En esta segunda entrega continuaremos la conversación pendiente sobre la seguridad y como está abordándola el sector privado y el estado.
En el año 2011 nuestro CEO diseñó un servicio que permite a compañías privadas y entidades del estado proteger sus datos fuera de los dispositivos, laptops y servidores (físicos o virtuales). Esto debido a la gran cantidad de datos que se perdían por factor humano y otros como el robo o simplemente un colaborador que al retirarse o ser cesado, pensaba que los datos del equipo asignado, eran de su propiedad y debía borrarlos o llevárselos.
Empresas como BCP (Banco de Crédito del Perú) utilizaron este servicio para proteger diferentes activos como los famosos PST’s antes de moverse a plataformas como Office 365. Habilitar el teletrabajo era una prueba de concepto en ese momento con una serie de refinamientos para seguridad como la encriptación de discos y las VPN’s.
Actualmente el nivel de sofisticación de los ataques es mayor, las corporaciones más grandes hasta las medianas y el estado estan detenidos, dejando que los depredadores lleguen más rápido a sus presas. No estamos generando la distancia suficiente a la velocidad correcta, lo vemos en cada caso de suplantación, en cada peruano que pierde entre 20 soles o 50 mil soles de su cuenta bancaria porque la única barrera entre su dinero y el acceso a él dependía de una contraseña y un método de validación que estaba dentro de su mismo dispositivo, que actualmente es fácil de vulnerar. Entonces, si a eso le sumamos que tenemos a millones de personas confinadas a trabajar en sus casas usando WI-FI, probablemente vulnerable o ya vulnerado, debemos ser realistas con esta pregunta que hacemos a continuación:
¿Cuántas familias protegen realmente el WIFI residencial correctamente?
Entonces tenemos: Un empleado/a de una corporación con una laptop a la que accede con un usuario y contraseña al sistema operativo, luego se conecta a la VPN con un usuario y una contraseña con lo que tienen acceso a la red de la empresa (ojalá a solo ciertos recursos y no a toda la red), luego debe usar un usuario y contraseña para el CRM, y otras herramientas de gestión, archivos, aprobaciones, pagos, acceso a información sensible. A eso debemos sumar la calidad de desarrollo de sus aplicaciones, debemos tener claro que si estas no han sido desarrolladas con buenos estándares van a ser potencialmente vulnerables.
El usuario no tiene la culpa, LAYER 8 existe porque algo no se esta haciendo para que los usuarios bajen la curva de error, como con el COVID-19, tanto en comunicación efectiva y tecnología útil el virus se propaga por la falta de estrategias que realmente funcionen, cada compañía es como un país, con una cultura o varias, y segmentos humanos con diferentes intereses y lenguajes.
¿Debemos hacer estrategias y aplicar tecnologías pensando en la IT o pensando en las personas y el negocio?
El virus se podría haber contenido mejor dentro del país si se micro segmentaba el acceso con resoluciones muy claras, para eso existe la Ley y sus autoridades, lo mismo sucede con la tecnología en una corporación y el estado viéndolos como poblaciones.
Ahora hablemos de VPN's
Privatia ID cuenta con una capa de seguridad que puede desplegarse detrás de tu VPN actual o reemplazar tu servicio de VPN por uno más robusto mediante nuestro Cloud Access Security Broker.
Una VPN, un user y password, no es suficiente hoy; debemos ir más allá. En este contexto debemos pensar que cada usuario es un potencial contagiado que puede extender el virus hacia la red y otros usuarios si no tomamos medidas robustas de acceso y control.
Applied Labs ha desarrollado Privatia ID con el objetivo de proteger sus plataformas propias y las de terceros aplicando años de experiencias diferentes en el sector. ¿Cómo funciona Privatia ID? Partamos de la premisa del acceso, no hemos inventado la pólvora, pero hemos puesto a disposición de las empresas y el estado la mejor forma de usarla con tecnología que desarrollamos y soportamos localmente, ¿No es así cómo se desarrolla un país? Generando conocimiento y propiedad intelectual dentro de casa, ¿Se imaginan más puestos de trabajo con salarios adecuados en tareas relevantes?
En fin, volvamos a la tecnología, Privatia ID es una suite de API's basadas en protocolos robustos de seguridad, uno de ellos y el más moderno es FIDO2, este garantiza el mayor nivel de seguridad para autenticación sobre el 90% de las aplicaciones que usamos en nuestro día a día si lo integramos.
También contamos con TOTP (El famoso token de 6 dígitos) virtual en tu smartphone o mediante otros métodos para agregar una capa de validación que este fuera de tu PC.
Este y otros métodos los embebemos en tus aplicaciones y al hacer esto creamos distancia entre el atacante y tus aplicaciones o servicios, nuestra misión es seguir creando esta distancia tecnológica y dártela como parte de nuestro servicio.
¿Hay que hacer desarrollo? Si, hay que ejecutar horas en el proceso de integración tanto de nuestro lado con nuestras librerías y de tu lado con tu aplicación, una ventaja es que además te diremos si es vulnerable por defecto en el proceso de análisis del proyecto. Vamos desde el acceso a windows o mac, aplicaciones web, móviles, cliente servidor, y todo servicio que se autentique, mientras tus usuarios están protegidos con Privatia ID nosotros estamos trabajando en monitorear y alertar.
¿Qué nos hace diferentes?
No usamos contraseñas, usamos certificados emitidos para cada usuario y tenemos control+visibilidad de cada uno para modificar permisos y revocarlos si es necesario. Validamos el dispositivo del usuario y solo entregamos permiso de acceso a los recursos a los que la organización lo faculta, contamos con logs de acceso y alertamos de patrones extraños durante la sesión.
Así que en resumen: Privatia ID autentica y valida a la persona y si tienes el servicio de Privatia CASB también validaremos el dispositivo autorizado y lo controlaremos de forma proactiva. Multinube, on premise e híbrido... Somos muy flexibles para desplegar nuestro servicio siempre con la capa consultiva para hacer que el proyecto sea costo- eficiente sin sacrificar la seguridad.
No te dejes atrapar....
