En materia de ciberresiliencia, Sebastián Arietti, Socio Gerente de Plug Zone, quien lidera el equipo técnico de Operaciones y Proyectos en la compañía, tiene un lema, que comparte con el resto de su staff y con los clientes: “No se puede proteger aquello que no se puede ver”. La visibilidad está en el centro de cualquier iniciativa de ciberresiliencia, arrancando por las aplicaciones que hay desplegadas en la organización, todos los usuarios, todas las cuentas y todos los accesos a esas aplicaciones.
“Hay grandes empresas que pueden tener una aplicación en funcionamiento, aunque sea pequeña y solo acceda una veintena de usuarios, que, sin embargo, resulta crítica para la operación. Puede que Seguridad Informática no esté al tanto de su existencia, o que solo se haya recibido un correo informando de su instalación”, explicó Arietti. “Por lo tanto, el primer paso es que la organización se ordene y se alinee con las directivas del área de Seguridad. Es fundamental que dicha área gestione todas las aplicaciones, tenga pleno conocimiento de ellas y pueda auditarlas y controlarlas”.
En este contexto, el primer gran enemigo de la visibilidad es la llamada Shadow IT: apps o servicios de software que son desplegados sin conocimiento de las áreas de TI o de Seguridad, o con un conocimiento muy marginal. El uso de estas aplicaciones “en la sombra”, no autorizadas, puede tener un impacto significativo en la organización. “Ahí es muy importante la bajada de la corporación: qué procesos se deben seguir cuando se incorpora una aplicación en la empresa”, dictaminó Arietti, y explicó: “Tenemos clientes con 200 aplicaciones diferentes, y todas esas aplicaciones deben ser gestionadas, documentadas y tienen que cumplir procesos de seguridad”.
Recertificar para ordenar
Entre los procesos antes mencionados está la recertificación, que es una revisión exhaustiva de las identidades digitales en una organización y su correspondencia con personas o entidades reales, además de su relación con las cuentas que esas identidades tienen en las aplicaciones, y los accesos que esas cuentas tienen (permisos), de acuerdo con su rol en la organización, a los módulos o capacidades de las aplicaciones.
«El primer paso es que la organización se ordene y se alinee con las directivas del área de Seguridad. Es fundamental que dicha área gestione todas las aplicaciones…»
La realidad es que el llamado “robo de identidades” es la herramienta de moda entre los cibercriminales, porque ingresar con credenciales válidas (que no fueron debidamente recertificadas y quedaron en manos de alguien que no trabaja más para la organización, o forman parte de sistemas que ya no se usan pero que aún tienen asociadas cuentas de acceso, por dar algunos ejemplos) no dispara ninguna alarma de ciberseguridad. No hay intrusión: es como si el ladrón tuviera copia de las llaves. “Podés tenerun SOC las 24 horas controlando diez consolas diferentes de seguridad, pero en ninguna va a saltar la alerta de que alguien que ya no trabaja para la compañía está accediendo remotamente, leyendo o modificando los datos de la organización”, dijo el ejecutivo.
Para Arietti, no acatar las prácticas de gobernanza o acatarlas pobremente a través de herramientas inadecuadas (o insuficientes para el volumen de identidades y aplicaciones que tiene esa organización) plantea un riesgo, que aumentará en relación con la criticidad de la aplicación que se esté considerando y la cantidad de usuarios. Con todo, el líder técnico de Plug Zone asume que las aplicaciones más utilizadas, donde se da una gran cantidad de usuarios que acceden a una multitud de prestaciones, por lógica tienen la entidad suficiente como para que el riesgo sea alto.
Un breve listado de esos riesgos habla de fuga de información, cambios en las especificaciones de productos o en la cantidad que figura en stock, acceso de personal no autorizado a información sensible, borrado de información, interrupción de procesos esenciales (como hacer facturas o generar recibos), caída de sistemas, estafas… con el consiguiente costo en términos de recuperación, punitorios y deterioro de la imagen de la empresa.
En el caso de Plug Zone, la herramienta que habilita este tipo de gobernanza se llama Rolix: es un desarrollo propio, fruto de veintiséis años de experiencia en este mercado, que facilita las tareas concernientes a:
- Campañas de recertificación.
- Cumplimiento de auditorías y normativas
- Optimización de licencias
- Ingeniería de roles (RBAC)
Consultado sobre la cantidad de usuarios a partir de la cual tiene sentido aplicar este tipo de herramientas, Arietti consideró: “Hoy las empresas miran mucho lo operativo. Vale decir: estiman el uso de una herramienta como Rolix cuando la gestión de identidades en una gran cantidad de usuarios empieza a afectar la operación, cuando esa gestión no puede ser absorbida por la gente de TI o Ciberseguridad. Pero creo que esa gobernanza, que es donde entra el juego Rolix, debería llegar mucho antes que el problema operativo, porque este tipo de herramientas ayuda realmente a ordenar y a visibilizar los elementos que hay en la organización, resultando útil aunque la empresa no tenga muchos usuarios. En ese caso no hablamos de empresas de miles de usuarios, sino de 100 o 200”. Lo cierto es que, por ahora, en el año y medio de andadura de Rolix en el mercado, todavía no abundan los despliegues de menor escala.
La herramienta adecuada
De más está decir que, la alternativa a Rolix suele ser una o varias planillas de Excel. Para entender lo inadecuado que puede resultar este tipo de gestión, el ejecutivo de Plug Zone propone un ejercicio: “Digamos que una gran empresa tiene 20.000 empleados y en promedio cada uno de ellos tiene acceso a 20 aplicaciones diferentes. Esto resulta en 400 mil cuentas. Pero a su vez cada cuenta posee en promedio 10 permisos diferentes, por lo que el número de relaciones se multiplica. Hablamos, tal vez, de unos cuatro millones de permisos. Son cuatro millones de permisos que hay que gestionar y gobernar para esa empresa, a lo largo del tiempo, dinámicamente. Ese es el volumen de información que maneja Rolix. A esto apunta la visibilidad”.
«Hoy las empresas miran mucho lo operativo. Vale decir: estiman el uso de una herramienta como Rolix cuando la gestión de identidades en una gran cantidad de usuarios empieza a afectar la operación (…) Pero creo que esa gobernanza, que es donde entra el juego Rolix, debería llegar mucho antes que el problema operativo…»
En este orden, lo primero que debe ser relevado, con la ayuda de Rolix, es el catálogo de identidades, cuentas y accesos. No se trata solo de empleados, sino también de usuarios externos, proveedores y clientes que acceden a los sistemas. La lista de personas físicas o entidades digitales (sistemas que hablan con otros sistemas, como puede ser el caso de un agente de Inteligencia Artificial) puede venir de la nómina de RRHH, pero también de la base de datos de Compras, de Sistemas, del relevamiento manual de un jefe de área. “Por eso es necesario un paquete de consultoría inicial de implementación, donde se configura Rolix para que pueda ir tomando todo ese catálogo”.
En el caso de la recertificación de accesos, la validación de los permisos que un empleado tiene en determinada aplicación puede ser realizada por su jefe inmediato, de acuerdo al rol que ese empleado desempeñe. “A través de un portal, le llega una campaña de recertificación de los permisos de SAP, por ejemplo. Se le informa sobre los permisos de acceso que tiene actualmente el empleado, y se le consulta si es correcto. El jefe aprueba o deniega esos permisos, y estas afirmaciones van con su firma digital, quedando como evidencia. Estas campañas pueden repetirse anualmente, por ejemplo”.
“El proceso de recertificación está implementado en Rolix. Es un proceso que uno configura y lanza, y esto llega a todas las áreas que se indiquen, y a todos los responsables”, agregó Arietti. Rolix también puede completar las acciones necesarias para “denegar” efectivamente los accesos a las aplicaciones, incluso dando de baja cuentas. Esta “limpieza” tiene un beneficio colateral, que es el ahorro de las licencias asociadas a esas cuentas que son eliminadas. En general, el ordenamiento que habilita Rolix, al dar visibilidad a todo el catálogo de identidades, cuentas, aplicaciones y accesos, contribuye al cumplimiento de auditorías y normativas, la citada optimización de licencias y la ingeniería de roles (que minimiza los riesgos al alinear los privilegios de acceso con las necesidades de cada rol específico).
La idea final es que, con el tiempo, los privilegios se asignen en función de roles funcionales definidos para el negocio. “Si mañana ingresa a la empresa un analista de Marketing, ya tendrá gestionada una base de permisos que se corresponden con ese rol. Como si fueran plantillas”, planteó el ejecutivo.
