5 minute read
Seguridad y acceso remoto
Fernando Sevillano
Director de Consultoría en Ciberriesgos
Advertisement
WILLIS T O W E R S WATSON
willistowerswatson.com
Seguridad y acceso remoto
Informe sobre compañías medianas En una situación tan anómala y desconocida como la que estamos pasando, muchos de los equipos de Sistemas y Ciberseguridad se han reinventado para cumplir con los nuevos niveles de servicio. Han tenido que diseñar, activar, desplegar, mantener y administrar —en un tiempo récord— sistemas y arquitecturas que facilitan a los empleados diferentes capacidades de acceso remoto seguro, así como la posibilidad de interactuar y trabajar de forma colaborativa accediendo a sistemas de información on-premise y cloud.
Uno de los resultados de la pandemia ha sido el incremento exponencial del teletrabajo y la consiguiente concurrencia masiva en remoto de usuarios a los sistemas corporativos. Tras la declaración del estado de alarma, y fruto del contacto directo con nuestros clientes, diseñamos un marco de trabajo que permitía que estos autoevaluaran su nivel de madurez respecto al acceso remoto seguro. Más de setenta compañías medianas españolas de diversos sectores, con una facturación media de 180 millones de euros, ya lo han utilizado, lo que nos permite extraer conclusiones y obtener una pequeña radiografía de cuán preparadas están ante esta nueva forma de trabajar, que puede haber llegado para quedarse.
Este estudio se ha basado en la autoevaluación de veinte controles, agrupados en cuatro grandes subdominios relacionados con el acceso remoto seguro: sistemas, arquitectura, políticas y procedimientos internos, y formación. Según los resultados, las empresas españolas están llevando a cabo buena parte de las actividades y los controles para realizar un acceso remoto seguro a sus activos, obteniendo un 65% en cuanto al nivel de madurez. Las de servicios profesionales, por lo general, han sido las que han obtenido mejores puntuaciones. Por el contrario, aquellas en las que el núcleo del negocio está ligado a una actividad industrial concreta son las que tienen un mayor margen de mejora. Además, se ha comprobado que el factor humano (por omisión, error, negligencia, mala fe…) está detrás de un 60% de los incidentes de ciberseguridad. Pese a ello, cuestiones como el diseño de políticas y procedimientos, o la formación, resultan fundamentales para disminuir la incidencia de ese factor. Por otro lado, hemos constatado también que las compañías analizadas invierten la mayor parte de los recursos en tener listos y funcionales sus sistemas y arquitecturas para el acceso remoto seguro frente a estas cuestiones.
SISTEMAS
Uno de los subdominios analizados está relacionado con el tipo de tecnología que se utilizaba para el acceso a los sistemas on-premise (servidores VPN, servicios RDP, etc.) y a los que son consumidos como servicio (SaaS, IaaS o PaaS). En este último punto estudiamos la utilización de sistemas tipo PAM (privileged access management) o CASB (cloud access security management), que normalmente se integran por delante de los diferentes servicios que proporcionan los proveedores cloud y que aseguran que las políticas de identificación, autenticación, autorización y auditabilidad (IAAA) se lleven a cabo correctamente. Es decir, que el acceso a recursos no propietarios (en este caso, siempre remoto), se ejecute de forma segura. En esta área, el nivel de madurez medio obtenido ha sido del 74%. En cualquier caso, el tiempo transcurrido desde el inicio del estado de alarma hasta la actualidad ha sido aprovechado
para que las organizaciones consoliden, afiancen y configuren los sistemas de acceso remoto de forma más segura. De hecho, las evaluaciones realizadas en las semanas finales han mostrado un mayor nivel de madurez que las iniciales. Es evidente que las empresas españolas han tenido que reinventarse desde el punto de vista de la gestión de los sistemas corporativos, así como en lo que se refiere al acceso a ellos.
ARQUITECTURA
El subdominio de arquitectura del sistema (con un nivel medio del 65%) ha servido a las empresas para evaluar, entre otros factores, hasta qué punto sus sistemas desplegados estaban correctamente configurados, bastionados, protegidos e integrados con otros sistemas. Es importante destacar que la utilización del doble factor de autenticación es una práctica que todavía no está muy extendida, con un nivel de aplicación medio del 42%. La incorporación de este doble factor reduce sensiblemente el impacto de un robo de credenciales o de contraseñas. De hecho, la mayoría de los proveedores de dispositivos de electrónica de red o de servidores VPN permiten habilitar esta funcionalidad de forma sencilla.
POLÍTICAS Y PROCEDIMIENTOS
En lo referido al subdominio de políticas y procedimientos internos, las empresas han obtenido un nivel medio de madurez del 59%. Un área que está aún por desarrollar (con un nivel de madurez de solo un 33%) es la de cuantificación del ciberriesgo, que permite conocer el impacto y las posibles consecuencias financieras de un incidente de ciberseguridad sobre la cuenta de resultados de la organización. Este tipo de iniciativas aportan mucho valor pues complementan las tradicionales evaluaciones de ciberriesgos (normalmente cualitativas) y ayudan a actualizar los planes de respuesta ante incidentes. Adicionalmente, en muchos de los informes personalizados que hemos elaborado se ha recomendado estructurar o actualizar políticas y procedimientos que ayuden a los administradores a gestionar de forma más eficiente los sistemas de acceso remoto seguro, así como a diseñar y comunicar estándares que ayuden a los usuarios a utilizarlos de forma óptima.
FORMACIÓN
Por último, hemos constatado que las organizaciones han creado interesantes iniciativas formativas (whitepapers, infografías, vídeos, manuales de mejores prácticas, etc.) que han servido de guía a los empleados para adoptar la forma más segura posible de acceder en remoto a los activos. Adicionalmente, en la mayoría de los casos, se han realizado comunicaciones específicas sobre las amenazas cibernéticas emergentes durante la pandemia (incremento del phishing, espacios de descarga de apps maliciosas, etc.). El nivel de madurez medio en esta área ha sido del 63%. Como conclusión, en general, los datos del análisis permiten afirmar que las organizaciones han respondido de forma adecuada a estos retos. En cualquier caso, a través del marco de trabajo que hemos definido, muchas empresas han descubierto que todavía tienen un gap que cubrir para incrementar la seguridad del acceso remoto a sus activos. Sin duda, para cubrir esa brecha hay que seguir bastionando los sistemas de acceso remoto, diseñando políticas y procedimientos, formando…, sin olvidar que la transferencia del ciberriesgo puede y debe complementar su gestión integral.
