Back 
En la convergencia de la transformación digital, el foco en SASE de toda la industria, y los efectos continuados de la pandemia de COVID-19, hay fuerzas clave que los profesionales de la seguridad deben conocer y gestionar desde dentro. Este es el primer blog de una serie de tres en los que se detallan estas fuerzas y cómo los líderes y profesionales de la seguridad pueden adaptarse a ellas en un mundo transformándose digitalmente y habilitado para SASE. Este blog cubre las fuerzas de la Estrategia de Negocio y Operaciones de las Tecnologías de la Información.
Fuerza 1: Estrategia de Negocio
Los cambios en la estrategia de negocio están impulsando un cambio importante en la forma de pensar sobre su estrategia de seguridad. Como parte de la transformación digital, una cantidad significativa de procesos de negocio se están moviendo de aplicaciones desarrolladas localmente a aplicaciones basadas en SaaS que se ejecutan en la nube. Este movimiento impulsado por el negocio está teniendo un impacto más grande en la estrategia de seguridad que nunca antes habíamos visto.
En primer lugar, pregúntese: "¿La transformación digital está cambiando la forma en que funciona mi organización?" El movimiento de los datos de los centros de datos internos a las aplicaciones basadas en la nube significará, en última instancia, un cambio en sus controles y procesos. Con muchas empresas convirtiéndose en proveedores de servicios digitales, su negocio ahora cubre múltiples canales de ingresos que requieren ser gestionados y protegidos. Sin embargo, a medida que se crean nuevos canales de ingresos, hay un aumento lógico en los volúmenes de datos que la organización debe almacenar, procesar y proteger.
La mayoría de las organizaciones empresariales de éxito han llegado a la conclusión de que acceder a tiempo a la información sobre las operaciones da lugar a empresas de mayor rendimiento. El análisis de los datos se ha convertido en el alma de la empresa y el acceso a los datos debe estar disponible desde cualquier lugar y en todo momento. En consecuencia, los CISOs competentes deben permitir que la empresa acceda a los datos y realice su trabajo sin el impedimento de la ubicación del usuario o la aplicación individual. Cada empresa difiere, pero todas las empresas de éxito están maximizando su potencial mediante el uso de nuevas aplicaciones basadas en SaaS.
Teniendo en cuenta que estos importantes cambios en la estrategia de negocio están impulsando cambios en la forma en que gestionamos y pensamos sobre los datos, hace tiempo que nos aferramos al principio del menor privilegio. Es hora de reevaluar el principio teniendo en cuenta las cambiantes necesidades del negocio de realizar análisis a un ritmo rápido y sin impedimentos. No se trata de sugerir que todos los datos estén abiertos a toda la organización, sino más bien que los datos operativos no sensibles se pongan a disposición de los científicos de datos de la organización para permitir la innovación de las operaciones de negocio. Alejándonos del concepto de dar a conocer solo lo que es necesario, pero permitiendo el descubrimiento de lo que es útil para el análisis operativo.
El desafío
Hay cuatro problemas fundamentales a los que los departamentos de seguridad se ven obligados a hacer frente:
- Las amenazas y los ataques se están volviendo sumamente sofisticados y dirigidos a organizaciones específicas
- Crecimiento exponencial de los datos a clasificar y proteger
- La nube y la virtualización están provocando un giro y un cambio fundamental en la infraestructura
- Los endpoint se están transformando desde ser activos estáticos de propiedad y control de las empresas a ser dispositivos de propiedad y operación personal para permitir el acceso rápido y conveniente a la información de negocio.
Al mismo tiempo, los departamentos de seguridad se enfrentan a las presiones del rendimiento para el negocio. Más que nunca, el departamento de seguridad de la información es un componente crítico del éxito del negocio. Los recursos del personal de seguridad son limitados y costosos. El equilibrio entre el acceso a los datos y el mantenimiento de la seguridad de los mismos es más difícil que nunca, y el entorno normativo sigue estableciendo normas estrictas sobre cómo se pueden utilizar los datos junto con los controles de seguridad necesarios.
Trabajadores en remoto
Como ejemplo de estos desafíos en el mundo real, la preocupación sobre la salud, a nivel mundial, derivada de la pandemia de COVID-19 han provocado un cambio importante en la estrategia de trabajo a distancia. En el pasado, la mayoría de las organizaciones sólo contaban con un pequeño porcentaje de personal que trabajaba desde su casa, pero todo eso ha cambiado ahora y en el futuro próximo. Este aumento masivo de trabajadores remotos también amplía la superficie de ataque y, debido a las amenazas específicas que plantea la reciente proliferación de personal remoto, los responsables de seguridad deberían evaluar las necesidades a corto y largo plazo.
La estrategia para el teletrabajo debería comenzar por el endpoint. Muchos trabajadores utilizarán dispositivos proporcionados por las empresas que están equipados con las capacidades de seguridad típicas de los endpoint. Sin embargo, muchos teletrabajadores también utilizan dispositivos personales para realizar sus tareas laborales diarias. Las organizaciones deben implementar un proceso de inspección en el momento de la conexión para comprobar que el dispositivo que se conecta a la red tiene los controles de seguridad adecuados.
El acceso de confianza cero a la red (ZTNA) debe implementarse con una autenticación multifactorial robusta para garantizar que el usuario es quien dice ser antes de conectarse a la red corporativa o a las aplicaciones vitales. Los servicios que pueden permitir tanto el acceso seguro a las aplicaciones SaaS como a las aplicaciones privadas alojadas en el centro de datos o IaaS, ofrecen la ventaja de permitir la conexión directa a la red en lugar de enrutar todo el tráfico de la red del trabajador remoto a través del centro de datos, después a la aplicación, de vuelta al centro de datos y luego al usuario final.
La utilización de la seguridad como una capacidad de servicio puede acelerar el despliegue y ahorrar el alto costo de enrutar todo el tráfico al centro de datos. En cambio, esto implica enrutar el tráfico del usuario a través de una inspección antes de conectarse a la aplicación mediante el uso de una plataforma de seguridad en la nube. Las plataformas de seguridad en la nube pueden inspeccionar el tráfico en busca de actividades de fuga de datos, amenazas para el usuario o la aplicación, y filtrar los sitios de destino. Las mejores organizaciones se están alejando de las VPN que a menudo no son utilizadas por los usuarios finales y proporcionan un acceso completo a la red cuando se utilizan. Los servicios VPN de próxima generación tienen la ventaja de poder inspeccionar el destino y luego, si se autoriza, conectar a los usuarios a la aplicación específica. Esto proporciona al usuario una ruta transparente directamente a la aplicación en la nube o a la aplicación privada alojada en el centro de datos sin proporcionar un amplio acceso a la red.
La seguridad como acelerador de negocio
Al igual que los frenos de un coche, que dan al conductor la posibilidad de ir a mayor velocidad con menos riesgo, las mejores medidas de seguridad permiten que un negocio se mueva más rápido, no más despacio. La seguridad en la realidad digital de hoy en día sólo debería introducir restricciones que eliminen las barreras a la entrega de datos en las manos de los responsables de las empresas que más los necesitan.
A medida que los datos aumentan exponencialmente, los comportamientos de los usuarios evolucionan y los modelos de negocio cambian rápidamente, la seguridad puede ser un acelerador que permita a la empresa aprovechar al máximo el potencial de los datos. Los CISO que han tenido más éxito han pasado de una mentalidad de "No, no se puede" a una de "Sí se puede, y así es como". El hecho de permitir a los usuarios el acceso a todos los datos relevantes, en todo momento, faculta a la empresa para proteger su activo más competitivo -sus datos- y así obtener una ventaja en la carrera por responder a las preguntas más apremiantes del negocio.
Fuerza 2: Operaciones de tecnología de la información
La complejidad es el enemigo de la seguridad y hemos hecho nuestra arquitectura de seguridad demasiado compleja. A lo largo de los años hemos visto un efecto compuesto de añadir capas de seguridad, especialmente en el endpoint. A menos que haya hecho una limpieza reciente, encontrará que el endpoint tiene el cliente de numerosas aplicaciones de seguridad, todas realizando controles similares y/o superpuestos. Es hora de echar un nuevo vistazo a lo que se está ejecutando en el entorno y consolidar y simplificar la arquitectura. Avanzar hacia las mejores plataformas que proporcionen una funcionalidad integrada y sin fisuras, simplificará y reducirá los costes operativos.
A medida que las organizaciones pasan por esta transformación, necesitan una clara comprensión de la madurez del actual programa de operaciones de TI y seguridad. La mayoría de los departamentos de TI están llevando a cabo un cambio importante en su estrategia, pasando a un enfoque "Cloud First", sustituyendo las aplicaciones corporativas fundamentales por las que se ofrecen como aplicaciones SaaS en la nube. Al mismo tiempo, también hay un nuevo cambio en esta estrategia hacia "Sólo Nube", en la que las empresas se están moviendo para eliminar completamente sus centros de datos. Esto está impulsando la reinversión en las personas, los procesos y las tecnologías para satisfacer los nuevos requisitos y, al mismo tiempo, gestionar tanto las amenazas como la protección de datos. Mientras que casi todas las áreas de seguridad se ven afectadas, algunas de las áreas clave a revisar incluyen:
- Autenticación
- Seguridad de la red
- Visibilidad
Autenticación
Los trabajadores remotos requieren un sistema de autenticación más robusto. No se puede confiar sólo en la ubicación física o el dispositivo. Los sistemas multifactoriales que son casi transparentes para el usuario final necesitan encontrar un equilibrio entre una buena seguridad y la facilidad de uso. Los trabajadores de hoy en día requieren la capacidad de trabajar desde múltiples dispositivos como su computadora portátil, tableta, teléfono e incluso ordenadores personales. El mundo digital se construye en torno al usuario y la tecnología moderna le ofrece muchas opciones. En el pasado, considerábamos al usuario como el eslabón más débil, pero ahora el usuario tiene el mayor poder.
Durante mucho tiempo, hemos aplicado los conceptos de "mínimo privilegio" o de “dar a conocer solo lo que es necesario ", en los que concedíamos a los usuarios un acceso mínimo con fuertes protecciones. De manera similar a la forma en que cambiamos nuestra estrategia de redes de "sólo permitir" a "redes de confianza cero", necesitamos cambiar la forma en que gestionamos el acceso de los usuarios. La nueva normalidad será permitir el acceso, "el usuario decide", y aplicar restricciones a los datos por excepción, cambiando el enfoque para permitir el uso de los datos. Si se hace el cambio a menores restricciones en el acceso a los datos, se requerirá la implementación de análisis de comportamiento más sofisticados para detectar el mal uso de los datos.
Confianza Adaptativa
Más del 90% de los nuevos ordenadores adquiridos son ahora dispositivos móviles. Los usuarios de hoy en día exigen la posibilidad de acceder desde cualquier lugar, en cualquier dispositivo, y acceder a todo. Para satisfacer esta nueva demanda, las empresas necesitan ajustar sus procesos y tecnología de autenticación y autorización.
Una forma de abordar el problema es a través de un esquema de confianza adaptativa. Un plan de confianza adaptativa ajusta el nivel de confianza en la autenticación al nivel de riesgo del activo al que se quiere acceder o modificar. En un modelo de confianza adaptativa se examinan cinco elementos básicos para determinar si se concede el acceso:
- Nivel de autenticación
- Nivel de acceso
- Confianza de la aplicación
- Confianza del dispositivo
- Clasificación de los activos
Implementar una Confianza Adaptativa
Utilizando estos cinco elementos básicos de la confianza adaptativa, se puede tomar una decisión dinámica en tiempo real sobre si se debe conceder el acceso. La información de mayor valor y el mayor nivel de acceso requieren más confianza en el usuario, el dispositivo y la aplicación. Los niveles de confianza más altos son más costosos e intrusivos, por lo que un mejor programa de seguridad encontrará el equilibrio entre el nivel de confianza requerido y la acción que se solicita. Tenga en cuenta que la confianza cero va más allá del usuario e incluye los dispositivos, aplicaciones, etc. En el mundo dinámico de hoy en día no hay ninguna confianza implícita en ninguna parte de la transacción.
Seguridad de la red
El servicio de acceso seguro en el borde (SASE o Secure Access Service Edge) es la convergencia de la red como servicio y la seguridad como servicio y un marco emergente de seguridad y red que guía la estrategia sobre cómo se despliegan y consumen los datos y las aplicaciones. SASE hace evolucionar aún más la infraestructura de seguridad para proteger un entorno cada vez menos perimetral. El objetivo del modelo SASE es cambiar las operaciones de la gestión de los dispositivos de seguridad tanto para la nube como para la web a la entrega de un servicio central basado en políticas a través de una plataforma de microservicios nativa de la nube. Aquí es donde vemos la aparición de un Gateway de Seguridad Web de Nueva Generación (NG SWG) que es nativo en la nube y entiende los nuevos lenguajes de protocolo utilizados hoy tanto en tráfico web, como en servicios cloud.
El cambio a aplicaciones en la nube con mucha información ha movido la mayoría del tráfico desde el interior de los centros de datos hacia las aplicaciones basadas en la nube, por lo que ya no tiene sentido llevar de vuelta toda la información. Sin los controles adecuados, se elimina la seguridad, la visibilidad y la protección contra amenazas de un centro de datos tradicional. Zero Trust Network Access (ZTNA) es una arquitectura que permite prestar atención y dar soporte a los empleados móviles. ZTNA no es una tecnología o proceso único, sino una serie de principios que cuando se juntan proporcionan la capacidad de igualar el nivel de autenticación y los atributos del dispositivo (gestionados versus no gestionados) con el nivel de riesgo asociado. El nivel de riesgo está relacionado con el empleado, la confidencialidad de la información, el tipo de acceso y el nivel de confianza de la aplicación.
Cuando se utiliza una aplicación SaaS existe una mayor necesidad de comprender quién está utilizando la aplicación y con qué propósito. Las aplicaciones SaaS suelen tener una gran funcionalidad y la mejor manera de manejar los cambios es a través de una pasarella de Seguridad de Acceso a la Nube (CASB) con protección avanzada contra amenazas y DLP. El uso de un CASB proporciona la capacidad de identificar y proteger contra el malware, proporcionar visibilidad de las aplicaciones SaaS que se están utilizando y controlar cómo se están utilizando. La estrategia también debe incluir el bloqueo o la autorización de tipos de datos a través de políticas de prevención de fuga de datos (DLP) e identificar el nivel de riesgo de una aplicación para protegerse contra el uso de aplicaciones de alto riesgo en la nube.
Visibilidad
La visibilidad es uno de los controles más importantes para prevenir violaciones masivas de seguridad. Si se puede detectar y responder inmediatamente cuando un endpoint se ve comprometido, entonces no hay un impacto material financiero. Si la brecha tarda meses o años en detectarse, hay importantes costes financieros y para el negocio, posiblemente de millones.
La falta de visibilidad es un problema muy real para muchas organizaciones. Las empresas están encontrando soluciones a sus necesidades más urgentes en las nuevas aplicaciones basadas en SaaS. Pero es posible que el departamento de seguridad ni siquiera sepa que la empresa está usando una determinada aplicación SaaS, y no pueda gestionar el riesgo de algo que no puede ver. Esto es especialmente cierto cuando los proveedores de soluciones SaaS rara vez les dan acceso a los logs de las aplicaciones, tradicionalmente utilizados para construir un SIEM. A menos que haya forzado a que todo el tráfico de red de los dispositivos gestionados vaya siempre de vuelta a su centro de datos, va a ir directamente a las aplicaciones en la nube. Si sus usuarios van directamente a O365, GSuite, Salesforce, entonces usted está completamente ciego frente a la transacción, a menos que implemente un proxy de monitoreo. Lo que agrava aún más el problema es que la mayoría de los usuarios tienen más de un dispositivo y acceden a las aplicaciones desde sus dispositivos personales, tabletas o teléfonos. Sin implementar las tecnologías adecuadas hay otro gran agujero en su visibilidad.
Dado este cambio en el tráfico de la red, su estrategia debe incluir una capacidad de proxy de reenvío y de proxy inverso para permitir la inspección del tráfico de red. Esto se debe a que la mayoría de las aplicaciones en la nube han implementado el cifrado SSL, lo que también deja ciegos los métodos de descifrado tradicionales. La solución debe mirar más allá de la URL de destino en lo profundo de JSON y ser capaz de decodificar el tráfico en la nube para tener en cuenta el contexto y el contenido. Su solución también debe estar en línea para poder reaccionar en tiempo real y responder a este tipo de preguntas: ¿El usuario está accediendo a una instancia corporativa o personal de la aplicación? ¿Está tratando de leer, escribir o compartir los datos? ¿Son los datos sensibles? Y ¿Nuestra política corporativa permite esta transacción?
Los proveedores de soluciones SaaS van a necesitar la presión de la industria para que proporcionen los registros (logs) a sus clientes para mantener el sistema bajo control y proporcionar la supervisión necesaria para cumplir con nuestras exigencias de gestión de riesgos y de tipo normativo.
¿Quiere saber más sobre las fuerzas restantes?Lea mi siguiente artículo en el blog, sobre Cultura Organizativa y Adversarios y Amenazas, aquí.
Si bien es cierto que el año 2020 ha cambiado el panorama de la seguridad en la nube, Netskope fue construido específicamente para SASE. ¡Permítanos mostrarle por qué durante nuestra Semana SASE! ¡Haga clic aquí para más información!
Lea el blog