¡Alerta internacional! Cuando el enemigo cibernético irrumpe en el armario ...

(Para Orazio Danilo Ruso)
10/06/21

Desde la década de 70, la evolución social y tecnológica ha ido modificando progresivamente el paradigma del trabajo, que antes se realizaba tradicionalmente dentro de los espacios físicos controlados por el empresario. Esta progresión ha sufrido una aceleración nunca antes vista debido a la reciente crisis sanitaria. Las consiguientes medidas de contención y gestión, de hecho, obligaron a recurrir a la trabajo ágil, además también a través de dispositivos electrónicos no controlados por la plataforma tecnológica del empleador; dispositivos, entre otras cosas, no siempre en línea, como se puede entender fácilmente, con las recomendaciones o estándares de los organismos de certificación o aprobación.

Los efectos sobre la seguridad de la información y la continuidad operativa de las redes, los sistemas de TI y los servicios de información no se hicieron esperar. Y los próximos meses probablemente traerán más evidencia de una vulnerabilidad sistémica completamente nueva en dimensión, hija de dos aspectos concomitantes, cuyos efectos se encuentran hombro con hombro con resultados exponenciales: el Desalineación repentina creada entre el perímetro de seguridad de TI y el perímetro de seguridad física.; yuso masivo de dispositivos personales para compensar, en gran medida en la primera fase de la crisis, la falta de cliente empresarial (teléfono inteligente, tabletas y computadoras asignadas por el empleador a los empleados, por así decirlo) necesario para garantizar el "trabajo inteligente".

Sí, porque el mundo del trabajo amaneció una mañana y tuvo que lidiar con una realidad -el encierro domiciliario- que ha desviado el flujo de información laboral y operativa empresarial hacia los segmentos tecnológicos de la intimidad doméstica, las administraciones públicas y el tercer sector. Una masa de tráfico, no exactamente "ocio", ha caído sobre los pequeños enrutador familia (la puerta de entrada cibernética de la casa), en la computadora en la habitación de los niños, que se usa en la promiscuidad también para lecciones de aprendizaje a distancia, o en la última versión de teléfono inteligente de fabricación "del lejano oriente", en la que se realizan sesiones de trabajo de videoconferencia, variados juegos activos y las interacciones más extravagantes de las redes sociales.

Todo aderezado con el hecho de que, por obvias razones prácticas y económicas, estos segmentos de red recién nacidos e improvisados ​​han desplazado predominantemente el énfasis, a nivel físico, en la tecnología de radio (Wi-Fi), menos confiable que el cobre de la fibra óptica.

En resumen, frente a puertas de enlace, portales, cortafuegos y servidores de acceso remoto (p. Ej. acorazados cibernéticos desplegado para proteger las redes de cuarteles, ministerios, organizaciones no lucrativo y empresas) el enemigo tuvo la oportunidad de sortear el frente de defensa y abrirse paso lateralmente a través del módem escondido en el armario de la casa de los "teletrabajadores".

El argumento es de tal importancia que el Instituto Nacional de Estándares y Tecnología lanzó una “Convocatoria de comentarios”, movilizando la inteligencia colectiva del sector para adecuar la estandarización de procesos y métodos de seguridad a la nueva realidad. Y en la patria, el tema está bajo la atención del CSIRT Italia (las fuerzas especiales cibernéticas de nuestra República, por así decirlo), que entre otras cosas ha lanzado una campaña de sensibilización específica.

Así que hagamos un balance, a vista de pájaro, de los perfiles de riesgo que se van a monitorear.

En primer lugar, el perímetro de análisis a considerar consta de tres áreas de proceso, parcialmente superpuestas pero conceptualmente diferentes: "teletrabajo", es decir, el desempeño del trabajo fuera del perímetro de seguridad física de la organización; la "acceso remoto", es decir, la posibilidad de acceder, desde el exterior, a los recursos de TI no públicos de una organización; la "BYOD", acrónimo de "Bring Your Own Device" y esa es la posibilidad de trabajar con teléfono inteligente, tabletas y computadoras no controladas por el empleador, es decir, aquellas que son propiedad del trabajador o de terceros contractuales (contratistas).

El riesgo en discusión debe enmarcarse en cuatro supuestos básicos. El primero se deriva de la consideración de que no puedes proteger lo que no controlas físicamente. El teletrabajo funciona, por definición, fuera del perímetro de seguridad física del empleador y, por lo tanto, los “clientes” de la organización pueden ser más fácilmente dispersados, robados o permanecer temporalmente fuera de la disponibilidad del trabajador. La consecuencia aquí puede ser la pérdida de los datos guardados en el dispositivo perdido o el intento de acceso fraudulento a las infraestructuras del servidor, explotando los mecanismos de autenticación del dispositivo robado.

El segundo se refiere a que, con costosas excepciones generalmente vinculadas a la circulación de información estratégica para los sistemas de defensa y seguridad nacional, el "acceso remoto" se realiza a través de redes - radio o cableadas - puestas a disposición por terceros (proveedores) y cuya seguridad no está controlada. De ahí se deriva todo el tema de la interceptación ilegal del tráfico de datos con fines de robo o sabotaje de la información, propio de las tácticas ofensivas de Hombre en el medio (MITM).

El tercero, de gran afinidad conceptual con la actual crisis sanitaria, consiste en peligro de contagio de virus informáticos a través de dispositivos infectados a los que se les ha permitido conectarse a la red interna de la organización. Este, por ejemplo, es el terreno de elección de tácticas. Acceso inicial ciberpiratas que pretenden infiltrarse en el entorno informático de la víctima con un ejecutable para realizar acciones de sabotaje, daño, robo o mando y control clandestino.

La última suposición debe hacerse con referencia a los recursos internos que se decida poner a disposición para el acceso desde el exterior, especialmente si son realizados por BYOD, como la computadora portátil del contratista, teléfono inteligente personal del empleado, la tableta del consultor. Aquí, en comparación, se aplica el enfoque de ser cuidadoso al entregar las llaves de la casa al jardinero, de modo que no lo deje fuera de la casa o robe el apartamento en su ausencia.

Se debe realizar una serie de supuestos de riesgo complementarios específicamente para BYOD. Vamos a describirlos brevemente: en primer lugar, siempre existe un gradiente de “grosor” (robustez del grado de seguridad) entre los entornos informáticos del empleador y los dispositivos personales: esta mancha constituye un factor de ventaja para el oponente. De hecho, por naturaleza teléfono inteligente personal están destinados al uso de ocio y son comprensiblemente más delgados (por así decirlo más frágiles) que las infraestructuras de los empleadores, donde los requisitos de seguridad y continuidad operativa requieren que sean más robustos que flexibles. Además, cualquier tráfico ilegal generado por BYOD conectado a la red del empleador puede atribuirse al empleador, con obvias complicaciones legales y daños a la reputación.

Finalmente, una red de empleadores que permite la conexión BYOD puede ser un campo de batalla inconsciente entre dispositivos de terceros. ES hacer seguridad no se trata solo de proteger nuestros activos; pero también evitar que alguien explote el nuestro activo para lanzar ataques a otros!

Para obtener más información:

https://csrc.nist.gov/publications/detail/sp/800-46/rev-3/draft

https://www.difesaonline.it/evidenza/cyber/2020-un-anno-di-hacking

https://www.difesaonline.it/evidenza/cyber/microsoft-sicurezza-e-privacy-ai-tempi-del-covid

https://www.difesaonline.it/evidenza/cyber/microsoft-limportanza-della-sicurezza-e-della-privacy-al-tempo-del-covid

https://csirt.gov.it/contenuti/lavoro-da-remoto-vademecum-delle-policy-di-sicurezza-per-le-organizzazioni