“I keep six honest serving-men
(They taught me all I knew);
Their names are What and Why and When
And How and Where and Who.”
Más de uno habrá oído hablar del Método Kipling. Su planteamiento, a grosso modo, aparece descrito en un conocido poema que el autor, Rudyard Kipling, publicó hace ahora más de un siglo. Sus versos, cargados de simbolismo, han servido de base a multitud de estudios y trabajos relacionados con el análisis y diagnóstico de numerosos problemas.
El conocido como el método de los “Seis sirvientes” plantea las principales preguntas que debe hacerse todo aquel que quiera afrontar un determinado enigma desde diferentes perspectivas: Quién, Qué, Por qué, Cuándo, Dónde y Cómo. Todas son preguntas evidentes, aunque las respuestas no siempre son sencillas.
En nuestro ejercicio queremos enfocar el uso del método en torno al modelo de ciberseguridad que la transformación digital ha traído consigo: de los perímetros fortificados al Zero Trust. Para hacerlo más simple, hemos adaptado las preguntas, intentando así que las propuestas puedan sonar consistentes. Sin embargo, y antes de proseguir en el ejercicio, debemos avisar de que las repuestas pueden ser múltiples.
¿A quién se debe proteger?
La respuesta a esta pregunta resulta bastante obvia, al menos en principio. Es evidente que los usuarios son los principales actores de cualquier medida de ciberseguridad y por tanto resulta indispensable tenerlos claramente identificados. Pero ¿cómo se reconoce a un usuario? La respuesta más habitual ha sido por “su identificador y su contraseña”. Sin embargo, ambas características se han mostrado a menudo insuficientes si alguien, con intereses espurios, conseguía conocer los dos parámetros.
La identidad de los usuarios es un problema largamente debatido. Desde hace tiempo, el uso de Gestores de Identidad unidos a mecanismos de doble o triple autenticación (MFA) copan una parte importante del mercado. Con ellos se consigue introducir elementos de control adicionales que reducen la problemática de la suplantación de identidad que tantos quebraderos de cabera generan a nuestros sistemas. Por eso, el quién es tan fundamental a la hora de gestionar el nuevo modelo de seguridad.
¿Qué se debe proteger?
También la respuesta a esta pregunta resulta más o menos evidente. Claramente se trata de los dispositivos, sean del tipo que sean —terminales móviles, puestos de trabajo, dispositivos IoT, servidores, equipos de red, etc.—, las aplicaciones y los datos.
Cuando los usuarios tratan de acceder a un servicio —conformado por dispositivos, aplicaciones y datos—, el sistema debe velar por que lo hagan de forma segura, es decir, que todos ellos estén identificados y reconocidos por el sistema. Y es que, precisamente, uno de los principales problemas de ciberseguridad en la actualidad es lo que se conoce como Shadow IT bajo el cual los equipos, las aplicaciones y las fuentes de datos no quedan registradas por los sistemas de seguridad.
El uso de entornos MDM y servicios de identificación de aplicaciones son clave a la hora de establecer medidas de protección dirigidas a solventarlos. También los productos de cifrado de información juegan un papel importante. Numerosas soluciones incorporan actualmente mecanismos y herramientas para asignarles privilegios que resultan indispensables en el despliegue de una nueva arquitectura de ciberseguridad.
¿Cuándo se tiene que proteger?
Las medidas de ciberseguridad deben activarse cuando alguien intenta acceder a los servicios. Ahora bien, ¿pueden establecerse mecanismos de control sobre los intervalos de tiempo en los que se puede acceder a un servicio? La respuesta es sí. Precisamente esos mecanismos de control temporal permiten discriminar situaciones que pueden parecer anómalas, como el acceso a un servicio a horas poco habituales o la ejecución de aplicaciones poco o nada utilizadas por el usuario.
El control de los parámetros temporales, así como la modelización del comportamiento de los usuarios resultan indispensables cuando se trata de preservar la seguridad de una infraestructura en tiempo real. Por eso el mercado comienza a incorporar la contextualización como criterio de seguridad.
¿Dónde hay que activar la protección?
El hecho de que un dispositivo se encuentre en la red interna de una compañía no le confiere ninguna propiedad en cuanto a su seguridad. Mucho menos cuando el dispositivo se encuentra en el exterior o incluso en una localización poco habitual. Los servicios relacionados con la localización resultan fundamentales a la hora de discriminar la accesibilidad de un dispositivo a unos recursos protegidos. Pero no son suficientes.
A menudo, la microsegmentación de redes, con sus propios privilegios de acceso, constituyen una forma complementaria de proteger una infraestructura. Por eso, los mecanismos de ciberseguridad deben contemplar soluciones que afronten este tipo de situaciones y que frecuentemente se dan en organizaciones poco segmentadas.
¿Por qué?
La ciberseguridad pretende proteger a una organización del uso ilícito de sus recursos. Toda acción tendente a atenuar esa posibilidad se convierte en una razón de suficiente peso para su utilización. Así pues, las medidas de protección, más allá de evitar que unos servicios sean utilizados para fines no contemplados, deben actuar identificando actividades que puedan ser motivo de sospecha, al tiempo que reaccionan ante ellas.
La disponibilidad de herramientas de monitorización, clasificación o correlación de eventos son fundamentales cara a plantear un modelo de seguridad completo. Los nuevos modelos basados en SIEM que utilizan técnicas de Inteligencia Artificial son un claro ejemplo.
¿Cómo se activa la protección?
Tradicionalmente hemos fortificado nuestras organizaciones través líneas de protección expresadas en términos de niveles de cortafuegos. La teoría era clara: todo lo que estaba dentro de un perímetro era seguro, mientras que aquello que provenía del exterior se consideraba cuanto menos sospechoso.
El modelo ha funcionado durante algún tiempo. Sin embargo, la aparición de mecanismos para la mejora de la productividad, avalados con nuevos modelos de trabajo, nos ha impulsado a reconsiderar el problema. Los servicios en la nube y el despliegue de dispositivos IoT han contribuido a consolidar este nuevo paradigma. Ahora la pregunta que se hacen los expertos en ciberseguridad es si de verdad se puede confiar en algo o en alguien.
La respuesta de estos mismos expertos es que no. El paradigma “desconfía de todo” se ha conformado como el nuevo karma del mercado. Dicho de otra forma, “la confianza ha pasado, en sí misma, a ser síntoma de vulnerabilidad”.
Camino hacia el Zero Trust
Nuevos enfoques están surgiendo en torno al paradigma de la desconfianza. Uno de estos enfoques es el que se conoce como Zero Trust. Se trata de un modelo axiomático en el que cualquier elemento puede ser percibido como una amenaza.
El Zero Trust aborda la problemática de los usuarios, los dispositivos, las aplicaciones, los datos y las redes desde una visión ciertamente paranoica en la que la confianza no forma parte del vocabulario del sistema. Todo elemento es contrastado frente al escenario presente y en función de los criterios definidos para él, es habilitado, o no, para la ejecución de una acción.
Algunos podrían decir que estamos pasando de un extremo al otro. La realidad es que lo que se está haciendo es adaptar el modelo a un nuevo escenario en el que los perímetros se han difuminado. La ubicuidad de usuarios y servicios se ha convertido en una práctica habitual. Por eso, Zero Trust se consolida como una nueva forma de afrontar la nueva problemática de la ciberseguridad con la que numerosos fabricantes tecnológicos comienzan a plantear su oferta.
La filosofía tras el modelo propuesto reside en la gestión de la identidad de los usuarios, de los dispositivos, de los privilegios de ambos, del análisis de comportamientos de aplicaciones y usuarios, del cifrado de la información o del tráfico de la red y la correlación de eventos. Todos ellos forman parte del proceso de decisión en cuanto a la confiabilidad en un sistema. Se trata de elementos que, de alguna manera, plasman las respuestas al problema planteado con el Método de Kipling.
Las propuestas, pues, están ahí, aunque como decíamos al principio, pueden no ser únicas. Quizás, refiriéndonos a otra parte del poema, —But after they have worked for me, I give them all a rest— debiéramos ser ciertamente prudentes. Llegado el momento, a lo mejor sería preferible poner esos dos versos en cuarentena… por si acaso.