Numerosas y voluminosas amenazas a la seguridad cibernética
aguardan a los CISOs, después de un año de incertidumbre. Pedimos a un panel de
expertos sopesar los riesgos y plantear algunas formas seguras de avanzar.
La nube, con todos sus
beneficios, sigue siendo un dolor de cabeza para los profesionales de la
seguridad, especialmente después de un año en el que tantos trabajadores
remotos han dependido de ella. Esta es la perspectiva de Mauricio Sánchez,
Director de Investigación de Seguridad Cibernética de la firma analista
independiente Dell’Oro Group, quien encabezó un panel de expertos de alto nivel
en seguridad cibernética para reflexionar sobre el problemático panorama que se
avecina.
“Cuando
hablamos de la transformación digital de las empresas, pasando de los entornos
on-prem a los entornos de nubes públicas, sin duda se ha convertido en un
enorme desafío de seguridad en 2020”, dice Sánchez. “Todo se deriva de esta
pandemia y de las formas en que ha afectado no sólo a la sociedad sino también
a la forma en que llevamos a cabo nuestro trabajo”. La mayoría de nosotros
ahora probablemente trabaja desde casa”.
Los
problemas de seguridad cibernética del mañana ya han llegado, cree Sánchez, en
forma de Inteligencia Artificial, la aparición de las redes 5G, y la explosión
masiva de dispositivos de IoT: “Hay grandes problemas de seguridad que rodean a
este trío, y están abriendo todo un nuevo conjunto de superficies de amenaza”.
“El
mercado ha explotado para los proveedores de servicios públicos de nubes, con
un crecimiento anual compuesto del 41% de 2014 a 2019”, señala. “Cuando miras
lo que ha pasado con el gasto en seguridad en el mismo período, no ha sido tan
malo. Los aparatos físicos probablemente ya no son tan populares a medida que
nos movemos a los entornos de cloud computing. Pero aún así han crecido un 7%
en los últimos cinco años. Luego se observa la seguridad virtual y basada en
SASE y que no sólo se ha mantenido, sino que ha superado ligeramente los
ingresos de la nube de los proveedores de servicios de nube pública. Lo que se
dice es que la gente va a la nube, y está gastando una buena cantidad de dinero
de sus presupuestos, en seguridad”.
“¿Quién
hubiera pensado que el año 2020 resultaría como ha sido”, reflexiona Sánchez,
señalando cómo se ha producido una reinvención del lugar de trabajo de la noche
a la mañana. “Usando los datos de los censos así como los del Banco Mundial,
miro cómo el mundo para la fuerza de trabajo de la empresa cambió de la noche a
la mañana. Al entrar en la pandemia, había alrededor de 100 millones de
trabajadores remotos en todo el mundo a tiempo completo. Eso aumentó casi tres
veces desde el comienzo de 2020 con la pandemia. Naturalmente, se ha discutido
mucho sobre cómo la estrategia de seguridad debe transformarse y evolucionar
para hacer frente a eso”.
Entonces,
¿qué sigue? Sánchez señala que 5G va a liberar una red de velocidades de
gigabit en todas partes, así como 50 mil millones de dispositivos de IOT. Luego
está la IA con su capacidad de desatar la innovación de maneras magníficas, en
áreas desde la medicina hasta la ciberseguridad. Pero todas estas nuevas
tecnologías vienen con un punto débil”.
Para
averiguar qué es lo que la industria de la seguridad está haciendo bien, qué es
lo que está haciendo mal y cuáles son las principales consideraciones para el
futuro, Sánchez preguntó a un panel de los principales nombres de la
seguridad.
El
Dr. Ronald Layton es Vicepresidente de Operaciones de Seguridad Convergente con
el operador de banca de consumo Sallie Mae, y un antiguo experto gubernamental
en el campo de las ciberamenazas. Él argumenta en contra de ver la seguridad
como un esfuerzo binario: ya sea correcto o incorrecto: “Es más sobre la
adaptación”, cree. “Se trata del viaje. Hay una gran conversación en torno a
on-prem a la nube, la elección es entre pasos o el Big Bang. Pasos significa
que lo haces de forma incremental, moviendo algunas aplicaciones. El Big Bang
significa que estás dentro”.
“La
seguridad nativa de la nube nunca va a cubrir todas las bases, porque se basa
en un núcleo de Linux, sugiere John Kindervag, Jefe de Tecnología de Campo de
Palo Alto Networks: “Es un malentendido pensar que realmente puedes asegurar la
nube basado en la tecnología de la nube”, advierte. “Linus Torvalds debería ser
la persona más rica del mundo por lo que hizo con Linux. Sin Linux la
nube no existe, pero no tiene características de seguridad robustas y todos los
hackers saben cómo evitar los controles de la capa tres. Me siento como si
viviera en el cambio de siglo, cuando todavía estábamos en la capa tres de
seguridad y no habíamos subido en la pila todavía. Y tenemos que subir la pila
en la seguridad de la nube y hacerlo tan robusto como lo hacemos en nuestros
centros de datos. El proveedor de la nube siempre dirá que no es mi culpa”.
Joe
Sullivan, Director de Seguridad de la empresa de seguridad web CloudFlare cree
que hay que mirar más allá de la tecnología y pensar más en enfoques
estructurales y organizativos: “Los equipos de tecnología relacionados con el
negocio están corriendo hacia la nube”, señala. “Mientras que los equipos de
seguridad se están arrastrando, y eso es porque tienen diferentes mentalidades.
Los líderes empresariales sólo están mirando los costes y la oportunidad, y la
nube proporciona la eficiencia y la capacidad de centrarse en las prioridades
del negocio”.
Kevin
Deierling Vicepresidente senior del fabricante NVIDIA está de acuerdo en que la
tecnología se está quedando un poco rezagada a la hora de abordar los problemas
de seguridad en la nube: “Mucha gente sigue operando en un modelo de seguridad
periférica. Pero cuando te mueves a la nube, en realidad necesitas subir toda
la pila. La capa tres no es suficiente, tienes que ir hasta la aplicación. Y
para hacer eso, ha habido una penalización bastante alta por desplegar
seguridad definida por software”.
La
automatización tiene que estar al frente y en el centro, afirma Mary Gardner,
Vicepresidenta y Jefa de Seguridad de la Información de F5 Networks: “A medida
que nos movemos hacia la nube, necesitamos asegurarnos de que estamos estableciendo
controles que eviten que ocurran errores en primer lugar”, dice. “Porque cuando
lo miramos, la mayoría de las brechas en la nube son causadas por los humanos.
Cuanta más automatización usemos y más gestión de configuración usemos, creo
que estaremos más adelantados. Y también reducimos nuestro tiempo medio de
detección de errores”.
Kindervag
de Palo Alto Networks puede afirmar que es un pionero de buena fe en
ciberseguridad, habiendo creado el concepto de Cero Confianza: “El trabajo
remoto está aquí para quedarse”, cree. “Estamos viendo gente que está
aumentando su productividad porque no están perdiendo el tiempo en el
refrigerador de agua. Si estás en la TI o en la ciberseguridad, las tecnologías
estaban ahí y listas para ser adoptadas. Tuve clientes que hicieron tres años
de trabajo en tres meses, porque era muy fácil de implementar. Sin nosotros en
el sector de la seguridad más gente estaría enferma. Tenemos que entender que
contribuimos mucho a la salud, la seguridad y el bienestar del mundo porque
tenemos estas tecnologías en su lugar. Ahora puedes pulsar un interruptor,
porque estas tecnologías están basadas en la nube, son ágiles, están
automatizadas”.
Layton
de Sallie Mae pintó un cuadro de algunas realidades del lugar de trabajo
moderno: “Tenemos millennials, que trabajan en un hogar multigeneracional en su
cocina. Tal vez mamá y papá y los pequeños están en la casa, y otros que tienen
acceso a sus pantallas. Esto ha introducido vulnerabilidades adicionales que
son muy difíciles de manejar. Pero hay una oportunidad allí, es una oportunidad
para dirigir la conversación sobre la higiene, hay una oportunidad para dirigir
las políticas individuales del lugar de trabajo, tal vez hacer que la gente
firme declaraciones”.
Kindervag
de Palo Alto Networks se opone a hablar de gente que hace cosas estúpidas:
“Estoy cansado de que los de seguridad culpen a las víctimas, porque esto es
demasiado difícil de resolver por los seres humanos. Necesita ser resuelto
tecnológicamente. El spam y el phishing son un problema tecnológico, no un
problema de conciencia de seguridad”.
Gardner
de F5 Networks está de acuerdo en que la seguridad es predominantemente un
problema tecnológico: “Pero creo que estamos justo en medio de una transición”,
dice. “Llegué a una empresa técnica desde que estaba en la atención sanitaria,
y cuando estaba en la atención sanitaria no se gastaba tanto dinero en
tecnología, y mucho menos en seguridad. Tiene que haber un pivote, y mientras
estamos en medio del pivote lo que realmente me preocupa es que estamos
pidiendo a mucha gente que trabaje en un hogar con niños, con sobrinos,
sobrinas. Y le estamos pidiendo al lego que se convierta en un ingeniero de
redes. ¿Cómo segmentan sus dispositivos IoT del portátil que necesitan
proteger? Me encanta la tecnología. Creo que como profesionales de la
seguridad, tenemos que estar más dispuestos a adoptar nuevas tecnologías y ser
más abiertos sobre cómo las adoptamos y permitir que nuestras empresas las
adopten y nuestros clientes”.
Todos
los ponentes coincidieron en que COVID ha demostrado lo impredecible que es el
mundo, sobre todo si se mira desde la perspectiva de un profesional de la
seguridad. No es el tipo de profesión en la que uno se despierta un día y dice
“mi trabajo está hecho”. Puede que sea por eso que la gente se siente atraída
por la seguridad en primer lugar, por el desafío que representa y su papel
central en la forma en que vivimos y trabajamos.
Fuente: Diarioti.com
No hay comentarios:
Publicar un comentario