Índice de temas
Un sistema ciberseguro
Cualquier responsable de ciberseguridad hoy día coincidirá con la famosa frase del profesor y experto en informática Gene Spafford cuando afirmaba que “el único sistema verdaderamente seguro es el que está desenchufado, enterrado en un bloque de cemento y guardado en una habitación con muros de plomo con guardias armados custodiándolo, e incluso así, tengo mis dudas”.
La realidad es que el funcionamiento de la sociedad actual, desde la administración pública a los hogares pasando por supuesto por las empresas, depende de una infraestructura tecnológica más o menos sofisticada –más les vale que sea ‘más’- sobre la que se basan la operativa diaria, los procesos comerciales y prácticamente toda la interacción, ya hablemos de clientes, socios, proveedores o familiares. Un pequeño ataque a cualquiera de estas infraestructuras tecnológicas puede causar un enorme perjuicio, desde pérdidas económicas o daños a la reputación hasta la pérdida de propiedad intelectual o la interrupción del negocio. Cuando hablamos del sector bancario el problema es aún más serio, ya que no solo está en juego su propio capital, sino también el de todos sus clientes, sin contar con datos personales e información privilegiada que también custodian.
Sin confianza, más seguridad
Centrándonos en la banca, por supuesto la ciberseguridad está en la agenda de todas las entidades, y su mirada puesta en unos cibercriminales cada vez más formados e informados que, además, suelen conocer bien las herramientas bancarias y que se mueven a gran velocidad en este mundo. Por eso, la única alternativa real para abordarla es seguir los principios de Zero-Trust o confianza cero, un término de moda hoy día que nace como un cambio de paradigma desde un modelo de seguridad tradicional pensado para “guardar el castillo” -donde se suponía que los atacantes solo podían provenir del exterior mientras que los usuarios y sistemas internos se consideraban ‘inocentes’- hasta un punto de vista más actual en el que, dado que los datos están en todas partes (nube, infraestructuras híbridas) y los trabajadores también (movilidad, trabajo remoto), el perímetro ya no existe y los sistemas y usuarios internos y externos aportan el mismo riesgo. Así, el modelo de seguridad Zero-Trust se basa en la suposición de que toda infraestructura puede ya estar comprometida por el mero hecho de existir.
Entornos OT
Cuando hablamos de entornos OT (tecnologías de la operación) que gestionan dispositivos críticos como son los cajeros automáticos o dispositivos de autoservicio, el modelo Zero-Trust debe estar en el centro de la estrategia de ciberseguridad. Este modelo debe tomar una serie de asunciones desconfiadas acerca de la vulnerabilidad de la infraestructura que gestiona los dispositivos, presuponiendo que el sistema de acceso remoto puede ser manipulado, que el sistema de distribución de software se puede utilizar para desplegar malware, que el técnico de mantenimiento o el propio usuario final pueden ser atacantes, que nos pueden robar el disco duro para realizar actividades de ingeniería inversa… Un poco como la vieja Ley de Murphy -‘si algo puede salir mal, saldrá mal’-, que se basa en la idea de que, si hemos pensado en todos los posibles errores (en este caso, puntos débiles o vulnerables) estaremos bien preparados para solucionarlos (o preverlos). Se trata, en resumen, de nunca confiar y siempre verificar.
No se puede confiar en nadie
Pero claro, Zero Trust es un término de marketing, y no es posible no confiar en nada ni en nadie en absoluto. En la práctica siempre debe haber un núcleo seguro o “núcleo de confianza”, que debe estar basado en conceder siempre los mínimos privilegios necesarios y de esta manera reducir drásticamente la superficie de ataque. Es decir, estamos hablando de una estrategia basada en la “presunción de culpabilidad” frente a la tradicional ”presunción de inocencia”.
En el caso de dispositivos críticos, la clave para definir ese “núcleo de confianza” consiste en confiar únicamente en aquellos recursos (software y hardware) y accesos (locales o remotos) que sean estrictamente necesarios para la correcta prestación del servicio, identificándolos de manera unívoca e inequívoca y verificándolos en cada uso. Es importante señalar que los criterios para añadir elementos al “núcleo de confianza” deben basarse siempre en el aprendizaje vinculado con los procesos de certificación interna de los dispositivos y nunca basarse exclusivamente en la reputación (recordemos que los delincuentes suelen hacer uso de herramientas legítimas para atacarnos).
Política de seguridad
Por otro lado, es importante señalar que la política de seguridad debe estar alineada con el estado operativo del dispositivo, de manera que cuando el dispositivo está en servicio esta política debe ser lo más restrictiva posible (ceñirse al ”núcleo de confianza”), mientras que cuando el dispositivo está sujeto a un proceso planificado de mantenimiento técnico esta política se debe extender temporalmente, monitorizando toda actividad y autorizando explícitamente cualquier cambio que afecte a ese ‘núcleo seguro’.
Finalmente, es absolutamente clave que la tecnología de seguridad esté lista para adaptarse a las diferentes necesidades de una entidad que es, de por sí, heterogénea, y que además sea fácil de usar y permita crear, actualizar e implementar políticas de seguridad fácilmente. La ciberseguridad no es un modelo general, sino único para cada organización, por eso cualquier estrategia de ciberseguridad que quiera tener éxito debe estar completamente alineada con el modelo de operaciones y auspiciada por el consejo de dirección.
