Minimalismo en la ciberseguridad Ciberseguridad

Tres claves minimalistas para mejorar la seguridad en la empresa

15/07/20 6 min. de lectura

El minimalismo es una corriente que ha ido ganando gran importancia en estos últimos años. Empezando por su definición, el término minimalismo, en su ámbito más general, es la tendencia a reducir a lo esencial, a despojar de elementos sobrantes.

 A pesar del éxito de Marie Kondo en Netflix , una vida minimalista no consiste en llenar bolsas de basura con ropa sin usar, libros sin leer, llaveros y regalos de lo más variopinto, o en estar sentados en el suelo en medio de un salón diáfano con decoración japonesa. La verdadera esencia consiste en centrarnos en lo importante, en lo que nos aporta valor a cada uno de nosotros y que muchas veces no somos capaces de descubrir debido al “ruido” que nos rodea.

Todo ese “ruido” se ha trasladado al mundo digital en forma de notificaciones constantes de grupos de Whatsapp, exceso de videoconferencias, documentos sin leer y en tener instaladas 60 aplicaciones que ya no sabemos para qué sirven. Esto tiene una correspondencia directa en el aumento de distracciones y descenso de rendimiento. Además, -y ahora entramos en el terreno de la seguridad informática- provoca otro daño colateral del que se habla poco, y es el aumento exponencial a ciberamenazas y por tanto la posibilidad de sufrir un ciberincidente.

Existen tres aspectos que muestran como un enfoque minimalista puede derivar en la consecución de una empresa más resiliente y preparada para los nuevos retos de seguridad de ésta era digital.

1. Superficie de ataque 🥊

La superficie de ataque es la totalidad de elementos susceptibles de tener vulnerabilidades que pueden ser explotadas por un incidente natural o por un ataque deliberado.

El aumento de la digitalización ha propiciado que aumente exponencialmente la superficie expuesta a internet. Tanto a nivel empresarial con Webs corporativas, webs de campañas de marketing expuestas a internet, multicanalidad, el universo de APIs, y el aumento de endpoints en las empresas, como a nivel personal con los múltiples dispositivos conectados a internet.

Tenemos que convivir con esta nueva realidad siendo conscientes que a la vez que creamos nuevas soluciones, necesariamente tenemos que desechar soluciones anteriores. El adelgazamiento de la estructura digital es el gran olvidado de la transformación digital, es esa grasa que dificulta sentirnos ligeros y avanzar convenientemente. Es el anti-agile. Lo importante en este caso es aplicar las mismas recetas que el minimalismo nos ofrece para nuestra vida doméstica:

  • Hacer un inventario completo de activos digitales, segmentando por categorías evitando dispersión.
  • Evaluar cada aplicación y funcionalidad una por una, “tocarla” y sentir cual nos hace “feliz” y aporta valor dentro de la empresa.
  • Incluir las aplicaciones que no generan valor en el plan general de decomisados y eliminación de activos. No solo los activos obsoletos generan un aumento del riesgo, también el conjunto de aplicaciones con menos uso, más minoritarias y por tanto en cierta medida abandonadas a los procesos de seguridad de la empresa.

El objetivo es cerrar todas las puertas laterales que los cibercriminales buscan para comprometer redes corporativas.

2. Control de accesos y cuentas privilegiadas 📱

Con la implantación de nuevos modelos colaborativos, además de los accesos tradicionales a aplicaciones de negocio, cuentas de aplicación y de sistemas, encontramos que cada uno de nosotros gestionamos un ilimitado número de recursos compartidos, Sharepoints, canales y accesos individuales a ficheros con datos personales y/o confidenciales. Todo esto demanda que los equipos de control de accesos y gestión de la identidad encuentren nuevas alternativas para simplificar la revocación de cuentas y recursos compartidos.

La clave aquí el reto no consiste en ordenar y limpiar la casa mientras los trastos vuelven a acumular polvo día a día. La clave radica en eliminar continuamente todos los recursos que ya no aportan valor. También aquí los usuarios tienen que ser la primera línea de defensa, borrando los recursos compartidos que no son necesarios. Para ello tienen que recibir la concienciación y herramientas que les permita gestionar esta complejidad, consiguiendo hacer sencillo lo aparentemente complejo.

Está claro que a nadie le gusta ser “cómplice” de un incidente de seguridad, pero la mayoría de las veces los atacantes se aprovechan de ficheros abandonados con información sensible o credenciales válidas de acceso para conseguir sus objetivos.

3. Aplicaciones y programas sin uso ⚙️

La práctica totalidad de los empleados en una empresa tienen a su disposición uno o varios dispositivos móviles. Todos estos dispositivos es necesario parchearlos en varios niveles: versión de Android/iOS, todas y cada una de las apps instaladas, certificados digitales, canales VPN y mecanismos de autenticación, e incluso a nivel hardware dónde se han localizado amenazas emergentes.

Nuevamente es necesario un ejercicio coordinado entre IT, Ciberseguridad y el usuario final con la finalidad de identificar aplicaciones, programas, extensiones que no se utilizan pero aumentan considerablemente la carga de mantenimiento que puede terminar derivando en una vulnerabilidad abierta que pueda ser explotada por el atacante para comprometer un dispositivo de usuario.

Cada vez es más frecuente en las empresas lancen campañas de concienciación sobre phising a sus clientes y empleados. Siendo este un aspecto vital, no es menos importante que posteriormente a una posible infección inicial por Malware en un puesto de usuario, un posible atacante puede escalar privilegios o hacer movimientos laterales aprovechando una vulnerabilidad de otro puesto de usuario o servidor. Cuantas menos aplicaciones, programas y recursos inservibles estén en ese momento a disposición del posible atacante, mayores serán las posibilidades de acotar el impacto de una potencial intrusión.

Aprovechando los conceptos del minimalismo existencial, estaremos en disposición de que nuestra organización sea un entorno más seguro, más orientado a resultados, y las personas sintamos una reducción en la ansiedad que provoca la complejidad y la multitarea descontrolada:

  1. Enfoque en lo esencial
  2. Menos es más
  3. Calidad frente a cantidad
  4. Organización sin consumo de tiempo.
  5. Disfrutar del silencio

En definitiva, una organización dónde la ciberseguridad no es intrusiva, las aplicaciones se hacen invisibles, los procesos se simplifican y la tecnología está al servicio de las personas.

Ismael Alonso

Santander Global Tech

Soy ingeniero superior informático y trabajo en ciberseguridad en el área de respuesta global a incidentes. Además me apasiona participar en proyectos disruptivos en los que aportar nuevas ideas y llevarlas a la realidad. Me encanta el deporte y la música. Continúo tocando en una charanga con mis amigos del pueblo y no me pierdo ningún partido de fútbol de mi equipo del barrio.

 

Otros posts