Los marcos de seguridad cibernética requieren trabajo, pero ayudan a las organizaciones a aclarar sus estrategias de seguridad. Si no tiene uno, esto es lo que debe considerar, incluso para las nuevas opciones de seguridad sin perímetro.
Por Tom Nolle
Si las organizaciones realmente necesitan un marco de seguridad cibernética es una de las preguntas más importantes que se hacen en seguridad de la información. Esto se debe a que algunos proveedores se centran en vender productos de seguridad puntual, un enfoque que no se presta para alentar a las empresas a dar un paso atrás y mirar la seguridad en el contexto general de lo que están tratando de lograr.
Adoptar un enfoque holístico de los marcos de seguridad puede alargar el ciclo de ventas para los proveedores y puede requerir mucha educación del cliente. También aumenta el riesgo de que los compradores deseen una suite con capacidades más amplias de las que pueden ofrecer. Como resultado, algunos proveedores promueven productos para enfoques de seguridad sin perímetro que protegen los datos cuando no existe una red corporativa tradicional.
Un enfoque de seguridad sin bordes plantea preguntas sobre si las organizaciones necesitan un nuevo marco de seguridad basado no en la zona desmilitarizada más antigua (DMZ) o en los conceptos más nuevos de zona de seguridad, sino en un concepto de biocontención donde el objetivo es asegurar la información dentro, no solo mantener a las personas fuera.
Estructuras del marco de la zona de ciberseguridad
Cualquier enfoque de seguridad se trata de mantener a las personas o cosas fuera de las áreas a las que no pertenecen. Para comenzar con los principios de seguridad, la seguridad física en una planta o instalación generalmente se basa en zonas de seguridad que representan recursos o áreas con requisitos de seguridad específicos. Piense en esto como una serie de cercas y puertas dispuestas de modo que cuanto más lejos vaya, más seguro debe estar. Fuera de la zona más externa se encuentra el mundo de los usuarios, del cual deben protegerse sus recursos de TI.
El marco de ciberseguridad de la zona de seguridad es la versión moderna del modelo más antiguo y simple de zonas de seguridad DMZ “que rodean el perímetro”. La mayoría de las empresas tienen las siguientes cuatro zonas básicas de seguridad:
Una zona pública más externa donde se permite el acceso web no confiable y deben residir dispositivos autónomos;
Una zona de acceso donde los usuarios, socios y empleados pueden acceder a la información de acuerdo con sus privilegios de rol;
Una zona de aplicación donde las aplicaciones intercambian información con otras aplicaciones; y
Una zona restringida donde se almacenan recursos críticos.
Los principios de seguridad deben basarse en estas zonas, y las prácticas (que se abordan a continuación) se aplican dentro de ellas en un modelo de zona de seguridad. Las prácticas de seguridad también se pueden aplicar en un modelo sin bordes.
El primer y quizás más importante principio del marco de seguridad es que cada zona expone (o publica) solo la información que se le permite a través de una interfaz o API. Pero la seguridad no se detiene con el control de acceso. También es fundamental observar primero cómo se expone la información, luego quién tiene derecho a ver los resultados.
Ninguna herramienta específica controla qué información debe exponerse. Hacer cumplir este principio significa decidir qué información debe estar disponible dentro de una zona. Los principios y herramientas de administración de API se pueden usar para definir y exponer esa información. Recuerde que las zonas exteriores menos seguras deben ser clientes de información de zonas más seguras, por lo que cuando una zona expone información, no solo es compatible con sus propios usuarios, sino que también alimenta a las zonas menos seguras con la información limitada que tienen derecho a tener. El principio clave es exponer solo lo que realmente se necesita. La mayoría de las organizaciones exponen demasiada información, lo que aumenta sus riesgos.
En el segundo principio del marco de seguridad cibernética basado en zonas, cada zona debe proteger quién tiene acceso y administrar el comportamiento de sus miembros. Muchas de las violaciones de seguridad más grandes han ocurrido porque alguien tenía acceso a una zona de baja seguridad y, desde allí, pudo entrar más profundamente en capas seguras porque no había protecciones contra el comportamiento del usuario una vez que obtuvieron la admisión.
Parte de cumplir con este principio significa hacer un seguimiento del acceso seguro y los intentos de acceso para que el mal comportamiento pueda vincularse a personas o aplicaciones específicas. También es bueno tener un informe estadístico sobre la cantidad de veces que se accede a cada API segura o cada vez que falla un intento de acceso. Esto ayuda a detectar patrones de uso, y cuando los patrones cambian, indica que se justifica una exploración más profunda de esos registros de acceso.
Implementar prácticas de marco de ciberseguridad
La seguridad efectiva es la aplicación de prácticas y herramientas dentro de los principios de seguridad que definen un marco de seguridad cibernética. Al igual que los principios de seguridad, las prácticas se dividen en múltiples áreas.
El control de acceso proporciona reglas que controlan la penetración de cada zona de seguridad. Esto significa que existen controles de acceso en cada límite de zona. Las organizaciones pueden implementar el control de acceso con controles de inicio de sesión, firewalls y control de conectividad de red, o incluso por múltiples medios.
El control de recursos aborda cómo los recursos de información deben implementarse en un marco coherente y seguro, lo que significa aplicar la automatización de la infraestructura y la orquestación de aplicaciones para crear un entorno de alojamiento que pueda controlarse.
El control de la intercepción es el área final de práctica de ciberseguridad. La información enviada en una red, si es leída por una parte no autorizada, podría usarse para robar datos o credenciales que luego podrían permitir el acceso. La tecnología de cifrado es la base de la seguridad de la red que también se puede utilizar para mejorar el control de acceso al requerir acceso API cifrado y controlar la distribución de claves.
En un marco de ciberseguridad basado en zonas, estos principios y prácticas se aplican por zona, y dado que las zonas se construyen entre sí desde adentro hacia afuera, o desde la más segura hasta la menos segura, las medidas también se basan entre sí. Las capas de información –cada capa personalizada para contener solo lo que se necesita– aíslan los datos críticos y las aplicaciones de los usuarios que no tienen derecho a tenerla. El derecho a acceder a la información debe basarse en una necesidad comercial y enmarcarse dentro de una zona donde prevalecen requisitos de seguridad similares. Esta organización tarda en desarrollarse, pero vale la pena al crear un sistema para todo el proceso de acceso y almacenamiento de información.
Prácticas de seguridad sin perímetro
Las prácticas sin un método de marco promocionado por algunos proveedores de seguridad aplica las mismas prácticas y herramientas, pero en lugar de usarlas para establecer zonas de seguridad, las usa para atacar amenazas directamente. El problema es que las amenazas son difíciles de identificar en este enfoque si no incorpora el concepto de acceso autorizado y zonas de políticas de seguridad comparables. Lo que algunos usuarios necesitan, otros no pueden tener. Las amenazas no tienen un contexto fácil de establecer, ni una medida del riesgo, y, sin sucesivas capas de seguridad, alguien que tiene derecho a algún acceso puede terminar entrando por completo.
La seguridad sin perímetro puede parecer fácil porque no requiere mucha planificación, ya que el concepto es ver un problema y solucionarlo. La dificultad es que la primera exposición al problema puede ser costosa. Es mejor planificar y establecer un marco de seguridad cibernética. A la larga, eso creará una mejor seguridad de TI a un costo menor.
