Jaime Galviz, gerente general de Microsoft Colombia, explica por qué la ciberseguridad debe llevar los procesos mucho más allá de las áreas de tecnología y seguridad, bajo el concepto Zero Trust.
La protección de la salud ha mantenido al mundo en vilo desde hace un año. Hemos diseñado los protocolos más estrictos, sistemas de verificación permanente y planes de mitigación del riesgo. Sin embargo, al tiempo que nos movemos a las operaciones remotas para proteger la salud y la de nuestras comunidades, estamos generando vulnerabilidad para la de nuestras organizaciones. La acelerada virtualidad y una transformación digital sin precedentes han incrementado los ataques cibernéticos, amenazando la continuidad operacional y estabilidad de las organizaciones. Globalmente, se estima que estos ataques les cuestan a las compañías cerca de 1 billón de dólares al año y que éstas tardan, en promedio, siete meses en detectarlos. Demasiado tarde para la era digital, donde la data es el mayor activo. En Colombia, las cifras del más reciente reporte de la CCIT muestran que las denuncias de ataques cibernéticos entre marzo y diciembre del 2020 aumentaron 98%.
Y es que en esta época del ‘todo virtual´ las organizaciones están mucho más expuestas. El trabajo remoto, desde cualquier dispositivo y cualquier red, con acceso a aplicaciones inseguras en entornos no protegidos se han convertido en los talones de Aquiles de la ciberseguridad en el mundo remoto. Como ha quedado claro es que las medidas de distanciamiento no están muy cerca de tocar su fin, tendremos que cambiar nosotros. La solución para proteger la información se llama Cero Confianza (Zero Trust). Con este modelo desaparece la confianza implícita de que todo dentro de una red corporativa es seguro, y partimos del principio -paradójico en apariencia-, de que para confiar debemos desconfiar.
Las empresas que operan con una mentalidad de Cero Confianza son más resistentes a los ciberataques. La primera línea de defensa está en el acceso a las plataformas de la organización. Toda solicitud de acceso se debe evaluar y verificar como un potencial riesgo, porque, en realidad, lo es: más del 90% de los ataques se producen por un error humano, y la puerta de entrada al sistema debe ser la mejor cuidada. La autenticación multi factor (MFA) para todos los usuarios y en todo momento es una acción fundamental.
Zero Trust y estrategia
Pero verificar identidad asegura sólo el punto de ingreso a la red. Establecer privilegios mínimos para el acceso a la información también es indispensable: los permisos de acceso a la información solo se conceden para cumplir objetivos específicos, desde el entorno adecuado y en los dispositivos seguros para compartimentar los riesgos, limitando la cantidad de data la cual tiene acceso un potencial atacante que haya logrado salvar las barreras de entrada.
Como complemento al acceso, es necesario asegurar los dispositivos de los colaboradores. Viejos sistemas operativos o aplicaciones vulnerables en equipos personales son una ventana para que actores maliciosos se infiltren. Las soluciones que limitan o bloquean el acceso a dispositivos desconocidos, o que no cumplen con sus directivas de seguridad son fundamentales en esta etapa. Adicionalmente, de nada sirve si un usuario autorizado y validado en equipo idóneo se expone entrando a aplicativos inseguros. Implementar un agente de seguridad de aplicaciones en la nube permite evaluar el perfil de riesgo y decidir permitir el acceso, bloquearlas, o incorporarlas a su entorno de nube.
De modo que, en materia de ciberseguridad, no hay mejor estrategia de defensa que considerarse bajo ataque siempre. La protección efectiva de la información se vuelve esencial en un mundo donde la cotidianidad de las empresas y las personas ocurren en entornos digitales. Los riesgos actuales no se pueden combatir con herramientas del pasado, pues las amenazas y los ataques cibernéticos son cada vez más dinámicos y crecen en sofisticación, por lo que la mejor defensa es desconfiar.
Las personas van a usar solamente la tecnología en la cual puedan confiar, que además de ser diseñada con principios éticos claros y respete la privacidad de la información como un derecho fundamental de su dueño. Necesitamos saber que la información de nuestra empresa, de nuestros clientes, de nuestra vida personal o de nuestra actividad académica nos pertenece y está a salvo. Y aunque los ataques cibernéticos son dinámicos y crecen en sofisticación, la mejor defensa es desconfiar.
