Para poner la situación en perspectiva, en la primera mitad de 2017, más de 1900 millones de registros quedaron expuestos en filtraciones de datos. Puesto que en la segunda mitad del año se han producido muchas filtraciones importantes, es muy posible que llamemos a 2017 el nuevo «Año de la filtración».

Así que, ¿cuál es el problema?

La manera en que solíamos proteger nuestras empresas ya no basta. El perímetro de seguridad de la red se ha desvanecido. Los empleados ya no tienen que trabajar en el edificio corporativo y poner simplemente un perímetro de seguridad en torno a esa red no puede proteger a los que trabajan fuera de ella. Además, los piratas informáticos están cada vez más especializados en métodos alternativos con los que acceder a los datos.

Por ejemplo, la seguridad es la máxima prioridad para los directores de Informática y el 88 % de ellos tiene previsto aumentar su gasto durante el próximo año. Pero la seguridad de la red ocupa el quinto puesto en la lista de prioridades. El control de la identidad, mientras tanto, sigue aumentando en prioridad y en presupuesto.3 Está claro que los líderes de seguridad están reconociendo el cambio de paradigma en el modo en que las organizaciones son víctimas de ataques y se están adaptando a él.

"El 55 % de los directores de Informática tiene previsto aumentar el gasto en soluciones de identidad este próximo año".

En pocas palabras, los piratas informáticos tienen un nuevo método preferido de entrada: nosotros. Las personas son mucho más fáciles de quebrar que un hash de 512 bits. En una gran organización, el número de puntos de entrada para un pirata informático es tan abundante como el número de usuarios que tienen acceso a sus sistemas.

Muchas vías de acceso

Parte del problema al que se enfrentan los líderes de seguridad en la actualidad es no solo que cada usuario de la infraestructura es un punto de acceso, sino que además existen muchas maneras para manipular a ese usuario.

Ingeniería social

Desde Twitter y Facebook a LinkedIn y Whatsapp, una buena parte de la población está activa en las redes sociales. Estas redes han traído consigo una nueva era en la comunicación y en la facilidad con la que podemos hablar unos con otros. Pero también se ha abierto la oportunidad de que cada uno de nosotros comunique demasiado. Ya sea porque nos engañe un actor malintencionado que pregunta de manera despreocupada «¿Cómo va ese último negocio?» o ya sea porque se nos haga picar el anzuelo para que hagamos clic en un enlace de malware tras leer «Guau, estas fotos tuyas son horribles», en la actualidad es muy fácil difundir información de forma no intencionada. En ocasiones, hechos sencillos, como la exposición de las relaciones a través de las redes sociales, son suficientes para que los piratas informáticos se aprovechen de uno.

Phishing

El correo electrónico sigue siendo la forma de comunicación empresarial para casi todos nosotros, pero estamos tan inundados de mensajes que puede ser muy complicado detectar los correos falsos en el barullo del día a día. Mientras que las faltas de ortografía y los logotipos imperfectos pueden revelar a algunos de los piratas informáticos menos aventajados de una forma más bien rápida, otros intentos de phishing son lo bastante buenos como para justificar un clic. Y solo hace falta un clic para que alguien abra la puerta a un tercero con malas intenciones.

Descuidos de los empleados

Hemos visto titulares acerca de portátiles dejados donde no se debería o acerca de la nota bajo el teclado con todas las contraseñas del usuario. Pero además seguimos viendo cosas como que la difusión de las credenciales es una práctica frecuente (y peligrosa) en las organizaciones de hoy en día.

Basta poner en peligro solo uno de estos puntos de exposición para causar problemas. Y a cada punto de exposición se asocia una persona (una identidad). Casi siempre son las personas quienes acaban causando o siendo responsables de la pérdida de información, ya sea de forma malintencionada, ya sea por descuido.

"El 37 % de las organizaciones está afectado por la mala higiene de las contraseñas de los empleados".

No todas las vías conducen a la seguridad

Al igual que hay muchas maneras de que los piratas informáticos encuentren el modo de acceder, las organizaciones han creado muchos métodos mediante los que protegerse.

Seguridad de la red

Aunque quizá el aumento del gasto o la acumulación de más firewalls además de los que ya tienen no sea una prioridad máxima de las organizaciones, ello no significa que la seguridad de la red no sea una parte importante de la infraestructura de seguridad de una organización.

Seguridad de los terminales

Dispositivos como los smartphones, los portátiles y las tablets son requisitos de los negocios actuales y hay que seguir protegiéndolos. Pero la seguridad de los terminales solo protege los datos almacenados en esos dispositivos y las funciones estándar incluyen la autenticación multifactorial, la encriptación y la limpieza automática de los dispositivos. Esto no justifica las políticas de acceso a los datos confidenciales desde los dispositivos inteligentes ni la adición de capas de validación para garantizar que sea la persona correcta la que accede a esos datos.

Seguridad de los datos

Nuestros datos han pasado de estar en centros de datos a estar en la nube y debemos hacer que nuestros métodos evolucionen para adaptarlos a un panorama cambiante. Creamos muchísimos datos, algunos extremadamente confidenciales, y los almacenamos donde podemos. Los sistemas estructurados, como Oracle o SAP, ya no son los únicos lugares en los que viven los datos financieros. Están en presentaciones, correos electrónicos y en la nube. Y todos ellos deben protegerse.

"IDG estima que para 2022, el 93 % de todos los datos estará desestructurado".

Identidad

 El control de la identidad es un aspecto central de la seguridad en la actualidad y es un problema mucho mayor y más complejo que simplemente dar a los empleados acceso a las apps, sistemas y datos. En realidad, tiene que ver con controlar y gobernar las identidades digitales que tienen acceso a datos confidenciales, tanto si residen en sistemas, aplicaciones en la nube, como en archivos y carpetas.

La identidad es seguridad

Algunas personas pueden creer que la identidad solo tiene que ver con el control del acceso a determinadas aplicaciones o sistemas en una empresa. Pero la identidad no solo es acceso; es más que eso. La identidad va más allá de la red, pero está relacionada tanto con los terminales como con la seguridad de los datos. Obtiene información de todas las piezas de la infraestructura de seguridad de una organización y relaciona a todas ellas.

Las empresas tienen más sistemas, aplicaciones y datos que nunca y todas las partes están interconectadas: hay empleados, contratistas, proveedores, socios y clientes. Esos usuarios deben acceder a los recursos. Cada línea de conexión entre cada punto de la enorme red que constituyen los sistemas, aplicaciones y datos de una organización tiene una identidad asociada a ella.

La identidad pone en contexto todo lo que un empleado, socio, proveedor, contratista, etc., hace para la infraestructura de toda la empresa. Aplicaciones en la nube e internas. Dispositivos tanto dentro como fuera de la red. Control privilegiado del acceso. Datos estructurados y desestructurados. Con este contexto, su organización puede verlo todo, controlarlo todo y empoderar a todo el mundo.

La conclusión es: si el método de entrada elegido por los actores malintencionados son los usuarios que conectan todos los recursos de su organización, su seguridad debe ser la protección de esas identidades.

 

Javier Drake   Regional Sales Manager
	La identidad es seguridad