Corren nuevos tiempos para la seguridad, bueno más concretamente para la ciberseguridad, desde la época de los 80 la seguridad se ha enfocado en tener áreas seguras y áreas no seguras, es el enfoque de los castillos medievales, lo que está dentro del castillo es seguro lo que está fuera del castillo no lo es. Este enfoque es muy bueno, cuando solo quieres relacionarte con la gente alrededor del castillo.
Por desgracia nuestro mundo no está alrededor de un castillo y actualmente donde hasta las enfermedades son globales, está aproximación no es la más apropiada por mucho que mis amigos de redes se empeñen en seguir poniendo elementos de seguridad basado en donde estás y no en quién eres.
La aproximación a la seguridad actual que seguimos en IronIA es la denominada “confianza cero”, que, aunque ya he hablado de ella en otros artículos se basa en 3 principios muy sencillos:
Comprobar de forma explícita. Autentica y autoriza siempre en función de todos los puntos de datos disponibles, lo que incluye la identidad del usuario, la ubicación, el estado del dispositivo, el servicio o la carga de trabajo, la clasificación de datos y las anomalías. ¿Qué significa esto en la plataforma IronIA Fintech? Cuando os validáis utilizando usuarios y contraseña podéis acceder a ver información, pero cada pulsación que realizáis en la plataforma comprueba que vosotros seguís siendo vosotros y eso lo hacemos mediante una solución de gestión de identidad que se llama DruID.
Usar el acceso con privilegios mínimos. Limita el acceso del usuario con acceso suficiente y justo a tiempo (JIT/JEA), directivas adaptables basadas en los riesgos y protección de datos para ayudar a proteger los datos y la productividad. Por eso en IronIA Fintech cada operación que se realiza necesita una firma especifica única solo validad durante 5 minutos, tu usuario y contraseña no es suficiente, necesitas tu teléfono para poder obtener el privilegio de realizar una operación concreta en periodo de tiempo específico. Y si hablamos de reembolsos de productos financieros entonces además del teléfono necesitas una contraseña adicional que solo durante otro periodo de tiempo determinado te permite acceder a poder firmar.
Asumir la vulneración. Minimiza el radio del alcance y segmenta el acceso. Comprueba el cifrado de extremo a extremo y usa los análisis para obtener visibilidad, impulsar la detección de amenazas y mejorar las defensas. Detrás de esta definición que no es tan obvia como nos gustaría lo que tenemos en IronIA es la idea de que para estar preparados contra un ataque más vale que entrenemos y por eso utilizamos el servicio Cloud Microsoft Defender EASM que realiza ataques continuos a nuestras aplicaciones informándonos inmediatamente de las vulnerabilidades que pueda encontrar para solucionarlas antes de que alguien lo pueda aprovechar. Aprovechar una vulnerabilidad no es un proceso sencillo y nuestro trabajo es eliminarla antes de que alguien más las encuentre y comience a intentar aprovecharlas, por eso es tan importante que sea continuo y no que sea algo que de vez en cuando realiza un examen a ver si estamos preparados o no.
Pero podríamos pensar que toda esta aproximación necesita un montón de recursos, de personas que hagan cosas; esta forma de pensar también en muy propia de los combates en la edad media donde la superioridad numérica representaba una ventaja. Actualmente se ha demostrado que el riesgo de seguridad en una empresa esta directamente relacionado con el número de personas y con el nivel de subcontratación; cuanto más personas más riesgo, cuantas más empresas con criterios de seguridad diferentes trabajando todos sobre los mismos sistemas, más riesgo y más costoso es mantener la seguridad, por eso en IronIA Fintech defendemos nuestro equipo pequeño altamente cualificado por que las confrontaciones hoy se ganan con talento no con número de recursos.
Y esto ya no es algo que solo comprobemos nosotros, en la ilustración siguiente del documento “Adopting a Zero Trust approach is a technology and business imperative” publicado por Microsoft podemos ver los beneficios económicos que obtienen las empresas en solo 6 meses adoptando esta aproximación, o en nuestro caso por qué podemos ofrecer precios de suscripción para invertir mucho más baratos que nuestros competidores; no es que lo hagamos mejor es que lo estamos haciendo muy diferente.
Sin embargo, es evidente que no puedes solucionarlo todo haciéndolo por ti mismo, nosotros desarrollamos nuestra plataforma IronIA Fintech empleando la plataforma Cloud de Microsoft, Microsoft Azure; por eso veréis que hacemos tantas referencias a Microsoft. Y ¿Hacerlo en Azure lo hace mejor que hacerlo en AWS o en Google Cloud? No, la elección de una plataforma u otra no hace que la tuya sea mejor, Steve Jobs lo explicaba muy bien cuando decía que los responsables de tecnología de las empresas estaban confundidos, porque pensaban que su trabajo era decidir que solución de una empresa u otra era mejor; y eso no es así es una gran error. Todas las personas que pintan utilizan las mismas herramientas, pero algunos nos entretenemos y otras hacen arte.
Con las plataformas Cloud para exactamente lo mismo, puedes intentar copiar todo lo que tenías en tu empresa y llevarlo a Azure o AWS y eso no habrá significado ningún cambio, seguirás haciendo lo mismo y obteniendo los mismos resultados o puedes conocer profundamente las plataformas y saber cómo utilizar sus servicios para hacer procesos diferentes, a eso algunos lo llaman trasformación digital nosotros lo llamamos trabajo de todos los días.
Esta forma de conocer profundamente las plataformas tiene sus consecuencias, cuando elegimos a un proveedor para que pase a ser parte de nuestra plataforma, para que sea parte de IronIA Fintech el proceso no es el mismo que siguen otro tipo de empresas, aquí los PowerPoint, las demos de producto y las reuniones de presentación valen bien poco, así como el tamaño de la empresa, la marca y los cientos de desarrolladores que tienen en no sé qué sitio porque son más económicos y con mucho talento, después de 30 años en la industria del software ya conozco todas esas películas porque las he tenido que protagonizar en algún momento y porque todo el mundo las cuenta con más o menos gracia.
La evaluación es otra la evaluación, se basa en tirarse al barro y entender de verdad como está hecho y porque está hecho así y ver si esas dos razones son las mismas o muy parecidas a las que tenemos nosotros porque si no es así en algún momento del camino que recorremos juntos nos distanciaremos y dará igual el tamaño, la marca o los bonitos PowerPoint.
Por eso cuando vemos que nuestras decisiones además son avaladas por alguien más nos sentimos muy orgullosos de esas empresas que forman parde de nuestra plataforma.
Este ha sido el caso de DruID que acaba de recibir el premio Identity Startup of the Year en el EIC European identity and cloud conference 2023, enhorabuena a @Pedro Parellada y a todo el equipo de DruID por su trabajo que nos ayuda a que nuestros clientes estén seguros e identificados en todo momento.
Corren nuevos tiempos para la seguridad , y la identidad es la aproximación a la ciberseguridad, no importa donde estas, ya no hay zonas seguras donde todos los que están son de confianza, la confianza hay que ganársela en nuestra aproximación de confianza cero.