Como decíamos ayer…
La cosa no va un artículo que sature nuestras ya maltrechas neuronas y tampoco va de crear estados de alarma que nos den pie a pensamientos temerosos de cualquier cosa y que se nos nuble la mente buscando enemigos mortales hasta debajo de las piedras. No, no va de esto.
La idea de este articulo me vino a la mente hace unas semanas pensando en cómo podríamos proteger un poco más a los clientes de lo que ya hacemos y no, no descubrí la rueda, pero al final me trajo inequívoca e inexorablemente de nuevo a la reflexión de que esta gente que se dedica a turbar nuestros sueños y convertirse en nuestras mayores pesadillas andan a muchos pasos por delante nuestro.
Pero además es que soy un convencido de que tenemos en general las cosas a medio construir, es decir, disponemos de sistemas que ya habilitan ciertas protecciones, y por presupuesto, por el día a día o por cualquiera que sea la causa, no acabamos de rematar esa seguridad en ciertos elementos que serían claves.
Al grano.
Estoy seguro que muchos para proteger vuestras redes tenéis ya aplicado mecanismos de doble factor de autenticación en vuestros firewalls para las VPNs de usuarios y para proteger vuestras redes corporativas del acceso indeseado de personas indeseables.
Y además muchos, para facilitar las cosas, las realizáis mediante SAML a través de vuestro Entra ID (Azure AD). Pero se me ocurre… ¿Cuantos habéis protegido con MFA vuestros…
…controladoras de gestión remota de vuestros servidores?
…Vcenters o sistemas de virtualización similares?
…sistemas de almacenamiento?
…hardware para el backup?
…software de backup?
…dispositivos de red?
…sistemas de VDI?
…WordPress?
…Drupal?
…etc.
Aquí seguro que el número de síes va bajando exponencialmente.
Pero las preguntas realmente interesantes serían cuantos sabéis que estos sistemas ya suelen proveer de integración con distintos gestores de identidades y MFA’s. Y ojo que muchos de estos sistemas siguen pudiendo interactuar con EntraID de Microsoft, donde ya tenéis vuestros accesos VPN y no requieren de prácticamente ninguna inversión y según datos de Microsoft, es la protección más efectiva ya que reduce el riesgo de comprometer nuestros sistemas en un 99,2%
En resumen, que es «solo» ponerse.
Los frenos a estas cosas, suelen ser los típicos. Tiempo y capacidad para implementarlos, el presupuesto no alcanza, los usuarios sin móvil de empresa no me dejan instalar un autenticador en sus dispositivos. Que si me dan mucho mal porque dicen que esto es una lata, que tienen que estar todo el rato con el movil o y otras similares
Como ya he dicho, igual el tema del presupuesto puede rebajarse usando los mismos sistemas que ya pudiéramos disponer, pero abro un melón. ¿Nos interesa usar la misma plataforma para todos?¿No sería interesante disociar el acceso VPN del resto de sistemas? Ahí lo dejo…
De igual manera algunas reticencias de los usuarios podrían solventarse con tokens físicos o con ayudas a la adquisición de dispositivos móviles de uso personal o lo que solía llamarse el BYOD.
Otras reticencias, como las económicas podrían superarse poniendo foco en lo más crítico, a mí se me ocurre en los sistemas de virtualización y backup. Que luego me llega para el hardware de CPD, mejor, pero por lo menos, si me atacan, disponer de una última línea de defensa. Poniéndome un poco dramático, el bastión y garante de la supervivencia de nuestras empresas.
A nivel de productos, los hay de muchos tipos y precios, pero de los que me he encontrado por ahí, la Solución IBM Verify SaaS apenas se mueve en ocho euros al mes por usuario y ya sabemos que estos accesos son limitados solo a unas pocas personas en las empresas, por tanto sacadas las cuentas, cinco usuarios de una empresa por ocho euros al mes, son 540 € al año por proteger nuestros sistemas críticos. Así que no creo que nos quite el sueño el implantar una solución de este estilo.
Dejo la coletilla adicional sobre la gestión de usuarios privilegiados que para eso IBM también es capaz de darnos una solución que nos ahorre disgustos
En resumen, yo creo que una protección fiable como esta no está lejos del alcance de la mayoría de empresas, así que si has llegado hasta aquí, espero que lo que mañana te quite el sueño, sea como afrontar este reto y para eso, ya estamos nosotros para ayudarte.
Excelsior
