El tiempo en el que estamos viviendo y el cambio de paradigma durante la pandemia de COVID-19 obligó a las organizaciones a pasar de trabajar en oficinas, a hacerlo de manera remota desde casa, lo cual ha repercutido los niveles de seguridad que se tenían, ya que han aumentado las vulnerabilidades a las que se está expuestos.
Uno nunca sabe si personas ajenas que se conecten a la red de casa pueden tener un malware o alguna herramienta que comprometa la seguridad de nuestra información o si hackers puedan acceder a nuestros datos personales y hacer mal uso de ello. Pero todo podría cambiar si exisite la cultura de prevención por parte de cada integrante de la organización fuera y dentro de ella.
¿Tú empresa tiene el pensamiento de prevención y monitoreo? En Panda Ancha platicamos con Antonio Galindo, VP de ingeniería en BEDU y nos habló sobre el modelo Zero Trust, el cual promete ayudar a las empresas a prevenir ataques de seguridad informática y acá te contamos todo sobre ello.
Imagen vía Depoitphotos
Tal vez te interese...
Avast: 500,000 sextorsiones en enero 2021 | PandaAncha.mx
www.pandaancha.mx
Leer artículo
¿Qué es el Modelo Zero Trust?
Este modelo de ciberseguridad busca establecer seguridad en una organización y su pilar fundamental es: no confiar en nada ni en nadie. Desde el director general de una compañía hasta el personal de seguridad de la puerta, son responsables y por ello es necesario establecer ciertos lineamientos para que la seguridad sea parte de la cultura de la organización y sea una práctica, no solo una acción.
Empresas como IBM, respaldan este modelo, y lo que busca es que las tecnologías de empresas, como proceso que implementan, tengan una capa de seguridad.
¿Para qué tipo de empresas aplica el Modelo Zero Trust?
Este modelo puede aplicarse a cualquier tipo de organización, no necesita ser una gran empresa o con enfoque de tecnología. Toda organización tiene datos que debe de resguardar, como la nómina, los ingresos que tiene, los egresos, contratos. Por ejemplo, una empresa pequeña que está comenzando a comercializar sus productos por internet, o la gran empresa que da servicios de nube, todos tenemos oportunidad de implementar esta estrategia de seguridad.
Imagen vía Depositphotos
¿Cómo es su implementación?
Primer paso: Nunca confiar
Esta premisa va dirigida a todo el personal, ya que todos los integrantes de una organizaciones son responsables de la seguridad de esta. Cada quien tiene un rol distinto, y debe tener una manera de actuar en su propia labor habitual con cautela y responsabilidad. Muchas veces se tendrá que capacitar, dar seguimiento y hacer modificaciones para llevar a cabo los procesos y uso de herramientas en el día a día.
Por ejemplo, de una persona encargada de la recepción, debería tener la precaución de saber qué tantos datos le puede entregar a las personas que llegan a hacer preguntas sobre la compañía o de los integrantes que la componen, por ejemplo, en una llamada no entregar información personal extra que pueda ser usada de mala forma por un extorsionador y evitar fraudes.
Otro ejemplo sería el cómo cada quién se deshace de los archivos digitales y físicos, pues un contrato o archivo de gran importancia debe de tratarse con cautela, siempre existen riesgos, y eso es lo que debe de permear en la mente de los trabajadores.
Una vez que todos son conscientes en la organización de esos retos de seguridad poco a poco se convierte en parte de la cultura del día a día y, en la medida de lo posible, ayuda a evitar poner en riesgo a la empresa en la que radica.
Imagen Vía Depositphotos
Segundo paso: Acceso limitado
Posteriormente lo importante sería implementar acciones que minimicen los niveles de privilegio que tienen todas las personas en la organización a los assets que están disponibles, ya sean físicos o digitales, como bases de datos, archivos, repositorios de código, etc.
Para ello es necesario primero establecer:
- ¿Cuáles son esos assets que tiene la organización?
- ¿Qué nivel de encriptación tiene?
- ¿Cuáles son los puntos de acceso que tenemos a ellos?
- ¿Cuáles son las personas externas e internas que están involucradas?
Con base en las respuestas a las anteriores preguntas es cuando se puede analizar y tomar decisión sobre la delegación de quién va a tener acceso, a qué nivel y cada cuándo.
En este sentido también sería importante trabajar la habilidad blanda de la empatía con todos los colaboradores para saber cómo transmitirles la importancia de resguardar los assets físicos e intangibles de la organización, así como entender al colaborador, cuáles son las preocupaciones cuando requieren restringir accesos a ciertas herramientas, que se puede tener un mínimos acceso a la base de datos.
Imagen vía Depositphotos
Tercer paso: Visibilidad y monitoreo
El siguiente paso va relacionado a cómo se da visibilidad y cómo se atienden los temas de seguridad en la organización. Esto quiere decir, saber reconocer, por ejemplo, quién entra y sale de nuestra red, qué archivos se están moviendo, quién los está moviendo, cuándo.
Esto nos permitirá visualizar que todos los servicios de la organización están disponibles en el momento que se requieren, y que en caso de que exista alguna falla en cualquier servicio o assets, y así, siempre tener una forma de garantizar la continuidad de negocio.
Algo igual de importante es el monitoreo, ya que es vital estar inspeccionando constantemente que los niveles de seguridad que ya se acordaron en la organización se lleven a cabo por todos para asegurar una verdadera permeabilidad de la seguridad de la empresa y de sus integrantes.
Imagen vía Depositphotos
Cuarto paso: Gestión
Este último paso tiene que ver con tener una gestión centralizada, donde se tengan las herramientas que permitan tener el inventario de todos los assets disponibles, como licencias, computadoras, documentos, bases de datos, así como las configuraciones a los equipos para estar resguardando que eso siempre esté confiable.
Un punto a tratar es establecer el personal que va a estar encargado del despacho de seguridad informática en la organización, cómo se le prepara para que esté habilitado para cubrir las distintas perspectivas que se van a estar revisando en el día a día ante esta función.
Imagen vía Depositphotos
Evolución de seguridad
Una vez que se comienza a permear la cultura en la organización y se implementa la primera versión de controles que sean necesarios, todo se convierte en un ciclo donde siempre se está evaluando los criterios de seguridad en las personas, equipos, servicios, contratos, de modo de que puedas decir que el servicio está siempre disponible, es confiable y tiene plan de contingencia en caso de desastre.
Ya que se puede ver qué tipos de cambios hacer a la infraestructura de red, así como saber qué otras herramientas hace falta implementar para tener un siguiente nivel de cumplimiento para darle una mayor seguridad a la organización.
De este modo, se va a ir sofisticando la seguridad cada vez más, conforme vaya avanzando el nivel de madurez de la propia organización. Entre más esté permeada la cultura y más protocolos e implementación de herramientas de seguridad se llevan a cabo, mayormente los integrantes podrán estar tranquilos.
Prevención ante todo
Es preferiblemente aconsejable tomar medidas de seguridad antes de que sea demasiado tarde. Si por fortuna se comienza a implementar el Modelo Zero Trust previo al desastre, se puede tener un plan de recuperación, ya que saldría muy caro, además de que en ocasiones es muy difícil recuperar información perdida.
Además que saber que nada garantiza una seguridad al 100%, eso es algo que debe trabajarse y reforzarse hasta un punto en el que se reduzca lo mayor posible cualquier oportunidad de riesgo.
"Es importante siempre actualizarse sobre qué nuevos ataques hay, nuevas vulnerabilidades descubiertas y todo el tiempo estar aprendiendo para aplicarlas y vivir más tranquilos." Antonio Galindo, VP de ingeniería en BEDU
Becas al 100%
Sabemos que para las empresas es importante siempre contar personas expertas en el tema de ciberseguridad, por ello te compartimos información sobre becas al 100% patrocinadas en alianza de Bedu con Santander, para que cuentes con la formación y habilidades necesarias sobre este tema.
En este curso podrás ver cómo otras marcas han implementado el Modelo Zero Trust y podrás tener a un experto siempre acompañándote en el proceso de aprendizaje para aprender nuevos conceptos y saber cómo se aplican, así como conocer nuevas herramientas para llegar a implementarlo en tu vida y organización u organizaciones en las que transcurras.
Estas becas están dirigidas a hombres o mujeres egresados o cercanos a terminar sus estudios, y puedes aplicar y leer más acerca de esta beca dando click aquí.
