Tres claves minimalistas para mejorar la seguridad en la empresa

Reducir al máximo los elementos que podrían ser vulnerables, eliminar aplicaciones sin uso y mejorar el control de accesos en los sistemas son tres consejos esenciales para reducir la seguridad corporativa. Por qué en ciberseguridad prima el valor “menos es más”.

La verdadera esencia consiste en centrarnos en lo importante, en lo que nos aporta valor a cada uno de nosotros y que muchas veces no somos capaces de descubrir debido al “ruido” que nos rodea, dice  Ismael Alonso, ingeniero de Santander Global Tech, en un artículo sobre ciberseguridad.

Todo ese “ruido” se ha trasladado al mundo digital en forma de notificaciones constantes de grupos de Whatsapp, exceso de videoconferencias, documentos sin leer y en tener instaladas 60 aplicaciones que ya no sabemos para qué sirven. Esto tiene una correspondencia directa en el aumento de distracciones y descenso de rendimiento. Además, -y ahora entramos en el terreno de la seguridad informática- provoca otro daño colateral del que se habla poco, y es el aumento exponencial a ciberamenazas y por tanto la posibilidad de sufrir un ciberincidente.

Existen tres aspectos que muestran como un enfoque minimalista puede derivar en la consecución de una empresa más resiliente y preparada para los nuevos retos de seguridad de ésta era digital.

1. Superficie de ataque
La superficie de ataque es la totalidad de elementos susceptibles de tener vulnerabilidades que pueden ser explotadas por un incidente natural o por un ataque deliberado.

El aumento de la digitalización ha propiciado que aumente exponencialmente la superficie expuesta a internet. Tanto a nivel empresarial con webs corporativas, webs de campañas de marketing expuestas a internet, multicanalidad, el universo de APIs, y el aumento de endpoints en las empresas, como a nivel personal con los múltiples dispositivos conectados a internet.

Tenemos que convivir con esta nueva realidad siendo conscientes de que a la vez que creamos nuevas soluciones, necesariamente tenemos que desechar soluciones anteriores. El adelgazamiento de la estructura digital es el gran olvidado de la transformación digital, es esa grasa que dificulta sentirnos ligeros y avanzar convenientemente. Es el anti-agile. Lo importante en este caso es aplicar las mismas recetas que el minimalismo nos ofrece para nuestra vida doméstica:

Hacer un inventario completo de activos digitales, segmentando por categorías evitando dispersión.
Evaluar cada aplicación y funcionalidad una por una, “tocarla” y sentir cual nos hace “feliz” y aporta valor dentro de la empresa.
Incluir las aplicaciones que no generan valor en el plan general de decomisados y eliminación de activos. No solo los activos obsoletos generan un aumento del riesgo, también el conjunto de aplicaciones con menos uso, más minoritarias y por tanto en cierta medida abandonadas a los procesos de seguridad de la empresa.
El objetivo es cerrar todas las puertas laterales que los cibercriminales buscan para comprometer redes corporativas.

2. Control de accesos y cuentas privilegiadas
Con la implantación de nuevos modelos colaborativos, además de los accesos tradicionales a aplicaciones de negocio, cuentas de aplicación y de sistemas, encontramos que cada uno de nosotros gestionamos un ilimitado número de recursos compartidos, Sharepoints, canales y accesos individuales a ficheros con datos personales y/o confidenciales. Todo esto demanda que los equipos de control de accesos y gestión de la identidad encuentren nuevas alternativas para simplificar la revocación de cuentas y recursos compartidos.

La clave aquí el reto no consiste en ordenar y limpiar la casa mientras los trastos vuelven a acumular polvo día a día. La clave radica en eliminar continuamente todos los recursos que ya no aportan valor. También aquí los usuarios tienen que ser la primera línea de defensa, borrando los recursos compartidos que no son necesarios. Para ello tienen que recibir la concienciación y herramientas que les permita gestionar esta complejidad, consiguiendo hacer sencillo lo aparentemente complejo.

Está claro que a nadie le gusta ser “cómplice” de un incidente de seguridad, pero la mayoría de las veces los atacantes se aprovechan de ficheros abandonados con información sensible o credenciales válidas de acceso para conseguir sus objetivos.

3. Aplicaciones y programas sin uso
La práctica totalidad de los empleados en una empresa tienen a su disposición uno o varios dispositivos móviles. Todos estos dispositivos es necesario parchearlos en varios niveles: versión de Android/iOS, todas y cada una de las apps instaladas, certificados digitales, canales VPN y mecanismos de autenticación, e incluso a nivel hardware dónde se han localizado amenazas emergentes.

Nuevamente es necesario un ejercicio coordinado entre IT, Ciberseguridad y el usuario final con la finalidad de identificar aplicaciones, programas, extensiones que no se utilizan pero aumentan considerablemente la carga de mantenimiento que puede terminar derivando en una vulnerabilidad abierta que pueda ser explotada por el atacante para comprometer un dispositivo de usuario.

Cada vez es más frecuente en las empresas lancen campañas de concienciación sobre phising a sus clientes y empleados. Siendo este un aspecto vital, no es menos importante que posteriormente a una posible infección inicial por Malware en un puesto de usuario, un posible atacante puede escalar privilegios o hacer movimientos laterales aprovechando una vulnerabilidad de otro puesto de usuario o servidor. Cuantas menos aplicaciones, programas y recursos inservibles estén en ese momento a disposición del posible atacante, mayores serán las posibilidades de acotar el impacto de una potencial intrusión.

Aprovechando los conceptos del minimalismo existencial, estaremos en disposición de que nuestra organización sea un entorno más seguro, más orientado a resultados, y las personas sintamos una reducción en la ansiedad que provoca la complejidad y la multitarea descontrolada:

Enfoque en lo esencial
Menos es más
Calidad frente a cantidad
Organización sin consumo de tiempo.
Disfrutar del silencio
En definitiva, una organización dónde la ciberseguridad no es intrusiva, las aplicaciones se hacen invisibles, los procesos se simplifican y la tecnología está al servicio de las personas.

FUENTE: SANTANDER POST