En la convergencia de la transformación digital, el foco en SASE de toda la industria, y los efectos continuados de la pandemia de COVID-19, hay fuerzas clave que los profesionales de la seguridad deben conocer y gestionar desde dentro. Este es el primer blog de una serie de tres en los que se detallan estas fuerzas y cómo los líderes y profesionales de la seguridad pueden adaptarse a ellas en un mundo transformándose digitalmente y habilitado para SASE. Este blog cubre las fuerzas de la Estrategia de Negocio y Operaciones de las Tecnologías de la Información.
Fuerza 1: Estrategia de Negocio
Los cambios en la estrategia de negocio están impulsando un cambio importante en la forma de pensar sobre su estrategia de seguridad. Como parte de la transformación digital, una cantidad significativa de procesos de negocio se están moviendo de aplicaciones desarrolladas localmente a aplicaciones basadas en SaaS que se ejecutan en la nube. Este movimiento impulsado por el negocio está teniendo un impacto más grande en la estrategia de seguridad que nunca antes habíamos visto.
En primer lugar, pregúntese: "¿La transformación digital está cambiando la forma en que funciona mi organización?" El movimiento de los datos de los centros de datos internos a las aplicaciones basadas en la nube significará, en última instancia, un cambio en sus controles y procesos. Con muchas empresas convirtiéndose en proveedores de servicios digitales, su negocio ahora cubre múltiples canales de ingresos que requieren ser gestionados y protegidos. Sin embargo, a medida que se crean nuevos canales de ingresos, hay un aumento lógico en los volúmenes de datos que la organización debe almacenar, procesar y proteger.
La mayoría de las organizaciones empresariales de éxito han llegado a la conclusión de que acceder a tiempo a la información sobre las operaciones da lugar a empresas de mayor rendimiento. El análisis de los datos se ha convertido en el alma de la empresa y el acceso a los datos debe estar disponible desde cualquier lugar y en todo momento. En consecuencia, los CISOs competentes deben permitir que la empresa acceda a los datos y realice su trabajo sin el impedimento de la ubicación del usuario o la aplicación individual. Cada empresa difiere, pero todas las empresas de éxito están maximizando su potencial mediante el uso de nuevas aplicaciones basadas en SaaS.
Teniendo en cuenta que estos importantes cambios en la estrategia de negocio están impulsando cambios en la forma en que gestionamos y pensamos sobre los datos, hace tiempo que nos aferramos al principio del menor privilegio. Es hora de reevaluar el principio teniendo en cuenta las cambiantes necesidades del negocio de realizar análisis a un ritmo rápido y sin impedimentos. No se trata de sugerir que todos los datos estén abiertos a toda la organización, sino más bien que los datos operativos no sensibles se pongan a disposición de los científicos de datos de la organización para permitir la innovación de las operaciones de negocio. Alejándonos del concepto de dar a conocer solo lo que es necesario, pero permitiendo el descubrimiento de lo que es útil para el análisis operativo.
El desafío
Hay cuatro problemas fundamentales a los que los departamentos de seguridad se ven obligados a hacer frente:
- Las amenazas y los ataques se están volviendo sumamente sofisticados y dirigidos a organizaciones específicas
- Crecimiento exponencial de los datos a clasificar y proteger
- La nube y la virtualización están provocando un giro y un cambio fundamental en la infraestructura
- Los endpoint se están transformando desde ser activos estáticos de propiedad y control de las empresas a ser dispositivos de propiedad y operación personal para permitir el acceso rápido y conveniente a la información de negocio.
Al mismo tiempo, los departamentos de seguridad se enfrentan a las presiones del rendimiento para el negocio. Más que nunca, el departamento de seguridad de la información es un componente crítico del éxito del negocio. Los recursos del personal de seguridad son limitados y costosos. El equilibrio entre el acceso a los datos y el mantenimiento de la seguridad de los mismos es más difícil que nunca, y el entorno normativo sigue estableciendo normas estrictas sobre cómo se pueden utilizar los datos junto con los controles de seguridad necesarios.
Trabajadores en remoto
Como ejemplo de estos desafíos en el mundo real, la preocupación sobre la salud, a nivel mundial, derivada de la pandemia de COVID-19 han provocado un cambio importante en la estrategia de trabajo a distancia. En el pasado, la mayoría de las organizaciones sólo contaban con un pequeño porcentaje de personal que trabajaba desde su casa, pero todo eso ha cambiado ahora y en el futuro próximo. Este aumento masivo de trabajadores remotos también amplía la superficie de ataque y, debido a las amenazas específicas que plantea la reciente proliferación de personal remoto, los responsables de seguridad deberían evaluar las necesidades a corto y largo plazo.
La estrategia para el teletrabajo debería comenzar por el endpoint. Muchos trabajadores utilizarán dispositivos proporcionados por las empresas que están equipados con las capacidades de seguridad típicas de los endpoint. Sin embargo, muchos teletrabajadores también utilizan dispositivos personales para realizar sus tareas laborales diarias. Las organizaciones deben implementar un proceso de inspección en el momento de la conexión para comprobar que el dispositivo que se conecta a la red tiene los controles de seguridad adecuados.
El acceso de confianza cero a la red (ZTNA) debe implementarse con una autenticación multifactorial robusta para garantizar que el usuario es quien dice ser antes de conectarse a la red corporativa o a las aplicaciones vitales. Los servicios que pueden permitir tanto el acceso seguro a las aplicaciones SaaS como a las aplicaciones privadas alojadas en el centro de datos o IaaS, ofrecen la ventaja de permitir la conexión directa a la red en lugar de enrutar todo el tráfico de la red del trabajador remoto a través del centro de datos, después a la aplicación, de vuelta al centro de datos y luego al usuario final.
La utilización de la seguridad como una capacidad de servicio puede acelerar el despliegue y ahorrar el alto costo de enrutar todo el tráfico al centro de datos. En cambio, esto implica enrutar el tráfico del usuario a través de una inspección antes de conectarse a la aplicación mediante el uso de una plataforma de seguridad en la nube. Las plataformas de seguridad en la nube pueden inspeccionar el tráfico en busca de actividades de fuga de datos, amenazas para el usuario o la aplicación, y filtrar los sitios de destino. Las mejores organizaciones se están alejando de las VPN que a menudo no son utilizadas por los usuarios finales y proporcionan un acceso completo a la red cuando se utilizan. Los servicios VPN de próxima generación tienen la ventaja de poder inspeccionar el destino y luego, si se autoriza, conectar a los usuarios a la aplicación específica. Esto proporciona al usuario una ruta transparente directamente a la aplicación en la nube o a la aplicación privada alojada en el centro de datos sin proporcionar un amplio acceso a la red.
La seguridad como acelerador de negocio
Al igual que los frenos de un coche, que dan al conductor la posibilidad de ir a mayor velocidad con menos riesgo, las mejores medidas de seguridad permiten que un negocio se mueva más rápido, no más despacio. La seguridad en la realidad digital de hoy en día sólo debería introducir restricciones que eliminen las barreras a la entrega de datos en las manos de los responsables de las empresas que más los necesitan.
A medida que los datos aumentan exponencialmente, los comportamientos de los usuarios evolucionan y los modelos de negocio cambian rápidamente, la seguridad puede ser un acelerador que permita a la empresa aprovechar al máximo el potencial de los datos. Los CISO que han tenido más éxito han pasado de una mentalidad de "No, no se puede" a una de "Sí se puede, y así es como". El hecho de permitir a los usuarios el acceso a todos los datos relevantes, en todo momento, faculta a la empresa para proteger su activo más competitivo -sus datos- y así obtener una ventaja en la carrera por responder a las preguntas más apremiantes del negocio.
Fuerza 2: Operaciones de tecnología de la información
La complejidad es el enemigo de la seguridad y hemos hecho nuestra arquitectura de seguridad demasiado compleja. A lo largo de los años hemos visto un efecto compuesto de añadir capas de seguridad, especialmente en el endpoint. A menos que haya hecho una limpieza reciente, encontrará que el endpoint tiene el cliente de numerosas aplicaciones de seguridad, todas realizando controles similares y/o superpuestos. Es hora de echar un nuevo vistazo a lo que se está ejecutando en el entorno y consolidar y simplificar la arquitectura. Avanzar hacia las mejores plataformas que proporcionen una funcionalidad integrada y sin fisuras, simplificará y reducirá los costes operativos.
A medida que las organizaciones pasan por esta transformación, necesitan una clara comprensión de la madurez del actual programa de operaciones de TI y seguridad. La mayoría de los departamentos de TI están llevando a cabo un cambio importante en su estrategia, pasando a un enfoque "Cloud First", sustituyendo las aplicaciones corporativas fundamentales por las que se ofrecen como aplicaciones SaaS en la nube. Al mismo tiempo, también hay un nuevo cambio en esta estrategia hacia "Sólo Nube", en la que las empresas se están moviendo para eliminar completamente sus centros de datos. Esto está impulsando la reinversión en las personas, los procesos y las tecnologías para satisfacer los nuevos requisitos y, al mismo tiempo, gestionar tanto las amenazas como la protección de datos. Mientras que casi todas las áreas de seguridad se ven afectadas, algunas de las áreas clave a revisar incluyen:
- Autenticación
- Seguridad de la red
- Visibilidad
Autenticación
Los trabajadores remotos requieren un sistema de autenticación más robusto. No se puede confiar sólo en la ubicación física o el dispositivo. Los sistemas multifactoriales que son casi transparentes para el usuario final necesitan encontrar un equilibrio entre una buena seguridad y la facilidad de uso. Los trabajadores de hoy en día requieren la capacidad de trabajar desde múltiples dispositivos como su computadora portátil, tableta, teléfono e incluso ordenadores personales. El mundo digital se construye en torno al usuario y la tecnología moderna le ofrece muchas opciones. En el pasado, considerábamos al usuario como el eslabón más débil, pero ahora el usuario tiene el mayor poder.
Durante mucho tiempo, hemos aplicado los conceptos de "mínimo privilegio" o de “dar a conocer solo lo que es necesario ", en los que concedíamos a los usuarios un acceso mínimo con fuertes protecciones. De manera similar a la forma en que cambiamos nuestra estrategia de redes de "sólo permitir" a "redes de confianza cero", necesitamos cambiar la forma en que gestionamos el acceso de los usuarios. La nueva normalidad será permitir el acceso, "el usuario decide", y aplicar restricciones a los datos por excepción, cambiando el enfoque para permitir el uso de los datos. Si se hace el cambio a menores restricciones en el acceso a los datos, se requerirá la implementación de análisis de comportamiento más sofisticados para detectar el mal uso de los datos.
Confianza Adaptativa
Más del 90% de los nuevos ordenadores adquiridos son ahora dispositivos móviles. Los usuarios de hoy en día exigen la posibilidad de acceder desde cualquier lugar, en cualquier dispositivo, y acceder a todo. Para satisfacer esta nueva demanda, las empresas necesitan ajustar sus procesos y tecnología de autenticación y autorización.
Una forma de abordar el problema es a través de un esquema de confianza adaptativa. Un plan de confianza adaptativa ajusta el nivel de confianza en la autenticación al nivel de riesgo del activo al que se quiere acceder o modificar. En un modelo de confianza adaptativa se examinan cinco elementos básicos para determinar si se concede el acceso:
- Nivel de autenticación
- Nivel de acceso
- Confianza de la aplicación
- Confianza del dispositivo
- Clasificación de los activos
Implementar una Confianza Adaptativa
Utilizando estos cinco elementos básicos de la confianza adaptativa, se puede tomar una decisión dinámica en tiempo real sobre si se debe conceder el acceso. La información de mayor valor y el mayor nivel de acceso requieren más confianza en el usuario, el dispositivo y la aplicación. Los niveles de confianza más altos son más costosos e intrusivos, por lo que un mejor programa de seguridad encontrará el equilibrio entre el nivel de confianza requerido y la acción que se solicita. Tenga en cuenta que la confianza cero va más allá del usuario e incluye los dispositivos, aplicaciones, etc. En el mundo dinámico de hoy en día no hay ninguna confianza implícita en ninguna parte de la transacción.
Seguridad de la red
El servicio de acceso seguro en el borde (SASE o Secure Access Service Edge) es la convergencia de la red como servicio y la seguridad como servicio y un marco emergente de seguridad y red que guía la estrategia sobre cómo se despliegan y consumen los datos y las aplicaciones. SASE hace evolucionar aún más la infraestructura de seguridad para proteger un entorno cada vez menos perimetral. El objetivo del modelo SASE es cambiar las operaciones de la gestión de los dispositivos de seguridad tanto para la nube como para la web a la entrega de un servicio central basado en políticas a través de una plataforma de microservicios nativa de la nube. Aquí es donde vemos la aparición de un Gateway de Seguridad Web de Nueva Generación (NG SWG) que es nativo en la nube y