¿Qué nos pueden enseñar las discotecas sobre ciberseguridad?

En la situación actual, cuando parece que vemos la luz al final del túnel después de más de un año de pandemia, mascarillas y teletrabajo, la mayoría de nosotros soñamos con socializar de nuevo y volver a la “normalidad”. Y dado que muchas organizaciones continúan transformando rápidamente su negocio, invirtiendo en nuevas tecnologías en la nube, adoptando nuevas formas de comunicación y brindando servicios a los clientes de manera innovadora, la protección contra el riesgo de los ciberataques ha adquirido una mayor relevancia.

Sobre todo, porque el riesgo relacionado con la identidad va en aumento: los ciberdelincuentes son cada vez más expertos en robar credenciales VIP, ya sea de administradores de TI o de usuarios comerciales, para acceder a áreas sensibles de la empresa. Por lo que las organizaciones tienen que estar al día en lo que se refiere a las estrategias cada vez más innovadoras de los atacantes.

Nuestras nuevas formas de trabajar han hecho que la protección de todas las identidades, y sus elevados niveles de acceso privilegiado y credenciales relacionadas, sea más importante que nunca. En el siguiente artículo vamos a utilizar como ejemplo el acceso a una discoteca para demostrar cómo debe proteger una empresa lo que es más valioso para su organización.

Superando al “puerta”

El primer paso para entrar a una discoteca consiste en superar a los porteros que custodian la puerta y que te consideren apto, es decir, que no lleves una ropa “inadecuada”, que no vayas en zapatillas o que te identifiques correctamente.

Piensa ahora en tecnologías como PAM (Privileged Access Management) como el “guardián” definitivo para gestionar quién tiene acceso a qué, dónde y durante cuánto tiempo. Por ejemplo, existen requisitos mínimos para que los usuarios obtengan acceso inicial; a menudo un nombre de usuario o una contraseña en el nivel más básico. Estas credenciales de primer nivel no son particularmente seguras y se pueden omitir, al igual que se evita con éxito a los porteros mostrando una identificación falsa. Esta falibilidad hace que la autenticación adicional sea imprescindible para defender, adecuadamente, la información clave y los recursos de la organización.

Acceso a todas las áreas

Una noche en una discoteca no iría tan bien sin el personal del bar. Estos empleados necesitan acceso a áreas exclusivas, algunas de las cuales requerirán algún tipo de clave de acceso para poder entrar. De hecho, solo el personal de confianza debe tener acceso a estas zonas para evitar robos.

Así, ciertas áreas de las infraestructuras de TI funcionan de una manera similar, con claves de acceso que permiten a los administradores realizar cambios en el sistema o las aplicaciones, agregar o eliminar usuarios o borrar datos. A veces, estos “superusuarios” serán administradores de dominio, es decir, personas que tienen un amplio acceso a través de la red. Como era de esperar, obtener acceso a las credenciales de estos usuarios resulta de lo más atractivo para un ciberdelincuente,... ¡y el juego se acaba para la organización si esto sucede!

Ya sea por empleados que representan una amenaza o por amenazas externas, PAM ayuda a administrar y proteger el acceso a la red y, utilizando el principio de privilegio mínimo, solo otorga acceso de nivel de administrador a aquellos que realmente necesitan usarlo para realizar su trabajo.

¿Realmente eres VIP?

Muchas discotecas disponen de áreas VIP a las que acceden los socios, ya sea pagando una cantidad extra o porque son lo suficientemente conocidos, famosos o relevantes para entrar. En estas zonas, el personal de seguridad vigila los accesos para evitar que entre quien no debe hacerlo y conservar, así, la privacidad de los asistentes. 

Para las empresas, las “áreas VIP” equivalen a aquellos recursos que suelen ser extremadamente limitados en términos de quién puede acceder a ellos. Un usuario “normal” no podrá interactuar con la propiedad intelectual confidencial, la información de recursos humanos o los resultados financieros no públicos de una empresa. Solo aquellos usuarios con privilegios escalados (en otras palabras, los VIP) deberían tener acceso a ellos y, aun así, debería estar bastante controlado. Sobre todo, porque los atacantes buscan de manera rutinaria escalar privilegios para acceder a activos y datos críticos.

¿Quién se queda, a quién se echa?

Las cosas no siempre salen según lo planeado durante una noche de fiesta. Sobre todo cuando el  personal o los encargados esde seguridad piden a algunos clientes que se vayan de la discoteca, debido a su comportamiento o porque molestan a otros clientes. Incluso se les puede prohibir volver a entrar en la discoteca.

Si comparamos esto con la finalización de un contrato de terceros, el fin del proyecto de un consultor o, simplemente, con aquellos que intentan acceder a una parte de la red o un activo al que no deberían tener acceso, dicho acceso privilegiado se convierte en un riesgo potencial para la seguridad. Por eso, mantener ese acceso puede resultar innecesario, de tal manera que habrá que desactivarlo, inmediatamente, para evitar cualquier posibilidad de que un atacante aproveche las credenciales o el acceso no utilizados.

Examinando la escena

Entonces, ¿cómo saben las organizaciones dónde se encuentra el acceso privilegiado y cómo protegerlo? En una discoteca, el gerente del club y el personal tienen la labor de observar todo lo que está sucediendo. Las cámaras de seguridad escanean la pista de baile y las áreas restringidas, buscando incidentes y asegurándose de que todo funcione a la perfección. En una organización, esta labor la realiza el equipo de seguridad de TI. PAM permite una completa visibilidad del acceso a datos y activos críticos, además de monitorizar, otorgar y revocar ese acceso cuando sea necesario. La adopción de medidas de ciberseguridad adecuadas para asegurar el acceso basado en credenciales es esencial para las organizaciones que desean proteger su negocio de interrupciones o pérdidas.

Seguro que cuando piensas en ir a una discoteca no eres consciente de la cantidad de recursos que se necesitan para que eso sea posible: desde la seguridad que evitan los problemas hasta los camareros y el DJ para que suene la mejor música. Además de que el personal debe asegurarse de que los clientes que están en la sala VIP están allí porque han pagado por ello. De igual manera las empresas desean administrar, monitorizar y proteger las identidades en toda su organización, y PAM es la respuesta.

Roberto Llop, Area Vice President, Sales South & West Europe, CyberArk