Por Ricardo Rodrigues, Ingeniero de Sistemas Senior en Progress Latinoamérica
El modelo de seguridad pre-pandemia era mucho más sencillo y algunas empresas lo extrañan. Si una persona se encontraba trabajando en archivos confidenciales, probablemente usaba una red interna de la empresa. Eventualmente, podía además caminar unos pasos y consultar al equipo de IT ante una duda y hasta podía personalmente solicitar la firma de un director para los documentos.
La globalización primero y la virtualidad masiva después fueron disparadores de un cambio de época. El envío de archivos se vio modificado como otros tantos aspectos de la vida cotidiana. En ese cambio, apareció una nueva amenaza: los hackeos. Se estima que en Latinoamérica durante el primer trimestre de 2021 hubo 7,000 millones de intentos de vulnerar la seguridad, según registró Kaspersky. Algunos fueron de una extrema sensibilidad a nivel mundial como la irrupción del Grupo Lázaro en el Banco de Bangladesh, los ataques a Colonial Pipeline en Estados Unidos o la filtración en la plataforma secreta de la OTAN.
Los ejemplos son clara muestra de que todos los organismos públicos, las compañías privadas y las instituciones internacionales son potenciales víctimas. Una de las formas que tienen los secuestradores de datos para ingresar es tomar el control de un dispositivo a través de internet. En tiempos de trabajo remoto, si la computadora de donde se envía material confidencial antes navegó en páginas donde pudo haber sido afectada por un virus, toda una organización puede verse afectada. Una vez que el problema se instala, suele ser difícil eliminarlo. De ahí nace una de las preguntas que invadió a las organizaciones durante este tiempo: ¿tenemos un sistema lo suficientemente paranoico como para garantizar la seguridad de todos nuestros archivos?
En primer lugar, hay que entender que cada organización tiene sus propios requisitos de seguridad y no existe una fórmula aplicable a todas. Hay un mejor sistema para cada caso, aunque no siempre se consigue, por factores como el costo, la conveniencia o la ignorancia general sobre posibles vulnerabilidades.
Por ejemplo, no todos los sistemas cifran archivos en reposo automáticamente y algunos tienen esta función como opcional, que no necesariamente es la mejor alternativa. O también pueden ser reacios a la re-encriptación y la re-desencriptación en cada acceso si se trabaja con cientos de transferencias diarias. Lo mismo ocurre con otros aspectos como el restablecimiento de contraseñas basado en preguntas de seguridad.
Además, hay algunas recomendaciones importantes para tener en cuenta. Si se opera bajo regulaciones como HIPAA, GDPR, CCPA, SOX o PCI-DSS se requiere usar un sistema capaz de mostrar en cualquier momento que la transferencia de datos se mantuvo segura y que solo las personas autorizadas tuvieron acceso. Eso significa que se deben mantener los datos cifrados en tránsito (cuando se transfieren entre personas o sistemas) y en reposo (cuando se almacenan en algún lugar). También es ideal que el software de transferencia segura de archivos produzca automáticamente informes con los detalles de quienes tuvieron acceso y confirme que no hubo ninguna intrusión. Con esto se responden las dos preguntas clave que se hacen cuando hay un hackeo: qué pasó y cuándo pasó.
La autenticación multifactor es otro método muy efectivo. A través de la confirmación en el inicio de sesión se combina el saber (un usuario y una contraseña) con el tener (teléfono, generador de token, etc). Hay un número contundente: los 300 millones de sistemas Azure de Microsoft son examinados constantemente por intrusos y lo único que impidió el acceso durante el 99,9% del tiempo fue la implementación de esta tecnología.
Por último, la rotación de claves de cifrado de manera segura y sencilla, que incluso puede ser automática, es otro de los caminos al éxito. Junto a esto, hay sistemas que proporcionan rastreo sobre el estado de los cambios y detalle de cuándo fueron ejecutados.
Existen numerosas mejores prácticas. Lo que no existe son fórmulas mágicas ni reglas generales, pero entender el problema y seguir las recomendaciones básicas puede ser un primer paso para encontrar un sistema de seguridad a la altura de las necesidades de cada organización.
