“La protección comienza por una adecuada gestión de identidades”, Alberto Roces (CyberArk)
- Content Marketing
Las organizaciones se enfrentan a un escenario cada día más complejo, con múltiples tipos de usuario accediendo a los recursos desde distintas ubicaciones y sobre diferentes plataformas. Eso implica una complejidad que impone unas necesidades crecientes de control sobre todas las identidades, tanto humanas como de máquinas y aplicaciones, para proteger todos los activos de la empresa. Para conocer de primera mano estas necesidades, hemos hablado con Alberto Roces, desarrollador de negocio de DevOps y Cloud de CyberArk.
Tal y como nos explica este responsable, “el principal reto para las organizaciones es hacer frente a la complejidad creciente que existen en los entornos corporativos. Lo que vemos en las organizaciones a día de hoy es que el número de plataformas que son necesarias para desarrollar aplicaciones, gestionarlas y mantenerlas va cada vez a más. Y hay varios estudios, tanto nuestros como de consultoras independientes, que muestran precisamente esto, que casi un 85% de los clientes utilizan tres nubes o más en su día a día. Esto provoca una proliferación del número de identidades que existen a gestionar, tanto humanas como no humanas. Y, de hecho, también hay datos que muestran que, en cuanto a las no humanas, que son las identidades que utilizan las aplicaciones y nuestros diversos servicios, la ratio que existe respecto a las humanas es de 45 a 1. Y eso evidentemente favorece esa complejidad”.
Gestionando la complejidad
Asimismo, añade, “destaca el número de ataques que se están realizando sobre la cadena de suministro, ya que muchos atacantes están identificando esto como un punto débil, un punto crítico a explotar. Vemos que ya casi el 90% de los ataques se producen ahí, en esa cadena de suministro de software. Y el punto inicial que tienen casi todos es una credencial que se ha filtrado o que se ha accedido de forma maliciosa”.
De hecho, añade que “siempre ha tenido mucha relevancia el hecho de encontrar un punto débil en la cadena del software. La complejidad de la creación de aplicaciones ha ido a más y las organizaciones tienen que lidiar con entornos muy diversos, múltiples aplicaciones, entornos de herramientas, proveedores... El atacante conoce esa complejidad y la busca y sabe dónde hacer daño, con lo que, si no tenemos securizado todo el proceso, encontrar una puerta de acceso puede ser clave. Una vez que tengan ese acceso se produce un movimiento lateral y el escalado para el robo de información y todo tipo de ataques”.
Con todo, concluye, “entender y gestionar esta complejidad desde el punto de vista de la ciberseguridad, no debe comprometer la agilidad ni dejar margen a la inseguridad”.
Aunque el aspecto positivo es que esta realidad ha calado en las organizaciones, de ahí que, como recuerda Alberto Roces, “están invirtiendo más y se ha colocado la ciberseguridad entre las principales áreas de inversión cuando hablamos de TI. Sin embargo, el negocio avanza muy rápido y requiere de una gran agilidad, y los atacantes también evolucionan y siguen buscando puntos débiles a explotar. Conciliar esas dos realidades siempre es complicado, porque muchas veces el ritmo al que evolucionan estos ataques es tan elevado que nos cuesta mantenernos. De ahí que sea fundamental encontrar partners adecuados que nos ayuden a estar protegidos”.
Elementos básicos en la estrategia de ciberseguridad
Toda estrategia de ciberseguridad debería pasar por contar “con una adecuada gestión de identidades. Una gestión robusta, sólida, centralizada, auditada, automatizada y gobernada de todas las identidades que tienes en tu organización es clave y fundamental, porque el punto inicial en un ataque siempre es una credencial expuesta. Además, con el foco en las personas, es necesaria la formación en ciberseguridad. Tiene que haber una cultura de seguridad intrínseca a la organización y eso requiere capacitación y formación constante, tanto del personal interno como de los proveedores y los colaboradores. Y, por último, contar con políticas de ciberseguridad extendidas a lo largo de toda la organización. Por muy nimio que sea el aspecto que quieras tratar, siempre hay tratarlo con criticidad máxima y el tener todo el proceso habilitado”.
Soportar la realidad de la nube
Si ponemos el foco en la nube, “en estos entornos, la frontera entre usuario y administrador es más difusa, y nos encontramos con que ahora mismo los desarrolladores son los usuarios con más acceso privilegiado de la organización. Muchas veces, desarrolladores que tienen que acceder a este tipo de recursos en cloud necesitan de esos permisos de administrador para su día a día. Para nosotros, la estrategia que debería afrontar una organización es soportar la agilidad que demanda la nube, pero sin olvidar el foco sobre la protección. Por ello, debemos ver cómo evolucionar el enfoque tradicional de PAM, porque, como el número de privilegios es creciente, también lo son la posibilidad de ataque y movimiento lateral de las amenazas en la organización. De ahí que, para adaptarnos a la realidad de los nuevos tipos de acceso a estos entornos, debamos adoptar estrategias orientadas a privilegios no estáticos o permantes con accesos “just in time”, que es más efectivo desde el punto de vista de la ciberseguridad”.
Una realidad cada día más compleja
La realidad a la que se enfrentan las organizaciones es cada día más compleja, con infraestructura on-premise, sistemas en cloud, múltiples usuarios, dispositivos y ubicaciones… Frente a esto, “el enfoque tradicional de PAM debe evolucionar, con la proliferación de estos nuevos entornos. Esa frontera que existía antes es más difusa, y las organizaciones demandan agilidad y velocidad en la entrega de aplicaciones, y cualquier retraso puede ser crítico para el negocio. Por ello, la estrategia PAM debe adaptarse a estas necesidades crecientes que tenemos en los nuevos entornos. El privilegio estático en un usuario ya no nos sirve, porque al final provocaría un aumento del número de usuarios privilegiados que tendríamos en la organización, con lo cual no expondríamos cada vez más a un potencial ataque. Por tanto, reducir el uso de esos privilegios estáticos, asignarlos a los usuarios según lo necesiten y una vez que ese privilegio no sea necesario eliminarlo, se antoja clave. Y pensando en las credenciales no humanas o de las propias aplicaciones, hay que extender esta política también a ellas, pese a que se trate de credenciales menos concretas, pero que pueden exponer a la organización”.
Buenas prácticas en la gestión de aplicaciones
La realidad de las organizaciones es que las “aplicaciones utilizan un gran número de identidades no humanas, que popularmente llamamos secretos, que estamos viendo que están yendo a más conforme estos entornos crecen en complejidad. Por eso, a la hora de gestionar estas identidades no humanas, no deberíamos tener un enfoque muy distinto al que teníamos con una identidad humana tradicional, con cierto acceso privilegiado. Porque vemos que estos secretos, muchas veces, cuentan con accesos privilegiados, con accesos poderosos, a parte de nuestros recursos, que deben ser también gestionados. Por eso, tratar de encontrar esa uniformidad en el trato que hagamos a los distintos tipos de identidades, para nosotros es la primera clave fundamental. Asimismo, viendo que las organizaciones cuentan con entornos híbridos, la estrategia debe tener una uniformidad cada vez más centralizada y gobernable”.
La experiencia de CyberArk
Tal y como recuerda Alberto Roces, “en CyberArk llevamos trabajando en este mercado durante 25 años y hemos ido creciendo, innovando y adaptándonos, y esa experiencia precisamente la que nos ha llevado al punto en el que estamos. Igualmente, llevamos diez años operando en España, somos un equipo de más de 60 personas y contamos con más de 150 clientes, de los cuales el 50% de ellos cotizan en el IBEX35”.
Además, "año a año, los clientes y los analistas nos están reconociendo como líderes en gestión de identidades y gestión de accesos, un reconocimiento motivado, por un lado, por la visión que tenemos de innovación constante y de adaptación a nuestros nuevos entornos que van surgiendo, y, por otro, por la visión amplia que tenemos de la gestión de estos diversos entornos donde no queremos simplemente tener una única estrategia para toda la compañía, sino adaptarnos precisamente a lo que la organización nos demanda, porque no es lo mismo gestionar un acceso a una máquina Windows tradicional que gestionar el acceso a recursos nativos de empleo de cloud o una aplicación nos gestiona accesos”.
Pensando en el futuro, “estamos en una carrera contra los que están al otro lado de la barrera, porque la inteligencia artificial sin duda va a tener una influencia tremenda en los nuevos tipos de ataques que van a surgir en los próximos meses y años. De hecho, varios estudios que estamos haciendo recientemente señalan que el 90% de las organizaciones ya han experimentado este tipo de ataques. Por tanto, tenemos que adaptarnos, especialmente a este nuevo tipo de amenazas, aprovechando también el valor que nos puede proporcionar la inteligencia artificial para fortalecer nuestra estrategia de seguridad. La inteligencia artificial nos puede aportar mucho valor en varias áreas, como en la automatización de muchos procesos que ahora son manuales, lo que incrementa el riesgo de ataques. Por otro lado, también va a ser importante en el aprendizaje continuo que tienen estos nuevos modelos de IA sobre los ataques para fortalecer también nuestra estrategia”.