Gestión de riesgos de TI: ¿está dispuesto a apostarlo todo?

Tanto si su empresa va a sacar un nuevo producto al mercado como si desea alinear la producción o definir el presupuesto para el año siguiente, lo más seguro es que usted emplee técnicas de gestión para identificar las potenciales debilidades asociadas a sus próximas inversiones.

La gestión de riesgos de TI ya es un campo maduro, con numerosas directrices y normativas como la ISO 31000, el modelo de las Cinco Fuerzas de Porter o la Matriz de Ansoff. Estas herramientas le permiten evaluar el riesgo de una inversión y también proporcionan un marco para anticipar y abordar las posibles interrupciones de su actividad. Si invierte en un proyecto equivocado, su negocio puede llegar a sufrir impactos significativos, pero si implementa una planificación adecuada, siempre se podrá recuperar.

No obstante, si no invierte en la seguridad de TI, no puede permitirse cometer ningún error.

Aunque suene muy radical, es un hecho. Una encuesta llevada a cabo por la Alianza Nacional de Seguridad Cibernética (NCSA) de EE. UU. reveló que, en 2019, un 28% de pymes sufrieron una violación de datos, de las cuales un 25% se declararon en bancarrota.

Ahora que conoce estos datos, ¿se siente seguro apostándolo todo en la planificación de su negocio sin tener en cuenta la seguridad de su infraestructura de TI?

Entender qué es la gestión de riesgos de seguridad de TI

Aunque pueda llegar a ser una tarea monumental, conocer el riesgo de exposición cibernética de su actividad es esencial. Por suerte, usted no está solo: tanto diferentes estados como sectores y organizaciones a nivel nacional proporcionan reglamentos y normativas para ayudar a aclarar las obligaciones de los negocios y proteger las operaciones de las empresas.

Muchos marcos ofrecen orientación y mejores prácticas para hacer frente a los riesgos de TI. Algunas normativas de referencia comunes son la ISO 27001la IEC 62443 y el marco NIST.

Uno de los requisitos que suele aparecer en estas normas de seguridad es la reducción de la superficie de ataque de la infraestructura de TI, sobre todo al controlar y proteger las cuentas privilegiadas. Es decir, gestionar los accesos privilegiados de las cuentas de los «superadministradores» con permisos elevados para administrar, modificar y acceder a los sistemas, datos y recursos de TI más sensibles.

Los usuarios privilegiados son un perpetuo riesgo de exposición

Las cuentas con privilegios encabezan la lista de riesgos informáticos. Estas constituyen un objetivo ideal para aquellos que tengan intenciones malignas ya que, a partir de una única cuenta, un atacante puede conseguir extraer, manipular, cifrar datos críticos o incluso infiltrarse mucho más adentro de su infraestructura y operaciones.

Tener unas nociones básicas sobre los riesgos le permitirá desplegar las herramientas adecuadas para proteger a sus cuentas privilegiadas.

Los empleados remotos o aquellos trabajadores externos que se dedican al mantenimiento y que gestionan su infraestructura crítica exponen su red a una multitud de nuevos riesgos. Los usuarios remotos, cuando se conectan en activos de TI desde fuera de su red corporativa, pueden disponer de privilegios elevados para operar en sus sistemas críticos. Y aún así ellos…

  • no se benefician de la protección perimetral de su red;
  • no son visibles y, por lo tanto, usted no puede garantizar su identidad; y
  • pueden conectarse desde endpoints que no están controlados o que son vulnerables.

No confíe en nadie

Aunque en un principio pueda sonar un poco violento, no debe confiar de automáticamente en sus usuarios privilegiados de confianza. Se estaría equivocando al considerar que, técnicamente hablando, los usuarios internos son mucho más fiables que los usuarios externos.

  • Los humanos son impredecibles: los empleados con privilegios elevados siempre pueden cometer errores y seleccionar un comando o sistema crítico equivocado
  • Muchos empleados son susceptibles de fraudes sofisticados y pueden caer en intentos de phising complejos
  • Por desgracia, la venganza de los empleados es una realidad

Mitigar los riesgos de las cuentas privilegiadas: una solución sencilla

Proteger a los usuarios privilegiados, y más concretamente el acceso privilegiado, puede ayudarle a reducir drásticamente la exposición de su infraestructura. Una política bien planificada para proteger el acceso privilegiado debe incluir los siguientes mecanismos:

Protección perimetral de la infraestructura crítica

Aislar a sus activos críticos y securizar el acceso a ellos es vital. Una solución de Gestión de Acceso Privilegiado (PAM) proporciona una serie de capacidades importantes que hacen que una vez que los activos son aislados, usted puede conceder un acceso seguro y controlado cuando sea necesario. También puede asegurarse de que tan solo la persona adecuada puede acceder al sistema correcto por la razón apropiada. Se acabaron los usuarios con privilegios excesivos y sin control.

Gestión de las identidades

Para mitigar los riesgos asociados a la responsabilidad y gestión de la identidad de usuarios remotos (es decir, la verificación), las soluciones de gestión de acceso pueden proporcionar varias capacidades adicionales:

  • Un portal web para habilitar el acceso remoto seguro y reducir la superficie de ataque de su infraestructura a la vez que facilita el acceso de usuarios externos.
  • La integración de la solución Identity-as-a-Service (IDaaS) ofrece unas opciones de seguridad contextuales para adaptar la autenticación según se necesite y así asegurar la identidad de un usuario basándose en la ubicación, entre otros factores.

Principio del Menor Privilegio

Una manera eficaz de asegurarse de que un usuario con privilegios no pueda dañar su infraestructura es simplemente… eliminando privilegios. Sin embargo, lo más probable es que este tipo de medida drástica tenga un impacto significativo tanto en los usuarios como en su productividad si de repente estos no tienen acceso a los recursos necesarios para llevar a cabo su trabajo. Al implementar la política del Principio del Menor Privilegio, por ejemplo con una solución de privilegios de los endpoints, usted puede tanto restringir los privilegios de acceso al mínimo como facilitar el rendimiento del trabajo. De esta forma, tan solo el privilegio correcto se administra al usuario adecuado durante el periodo de tiempo necesario y por la razón apropiada.

Seguridad bien planeada: no es necesario apostarlo todo

Por naturaleza, los negocios siempre implican riesgos. Optimizar la producción, seleccionar el equipo, definir el presupuesto… todo es cuestión de tomar las decisiones informadas, calculadas y adecuadas para conseguir que su organización tenga éxito y se minimicen las pérdidas. Lo mismo se aplica a la gestión de riesgos de TI: si esta se planea correctamente y se implementan las protecciones adecuadas, su empresa estará lista para triunfar.