La globalización primero y la virtualidad masiva después fueron disparadores de un cambio de época. El envío de archivos se vio modificado como otros tantos aspectos de la vida cotidiana. En ese cambio, apareció una nueva amenaza: los hackeos
Por Ricardo Rodrigues, Ingeniero de Sistemas Senior en Progress Latinoamérica
El modelo prepandemia de seguridad era mucho más sencillo y algunas empresas lo extrañan. Si una persona estaba trabajando en archivos confidenciales, probablemente estaba usando una red interna de la empresa. Eventualmente, podía además caminar unos pasos y consultar al equipo de TI ante una duda y hasta podía imprimir el archivo y personalmente solicitar la firma de un director.
La globalización primero y la virtualidad masiva después fueron disparadores de un cambio de época. El envío de archivos se vio modificado como otros tantos aspectos de la vida cotidiana. En ese cambio, apareció una nueva amenaza: los hackeos. Se estima que en Latinoamérica durante el primer trimestre de 2021 hubo siete mil millones de intentos, según registró Kaspersky. Algunos fueron de una extrema sensibilidad a nivel mundial como la irrupción del Grupo Lázaro en el Banco de Bangladesh, los ataques a Colonial Pipeline en Estados Unidos o la filtración en la plataforma secreta de la OTAN.
Los ejemplos son claras muestras de que todos los organismos públicos, las compañías privadas y las instituciones internacionales son potenciales víctimas. Una de las formas que tienen los secuestradores de datos para ingresar es tomar el control de un dispositivo a través de Internet. En tiempos de trabajo remoto, si la computadora de donde se envía material confidencial antes navegó en páginas donde pudo haber sido afectada por un virus, toda una organización puede verse afectada. Una vez que el problema se instala, suele ser difícil eliminarlo. De ahí nace una de las preguntas que invadió a las organizaciones durante este tiempo: ¿tenemos un sistema lo suficientemente paranoico como para garantizar la seguridad de todos nuestros archivos?
En primer lugar, hay que entender que cada organización tiene sus propios requisitos de seguridad y no existe una fórmula aplicable a todas. Existe un mejor sistema para cada caso, aunque no siempre se consigue por factores como el costo, la conveniencia y la ignorancia general sobre posibles vulnerabilidades.
El software de Transferencia Administrada de Archivos (Managed File Transfer o MFT por sus siglas en inglés) es una solución segura que se incorpora cada vez más en el último tiempo. La clave para una buena utilización es comprender cuánta seguridad necesita una organización, cuánta puede afrontar y cuánta será tolerada por los usuarios.
Por ejemplo, no todos los sistemas cifran archivos en reposo automáticamente y algunos tienen esta función como opcional, que no necesariamente es la mejor alternativa. O también pueden ser reacios a la re-encriptación y la re-desencriptación en cada acceso si se trabaja con cientos de transferencias diarias. Lo mismo ocurre con otros aspectos como el restablecimiento de contraseñas basado en preguntas de seguridad.
Además, hay algunas recomendaciones importantes para tener en cuenta. Si se opera bajo regulaciones como HIPAA, GDPR, CCPA, SOX o PCI-DSS se requiere usar un sistema capaz de mostrar en cualquier momento que la transferencia de datos se mantuvo segura y que solo las personas autorizadas tuvieran acceso. Eso significa que se deben mantener los datos cifrados en tránsito (cuando se transfieren entre personas o sistemas) y en reposo (cuando se almacenan en algún lugar). También es ideal que el software MFT produzca automáticamente informes con los detalles de quienes tuvieron acceso y confirmar que no hubo ninguna intrusión. Con esto se responden las dos preguntas clave que se hacen cuando hay un hackeo: qué pasó y cuándo pasó.
En términos de avances, la autenticación multifactor es el método más efectivo. A través de la confirmación en el inicio de sesión se combina el saber (un usuario y una contraseña) con el tener (teléfono, generador de token, etc). Hay un número contundente: los 300 millones de sistemas Azure de Microsoft son examinados constantemente por intrusos y lo único que impidió el acceso durante el 99,9% del tiempo fue la implementación de este desarrollo.
Por último, la rotación de claves de cifrado de manera segura y sencilla, que incluso puede ser automática, es otro de los caminos al éxito. Junto a esto, hay sistemas que proporcionan rastreo sobre el estado de los cambios y detalle de cuándo fueron ejecutados.
Existen numerosas características y funciones de mejores prácticas. No existen fórmulas mágicas ni reglas generales, pero entender el problema y seguir las recomendaciones básicas puede ser un primer paso para encontrar un sistema de seguridad a la altura de las necesidades de cada organización.