ESCUCHAR
Es imperiosa la responsabilidad de cada uno de mantener su propia casa en orden, haciendo hincapié en una sólida rendición de cuentas junto con un dominio fundamental de los aspectos esenciales de la ciberseguridad. Más que simples listas de verificación de cumplimiento, abogamos por una estrategia basada en el conocimiento de las amenazas que mejore la resiliencia en todo el panorama cibernético, explica Microsoft.
En una columna anterior analizamos un aspecto del Reporte 2024 sobre Defensa Digital de Microsoft, que ahora nos convoca el capítulo “Centrando nuestra organización en Seguridad”, que pretende ampliar el enfoque más allá de la seguridad organizacional para incorporar un ecosistema más amplio, particularmente en entornos críticos y procesos electorales, para finalmente hacer un llamado a la acción colectiva, instando a una colaboración más sólida entre la industria y el gobierno para reforzar nuestra seguridad colectiva.
Contundente, Joy Chik, Presidente del área de Identidad y Acceso a Redes de Microsoft, sostiene que si hay un punto débil en su sistema, los actores de amenazas lo encontrarán, para luego explicar que estos delincuentes se aprovechan de las deudas técnicas no resueltas, los controles de seguridad obsoletos y aplicaciones instaladas no administradas por la empresa.
La organización puede estar utilizando las últimas herramientas de seguridad para fortalecer su entorno central, pero si aún tiene una infraestructura antigua; sistemas sin parches; configuraciones obsoletas; y aplicaciones a las que los departamentos les otorgaron demasiados permisos de los que ni siquiera son conscientes, es posible que, sin darse cuenta, esté dejando agujeros de seguridad para que los actores de amenazas exploten. Para ser más gráfico, lo ejemplifica diciendo que dejar estos problemas sin resolver es como instalar una bóveda con una cerradura impenetrable y luego olvidarse del respiradero que conduce al techo. El ladrón no se desanimará por la cerradura, simplemente encontrará uno de los caminos alternativos que le ha dejado.
Ya sea que se trate de una aplicación de prueba de un usuario satélite sin seguimiento que no aplica la autenticación multifactor (MFA); o dispositivos infectados con malware; o protocolos de autenticación heredados, los equipos de seguridad no pueden actuar sobre recursos que simplemente desconocen. Estos incluyen, usuarios no autorizados, no monitoreados o abandonados creados ad hoc para desarrollo, pruebas o demostraciones; aplicaciones e identidades de carga de trabajo sin propietario o gobernanza conocidos; secretos de desarrolladores registrados en repositorios de código públicos; o repositorios de almacenamiento con controles de acceso inadecuados.
Chik explica que Microsoft, como parte de su Iniciativa de Futuro Seguro (SFI), emprendió una rigurosa limpieza de sistemas, denominada: “limpieza de primavera”, para fortalecer su entorno y servicios en la nube contra amenazas, para lo que eliminaron millones de aplicaciones y usuarios no utilizados y que no cumplían con sus políticas, actualizaron cientos de miles de credenciales (incluidos los certificados de seguridad) y segmentaron y aislaron su red.
SFI es una iniciativa plurianual para desarrollar la forma en que Microsoft diseña, construye, prueba y opera sus productos y servicios, con el objetivo de alcanzar los más altos estándares de seguridad.
Entre las medidas proactivas para evitar que los déficits de seguridad se vuelvan a acumular, han decidido mantener un inventario completo de todos los activos de software y hardware de producción; aplicar un enfoque estándar para crear usuarios de prueba seguros con principios de confianza cero, eliminándolos automáticamente después de su uso para evitar la acumulación de infraestructura heredada; aumentar el aislamiento de los entornos de desarrollo y prueba para evitar el movimiento lateral hacia la producción; aplicar el uso de bibliotecas estándar y controles de seguridad de código avanzados para todas las aplicaciones y servicios; escanear automáticamente todos los sistemas de productividad internos para eliminar contraseñas, secretos y claves que los atacantes podrían explotar; y mejorar las capacidades de registro para detectar, investigar y mitigar vulnerabilidades más rápido y compartir información con los clientes lo antes posible.
A todas estas medidas hay que acompañarlas con políticas claras de seguridad, que sean conocidas y entendidas por todos los usuarios, con capacitaciones periódicas para lograr su efectiva aplicación. Métodos técnicos de seguridad y normas internas de regulación necesariamente deben caminar de la mano, para que ningún extraño los arrebate.
(*) Abogado, especialista en Derecho Informático
