En la última década, Internet ha experimentado cambios significativos. Mientras que en el pasado se utilizaba principalmente para acceder a la información, en los últimos años se ha convertido en una herramienta de conectividad que proporciona acceso a SaaS e IaaS críticos para el negocio. Estos servicios basados en la nube han permitido a las empresas ser más ágiles y flexibles, facilitando el trabajo remoto y mejorando enormemente la colaboración con colegas de todo el mundo.
Pero, aunque Internet—y el uso que le damos—ha cambiado radicalmente, las herramientas de seguridad que colocamos entre nuestros usuarios e Internet (históricamente, el proxy web) no han cambiado tanto. He aquí cinco formas en las que Internet ha cambiado, con reflexiones sobre cómo debe adaptarse la seguridad.
1. Los servicios críticos para el negocio están en Internet
Hoy en día es difícil encontrar una empresa que no utilice algún tipo de aplicación en la nube. Ahora son tan fundamentales para el funcionamiento de cualquier negocio que prefiero evitar el nombre cursi de "aplicación en la nube" y llamarlas servicios críticos para el negocio. Pero a pesar de su omnipresencia, presentan una enorme diversidad en cuanto al cumplimiento normativo y los estándares de protección de datos.
Hacemos un seguimiento de las características de privacidad y seguridad de más de 60.000 aplicaciones en la nube diferentes que las empresas utilizan con regularidad, y en el extremo "más confiable" de la escala se encuentran algunos servicios SaaS populares que casi todas las empresas utilizan para gestionar sus operaciones cotidianas. Me refiero a Microsoft 365, Amazon Web Services, Google Suite y Salesforce.
Llevan nombres grandes y de confianza y, como tales, a menudo se consideran seguros—a veces hasta el punto de que se les permite eludir por completo la seguridad de Internet.
Aquí hay dos puntos a tener en cuenta. En primer lugar, en esta Internet cambiada, necesitamos sistemas de seguridad capaces de proporcionar visibilidad, control e informes precisos de todas las aplicaciones en la nube, incluida información sobre los distintos riesgos que conllevan. Los proxies web de la vieja escuela no pueden hacer esto.
En segundo lugar, tenemos que replantearnos las concesiones que hacemos a las marcas de confianza. Microsoft no puede garantizar que los enlaces de OneDrive no alberguen contenido malicioso del mismo modo que no puede hacerlo con su sitio web. Mientras que en el pasado podíamos haber dedicado puertos y permitido excepciones indulgentes en la política para cierto tráfico saliente de aplicaciones o URLs, este es un enfoque peligroso ahora que Internet ha cambiado. Todas las aplicaciones basadas en Internet – independientemente de la marca que lleven – deben incluirse en una política de seguridad estricta. Y la seguridad tradicional a menudo tiene dificultades para hacerlo sin obstaculizar gravemente la experiencia del usuario.
2. Nuestra infraestructura está en Internet
No es sólo SaaS... las organizaciones también están migrando su infraestructura a proveedores de servicios en la nube IaaS como Amazon Web Services (AWS), Microsoft Azure y Google Cloud Platform (GCP).
Cuando esta infraestructura ya no está dentro de un perímetro, tenemos que asegurarnos de que se pueden mantener la visibilidad y los controles y, de nuevo, la seguridad web tradicional tiene dificultades. Es increíblemente común que las organizaciones consideren IaaS como otra excepción—esencialmente circunnavegando la seguridad en aras de la velocidad de los datos—para la infraestructura central crucial que podría decirse que es la que más necesita seguridad. La seguridad necesita proporcionar la misma visibilidad y control de todos los diversos recursos (scripts, contenedores y kubernetes) dentro de IaaS, así como las acciones tomadas por sus administradores dentro de estos servicios y recursos.
3. Las identidades y las instancias se confunden en Internet
No todos los accesos a OneDrive se crean igual... pero las tecnologías de seguridad y protección de datos construidas para un mundo anterior al cambio de internet tienen dificultades para entender esto.
Es normal que los empleados de una organización tengan una necesidad legítima de acceder a varias instancias de la misma aplicación–quizás al OneDrive de un partner o cliente, quizás a un OneDrive personal. La detección de instancias es fundamental en este caso, ya que ayuda a las empresas a identificar con qué instancia de una aplicación está interactuando un empleado y a diseñar políticas matizadas y granulares basadas no sólo en la URL, sino también en la cuenta y la instancia.
A modo de ejemplo, sin la detección de instancias, cuando se comparte una carpeta de Google Drive corporativo de una organización a otra, existe el riesgo de que la información sensible de una organización pueda compartirse accidentalmente con la otra sólo porque los sistemas de seguridad anticuados piensan que Google Drive siempre está bien.
4. Permisos y "segregación de funciones" en Internet
Internet solía ser un lugar donde se consumía información—y la seguridad se construyó teniendo en cuenta ese caso de uso. Pero las aplicaciones en la nube no son como los sitios web tradicionales. Tienen una amplia gama de sofisticadas capacidades a las que los usuarios pueden acceder y permitir; desde editar y crear, hasta borrar y compartir archivos. Como tal, las empresas deben ser conscientes de los múltiples comandos de actividad diferentes que los usuarios pueden ejecutar, y ser capaces de proporcionar permisos precisos para garantizar una adecuada "segregación de funciones."
5. Las URL malas parecen buenas
¿Recuerda cuando gran parte de un curso anual de formación en seguridad incluía consejos como "Mire la URL en busca de pistas de que algo peligroso acecha allí"? Esta es otra de las formas en las que Internet ha cambiado, en el sentido de que ahora a menudo es mucho más difícil para un usuario aplicar un conjunto básico de reglas estáticas para evitar actividades de riesgo. El hecho es que casi la mitad de todas las descargas de malware proceden ahora de la nube, por lo que es más importante que nunca que las herramientas de seguridad ayuden a los usuarios a evitar riesgos.
Las políticas matizadas deben trabajar mano a mano con la formación en tiempo real para garantizar que los usuarios puedan seguir participando en la defensa. Puede leer más sobre la formación en tiempo real en este reciente artículo de blog, pero en esencia proporciona a los usuarios información en tiempo real y orientación sobre cómo utilizar de forma segura las aplicaciones en la nube. En lugar de simplemente bloquear el acceso a ciertos sitios web o recursos, los usuarios pueden ser educados sobre los riesgos potenciales y cómo mitigarlos.
Aunque los controles de seguridad como las "páginas de bloqueo" siguen teniendo su lugar a la hora de proteger las aplicaciones en la nube, la formación en tiempo real y la concienciación sobre la seguridad proporcionan un enfoque mucho más eficaz y proactivo. Al proporcionar a los usuarios los conocimientos y herramientas necesarios para protegerse y tomar decisiones con una comprensión clara del riesgo, las organizaciones pueden reducir la probabilidad de incidentes de seguridad y crear mejores ciudadanos digitales en el proceso.
Internet ha cambiado y usted también debería hacerlo
Al igual que Internet ha evolucionado, nosotros también tenemos que adaptarnos. La Internet actual está llena de matices y contextos, y requiere tecnologías de seguridad que hablen el lenguaje de la nube (JSON) y permitan la aplicación de políticas granulares. Los proxies web y las pasarelas de seguridad web tradicionales son incapaces de lograr el equilibrio entre habilitación y control, pero un stack de servicios de seguridad moderno e inteligente puede garantizar que las organizaciones puedan mitigar el riesgo (en un panorama de amenazas en evolución), al tiempo que se ejecutan rápidamente para aprovechar las ventajas de la nube.
Más información sobre Security Service Edge (servicio de seguridad en el borde o SSE) en nuestra Guía para Principiantes.
