil de los mensajes intercambiados entre los usuarios y las aplicaciones, cada uno de los cuales buscaba explotar alguna vulnerabilidad conocida que causara una interrupción, ofreciera acceso no autorizado o exfiltrara datos. La industria de la seguridad volvió a responder a estas nuevas formas de ataque creando soluciones capaces de detectar y neutralizar los ataques incrustados. El objetivo de la seguridad en esta etapa era detectar y neutralizar los ataques incrustados en las transacciones.
A medida que la economía digital se expande, llegando cada vez más lejos en todos los aspectos de nuestras vidas, las oportunidades para los atacantes también se amplían. El valor de los datos y el acceso a las cuentas de los consumidores y las empresas crece exponencialmente. Tenga en cuenta que se calcula que miles de cuentas de videojuegos de la talla de Steam, EA Sports y Epic «son robadas cada mes, con bases de datos de cuentas a granel intercambiadas en canales privados de Telegram por sumas de entre 10 000 y 40 000dólares» (BitDefender). Hoy en día, los robos de cuentas son cada vez más numerosos en todas las industrias, desde la industria de los videojuegos hasta las finanzas, pasando por la sanidad y los servicios gubernamentales. Durante 2021, el fraude le costó al gobierno estadounidense unos 87 000 millones de dólares en beneficios federales (CNBC). La pérdida se atribuye principalmente al programa de desempleo por la pandemia, que fue operado en gran medida a través de servicios digitales.
El desarrollo de bots especializados diseñados para ayudar a los consumidores a adquirir uno de los productos de lanzamiento limitado es cada vez mayor. Estos bots aprovechan la tecnología y la velocidad para garantizar que los consumidores puedan comprar un producto en línea en menos tiempo del que un ser humano puede seleccionar la talla y el color adecuados. Presentados como una tecnología de ayuda a los consumidores, los actores malintencionados usaron estos bots casi inmediatamente para agotar rápidamente los recursos con el fin de revenderlos a un precio mayor. Los bots de zapatillas, los grinch bots y otros especializados se dirigen cada vez más a productos y proveedores específicos de gran demanda.
«Gracias a sitios de reventa como StockX y GOAT, las zapatillas de colección se han convertido en una clase de activos, donde el precio se corresponde con la rapidez con la que se vende un artículo. Los sofisticados bots de zapatillas, que pueden costar miles de dólares, son clave para crear una escasez artificial que hace que una zapatilla sea valiosa y, a su vez, que una marca parezca cool». (New York Times)
El sector de la seguridad debe responder ahora a los ataques dirigidos a los procesos empresariales, como el inicio de sesión en un servicio o la compra de productos, además de los ataques existentes dirigidos a los servicios y aplicaciones de red. Los métodos tradicionales de inspección y evaluación son incapaces de detectar los ataques contra procesos empresariales legítimos. No se trata de vulnerabilidades, ni son objeto de explotaciones de protocolo. Se trata de procesos expuestos como una capacidad digital que es vulnerable a la explotación por parte de quienes tienen los medios para obtener —o el dinero para comprar— el conjunto adecuado de credenciales.
Las herramientas que protegen los procesos también deben ser capaces de diferenciar entre el software y los consumidores humanos. Esta tarea se ve dificultada por la realidad de que el software (como los bots) es utilizado tanto por consumidores que buscan eficiencia como por atacantes que buscan ventaja. La seguridad debe evolucionar de nuevo, y esta vez debe orientarse hacia la gestión de riesgos.
Adoptar un enfoque de gestión de riesgos no significa abandonar las iteraciones anteriores de la seguridad. De hecho, los ataques en cada capa de la pila tecnológica son constantes y deben ser abordados. Un enfoque de gestión de riesgos no excluye el uso de tecnologías para prevenir los ataques volumétricos o los que se producen por medio de contenidos maliciosos. Un enfoque de gestión de riesgos no se centra tanto en los detalles de la implementación, como en la forma de identificar las amenazas y determinar el riesgo.
Al abordar la seguridad con una mentalidad basada en el riesgo, las organizaciones pueden alejarse de las respuestas frenéticas a los ataques. En su lugar, pueden tomar deliberadamente decisiones de seguridad que se alineen con los resultados empresariales y tengan en cuenta la tolerancia al riesgo de la empresa.
Modernizar la seguridad: el cambio hacia la gestión de riesgos
Las empresas digitales de hoy en día se conectan con sus clientes y socios ofreciendo experiencias digitales a través de aplicaciones modernas. Por lo tanto, la protección de las aplicaciones es primordial para la tarea de modernizar la seguridad. Estas aplicaciones —y, en el siguiente nivel de detalle, las cargas de trabajo y los servicios que son sus bloques de construcción— aportan valor al crear, enriquecer y/o proporcionar acceso a los activos digitales de la empresa de una manera u otra. Por lo tanto, son el foco central de una mentalidad de seguridad moderna. La ciberseguridad, como se denomina comúnmente hoy en día, se centra en gran medida en la protección de las aplicaciones y las API que exponen esas aplicaciones para conectar a los usuarios de todo tipo a los activos digitales que alimentan un negocio digital.
Los líderes tecnológicos conocen bien las herramientas y técnicas necesarias para aplicar la seguridad reactiva y proactiva. La pregunta es: «¿Cómo cambiar su organización hacia un enfoque basado en la evaluación del riesgo que se apoya en gran medida en la identidad y los activos?».
Hay dos tecnologías fundamentales para este cambio: la autenticación y el control de acceso. La autenticación proporciona políticas con el componente de identidad, mientras que el control de acceso proporciona la gobernanza de los activos digitales.
La autenticación es esencialmente el proceso de determinar y verificar la identidad de un consumidor de aplicaciones. En el pasado, estos eran principalmente humanos que buscaban acceso a aplicaciones monolíticas que estaban alojadas en un centro de datos privado. En consecuencia, todos los sistemas y servicios de autenticación podían residir en ese mismo centro de datos. Hoy en día, las aplicaciones modernas utilizan una arquitectura distribuida y API expuestas, por lo que la autenticación debe evolucionar. Ahora, la autenticación no solo debe reconocer a los consumidores humanos, sino también a los proxies humanos, como los agentes automatizados. Además, dado que las aplicaciones distribuidas se componen de servicios procedentes de múltiples nubes, la autenticación debe existir en un mundo de almacenes de identidades federados e interempresariales. En resumen, aunque la autenticación sigue siendo un elemento central de la defensa básica, la naturaleza ampliada de los servicios digitales actuales requiere una visión evolucionada de la identidad y de cómo se valida.
El control de acceso ha sido, y sigue siendo, el proceso de determinar quién —o qué— puede acceder a un recurso empresarial. Pero, al igual que con la autenticación, la funcionalidad requerida del control de acceso también ha evolucionado junto con las aplicaciones empresariales. Las primeras encarnaciones del control de acceso se encontraban en la capa de red. Los posibles consumidores de aplicaciones estaban «dentro» o «fuera» de un perímetro definido por las direcciones IP de la red. Pero hoy en día, con consumidores móviles que acceden a aplicaciones distribuidas a través de múltiples puntos de entrega, no existe un perímetro estático y claro que defina la noción de dentro o fuera. Por lo tanto, el control de acceso debe ser formulado en términos de identidad del usuario, validada por la autenticación. Los consumidores de aplicaciones modernas ya no pueden separarse en función de la ubicación de la red, sino que se clasifican en función de su identidad.
Estas tecnologías, cuando se combinan con un inventario completo de todos los activos digitales clave, pueden utilizarse para ejecutar las decisiones tomadas con respecto al riesgo de permitir el acceso a un activo determinado. Esas decisiones se basan en la comprensión de cómo están expuestos esos activos junto con a quién deben o no deben estar expuestos.
Por lo tanto, el primer paso para modernizar la seguridad es crear o mejorar el inventario de activos centrándose en los medios por los que se accede a esos activos y por qué. Además, los responsables de la tecnología deben tener en cuenta que las aplicaciones son el principal medio para acceder a todos los datos y, por lo tanto, el inventario también debe ser capaz de asignar los activos a las aplicaciones que interactúan con ellos.
A continuación, los responsables de la tecnología deberán colaborar con los responsables de la empresa para establecer perfiles de riesgo/recompensa para los activos clave. Los perfiles de riesgo/recompensa resultantes deben alinear las acciones de seguridad con los resultados empresariales. Por ejemplo, la investigación de AiteNovarica nos dice que «los comerciantes pierden 75 veces más ingresos por falsos rechazos que por fraude», lo que hace que el riesgo de lo que se conoce como falso rechazo supere potencialmente el riesgo de permitir una transacción.
Por tanto, las interacciones relacionadas con esa transacción deben permitirse o denegarse en función de la tolerancia al riesgo de la organización. Los factores que pueden influir en la decisión son el valor de la transacción y la certeza asociada a la legitimidad del usuario. ¿Está el sistema seguro al 50 % de que el usuario es legítimo? ¿Más seguro? ¿Menos? Cada organización determinará su tolerancia al riesgo y, basándose en ella, ajustará sus perfiles para aplicar la seguridad dentro de esos límites. Un perfil de riesgo/recompensa guía a los humanos y a los sistemas a determinar cómo abordar el riesgo potencial. Las organizaciones más reacias al riesgo tenderán a ponderarlo más y a aplicar controles para evitarlo. Por el contrario, las organizaciones con una mayor tolerancia al riesgo valorarán la recompensa como un factor más importante a la hora de determinar cómo aplicar los controles de seguridad.
Aquí, el nivel de detalle —el de la evaluación a nivel transaccional— implica la capacidad de evaluar continuamente las interacciones digitales y adaptar las decisiones de seguridad basándose en el contexto en tiempo real, tal y como se evalúa con respecto a las políticas. Este enfoque es una capacidad clave de los enfoques de confianza cero, al igual que las tecnologías clave utilizadas para aplicar las decisiones: la autenticación (quién) y el control de acceso (qué), como se describe en este documento, «Seguridad de confianza cero: por qué es importante la confianza cero (y no solo para el acceso)».
La capacidad de evaluar continuamente las interacciones digitales depende de una estrategia de datos y observabilidad a nivel de empresa, es decir, que la organización tenga una estrategia y esté avanzando hacia la habilitación de la observabilidad de la pila completa, además de un medio para conectar y correlacionar las interacciones a través de almacenes dispares si no está centralizando los datos en un único almacén.
Así, el cambio hacia la gestión de riesgos gira en torno a la adopción de tres tecnologías específicas: identidad, observabilidad y control de acceso, con un enfoque global de confianza cero que rige la ejecución.
La modernización de las TI debe incluir la seguridad
Una capacidad clave de una empresa digital es la seguridad: la seguridad de sus activos digitales, sus datos y la información financiera y personal de sus clientes.
En una empresa digital, casi todas las interacciones se llevan a cabo de forma digital y, por tanto, la seguridad debe convertirse en un ciudadano de primera clase y, en el caso de TI, de la arquitectura empresarial de la empresa. Para la mayoría, esto significará evaluar las prácticas, herramientas y políticas de seguridad —muchas de ellas puestas en marcha de forma ad hoc para combatir los crecientes ataques y las amenazas emergentes— con la vista puesta en si siguen siendo relevantes en un entorno principalmente digital. Será necesario un enfoque más deliberado y exhaustivo para asegurar plenamente todos los activos e interacciones digitales necesarios para que la organización prospere en una economía digital.
Muchas de las facetas del funcionamiento de una empresa digital no se tuvieron en cuenta cuando las organizaciones sentaron sus bases tecnológicas en forma de arquitectura empresarial. La seguridad es una de esas facetas insuficientemente consideradas.
A medida que nos precipitamos hacia un mundo digital por defecto, es necesario que las organizaciones modernicen las TI para apoyar y permitir el ritmo de cambio y la toma de decisiones basada en datos necesaria para prosperar en el futuro. Un paso importante es la modernización de la arquitectura empresarial. Esto debe incluir un enfoque de seguridad más generalizado, completo y, en última instancia, adaptable: un enfoque de gestión de riesgos.
Para obtener más información sobre la modernización de la arquitectura —especialmente de la seguridad— para servir a un negocio digital, consulte nuestro nuevo libro de O'Reilly, «Arquitectura empresarial para el negocio digital».