Los responsables de seguridad se preguntan a menudo por qué es importante el rendimiento. En este artículo de blog, discutiremos el "tira y afloja" que existe entre la implementación de controles de seguridad robustos y la entrega de una experiencia de usuario superior, mientras destacamos los hallazgos de un nuevo libro blanco del analista del sector IDC, y resaltamos por qué el diseño de la infraestructura NewEdge de Netskope es tan importante para la forma en que abordamos estos desafíos.
Es importante que los responsables de la toma de decisiones en materia de seguridad y los profesionales comprendan el grave riesgo que supone la degradación del rendimiento y por qué las consideraciones sobre la red son fundamentales. Si no se tiene en cuenta el rendimiento, en el mejor de los casos la seguridad en la nube ralentiza el negocio. En el peor de los casos, los usuarios se saltan todos los controles de seguridad–ignorando horas de formación en materia de seguridad–lo que aumenta la exposición de la organización y disminuye el retorno de sus importantes inversiones en seguridad.
Afortunadamente, en la mayoría de las oportunidades que he encontrado en Netskope, el departamento de redes juega un papel integral en la influencia de las decisiones de seguridad, especialmente cuando se trata de servicios en línea como la arquitectura Security Service Edge (servicio de seguridad en el borde o SSE) y de la arquitectura Security Access Service Edge (servicio de acceso seguro en el borde o SASE), así como de capacidades individuales como Secure Web Gateway (gateway de seguridad web o SWG), Firewall a as Service (firewall como servicio a FWaaS) o Zero Trust Network Access (acceso a la red baso en confianza cero o ZTNA).
Diferentes mentalidades: seguridad versus redes
Mientras que los departamentos de seguridad suelen centrarse en la profundidad y la amplitud de las funciones para proteger los datos, identificar las amenazas, comprender las instancias de las aplicaciones o recoger el contexto para obtener la mejor eficacia en materia de seguridad, el trabajo en redes se centra en las velocidades y los flujos. En resumen, la rapidez con la que el tráfico llega a la nube, obtiene el procesamiento de seguridad necesario y lleva al usuario al contenido, los datos o la aplicación a la que intenta acceder. Para los responsables de redes, el rendimiento consiste en ofrecer una experiencia de alta calidad y también es la razón por la que las herramientas para solucionar los problemas rápidamente (como Digital Experience Management, o gestión de la experiencia digital de Netskope) están tan integradas en las decisiones de compra de seguridad en la nube.
Según los resultados de junio de 2022 de una encuesta de Dimensional Research, en la que se encuestó a más de 500 profesionales de seguridad y TI de empresas, un increíble 46% admitió haber relajado o pasado por alto la seguridad para mejorar la experiencia del usuario. En resumen, casi la mitad admite tomar el camino más fácil, menos seguro y más práctico en aras de una mejor experiencia. No hace falta ser un experto en seguridad para reconocer los peligros y los riesgos asociados a este compromiso. Afortunadamente, los resultados de la encuesta dejan claro que la gran mayoría de los clientes (el 90%) cree que es necesaria la supervisión de extremo a extremo para determinar si la seguridad entre sus usuarios finales y la nube está afectando a la calidad de la experiencia.
Esto es coherente con las previsiones de los analistas de Gartner de que, para 2025, la mitad de las organizaciones de TI habrán establecido una estrategia, un equipo humano y una herramienta de gestión de la experiencia digital, frente al 5% de 2021. También cabe destacar que en la encuesta de Dimensional Research más del 90% de los encuestados creen que la visibilidad de la experiencia del usuario final será imprescindible para la adopción y el éxito de SASE.
¿Por qué debería importar el rendimiento a los profesionales de la seguridad y las redes?
Poner el foco en la conexión entre los controles de seguridad, el rendimiento de la seguridad en la nube y, en última instancia, la experiencia del usuario, es el tema central de un nuevo documento del analista de IDC Chris Rodríguez. Se trata de un tema especialmente oportuno con el cambio al trabajo híbrido y los empleados que dividen su tiempo entre el trabajo remoto y el trabajo en las instalaciones de la empresa, en la oficina. Esto está impulsando el correspondiente aumento del interés por las soluciones de supervisión de la experiencia digital, ya que, como señala Rodríguez, "el 44% de los clientes admite que el trabajo híbrido limita la visibilidad" de la experiencia del usuario.
En el documento, Rodríguez afirma que "los sistemas de seguridad deben proporcionar protección sin obstaculizar las operaciones del negocio. La historia ha demostrado que las herramientas de seguridad incómodas pueden configurarse en modo de sólo monitorización, evitarse o desconectarse por completo, lo que conduce a una menor eficacia de la seguridad. En pocas palabras, la seguridad debe ser precisa, fiable, eficaz y sin fricciones. La transformación de la seguridad debe ir más allá de la mera adaptación al cambio tecnológico, sino que debe tener en cuenta también el "factor humano".
Un ejemplo de los arriesgados compromisos que a menudo se hacen entre la seguridad y la experiencia–a menudo ilustradas por los usuarios que no hacen lo que es "más seguro" sino lo que es más "práctico"–es lo que hemos visto a lo largo de los años con los cinturones de seguridad. No fue hasta que se promulgaron leyes, se realizaron campañas masivas en los medios de comunicación para educar a las personas sobre el riesgo de conducir sin cinturón de seguridad y se introdujeron avances tecnológicos (como los cinturones automáticos o las alarmas sonoras que avisan a los conductores cuando no se abrochan el cinturón de forma segura) que la gente se puso las pilas. Sí, fue una combinación de educación, pero también cosas que hicieron más fácil (o más molesto no abrocharse el cinturón) lo que impulsó el comportamiento correcto y, en este caso, la mejor postura de seguridad para los conductores que salen a la carretera. El CISO de Netskope para EMEA, Neil Thacker, escribió sobre un concepto similar en un artículo de blog reciente, a través de la perspectiva de la medida de seguridad Halo en las carreras de Fórmula 1, comparándola con la forma en que los controles minuciosos y la formación pueden ayudar a llevarnos a una mejor postura de seguridad y a unos mejores resultados empresariales.
Muchas veces esto es lo que hemos visto de primera mano en Netskope, incluso trabajando con algunas de las empresas más preocupadas por la seguridad y el cumplimiento normativo del mundo—como bancos, proveedores de atención sanitaria e incluso organismos gubernamentales. Experimenté esto poco después de unirme a Netskope cuando me enteré de que un cliente potencial se estaba embarcando en una prueba de concepto de seguridad web (POC) en la que los empleados se saltaban intencionadamente sus VPN para ir directamente a la red, sin ninguna protección de seguridad (de punto final o de otro tipo). Está bastante claro el riesgo asociado a este enfoque. La pregunta que me hice fue "¿por qué eligieron este camino?"–evitando el uso de su VPN o las molestias de la autenticación multifactor. La respuesta corta fue porque era más rápido y más práctico. Y por eso el artículo de Rodríguez es un tema tan importante. La seguridad y el rendimiento necesario para ofrecer una experiencia superior están interconectados.
La infraestructura adecuada para una experiencia digital superior
Como resultado de la inversión de más de 100 millones de dólares en la construcción de su nube privada de seguridad llamada NewEdge, Netskope está especialmente capacitado para ayudar a resolver este problema inherente que viene con la transformación de la seguridad. NewEdge se diseñó para garantizar que la seguridad en la nube se ofrezca sin que se produzcan compromisos en el rendimiento. Esta estrategia y el nivel de inversión subrayan aún más por qué la infraestructura subyacente es tan importante, no sólo para los responsables de las redes, sino también para los departamentos de seguridad.
Rodríguez también escribió que "la era de la transformación digital también presenta una oportunidad para que los proveedores de seguridad [como Netskope] aborden un compromiso de larga duración en la ciberseguridad: rendimiento versus protección... Ahora, los cambios tecnológicos y operativos introducidos por la transformación digital requieren que los profesionales de la seguridad consideren el rendimiento en el contexto del factor humano. A través de esta perspectiva, el rendimiento se convierte en un imperativo de seguridad".
¿No es hora de que, como sector, reconozcamos plenamente el eslabón más débil del "factor humano" y trabajemos colectivamente para acabar con el tira y afloja entre seguridad y rendimiento? Los clientes pueden tener ambas cosas: la seguridad que necesitan y la experiencia digital que esperan sus usuarios. En consecuencia, también es la razón por la que los clientes, tanto los responsables de seguridad como los de redes, deben prestar atención a la infraestructura subyacente de seguridad en la nube que sustenta SSE y SASE para asegurarse de que no haya compensaciones.
Más información
Para obtener más información sobre por qué el rendimiento y la experiencia del usuario son importantes, así como sobre la forma en que la rápida y centrada en el rendimiento red NewEdge, que alimenta Netskope Security Cloud, puede dar a su empresa una ventaja competitiva y soportar mejor el trabajo híbrido, descargue una copia gratuita del documento de IDC aquí.
Para profundizar más específicamente en el tema de la experiencia digital, como parte de la SASE Week de Netskope de este año, presentaré una sesión con la directora de gestión de producto de Netskope, Priyanka Pani, sobre la importancia de la visibilidad de extremo a extremo para supervisar el rendimiento y por qué es el "eje del éxito de SASE". Regístrese ahora para unirse a esta sesión el 13 de septiembre.
