Opini贸n | 驴Cu谩l es el rol de la seguridad en la innovaci贸n?

A pesar de sus ventajas, el uso de la nube implica una expansi贸n de la superficie de ataque.

La seguridad tiene un rol fundamental en la innovaci贸n porque permite generar nuevos negocios. La seguridad hoy hace posible identificar a los usuarios con herramientas como el doble factor de autenticaci贸n e intercambiar archivos firmados f铆sica o electr贸nicamente de manera segura. Esto abre a la generaci贸n de nuevos negocios y nuevas maneras de operar.

Tenemos tambi茅n el caso donde es la seguridad misma la que nos permite innovar, por ejemplo, en la integraci贸n de las fuerzas de trabajo al modelo de teletrabajo que tanto ha ayudado a minimizar el impacto econ贸mico de la pandemia del COVID-19 a nivel mundial.

En el caso espec铆fico del uso de nubes, la seguridad tambi茅n nos permite integrar entornos multicloud y en las instalaciones de las empresas (on premise) como si fueran una 煤nica red a trav茅s del uso de una red privada virtual (VPN). Esto es lo que llamamos entornos h铆bridos.

El rol de la nube en la innovaci贸n

El uso de las nubes cumple un papel muy importante en la innovaci贸n. 驴Por qu茅? Porque la nube plantea un entorno din谩mico y 谩gil que permite reducir tiempos de prueba y de lanzamiento al mercado, y escalar r谩pidamente en caso de ser necesario. Todo esto sin grandes inversiones iniciales.

Un reporte de McKinsey del a帽o 2019 muestra que para el 85% de los CIO y CTOs, la nube es esencial en al menos dos de sus tres principales prioridades de negocio, que son la aceleraci贸n de ingresos y la mejora tanto en la agilidad como en el tiempo de salida al mercado.

Sin embargo, el uso de la nube implica una expansi贸n de la superficie de ataque. Ya no solo tenemos que proteger nuestra infraestructura, sino tambi茅n la que se tiene en la nube. Hoy vemos empresas que tienen sus infraestructuras propias sumadas a diferentes nubes p煤blicas y privadas, con datos y aplicaciones movi茅ndose entre ellas, que es lo que se llama entornos h铆bridos. Esto crea entonces no s贸lo una mayor superficie de ataque, sino tambi茅n una superficie de ataque heterog茅nea y din谩mica.

Es momento de plantear algunas preguntas:

  • 驴Cu谩l es la responsabilidad de los proveedores de nube respecto de la seguridad?

Para aclarar este punto es interesante revisar el modelo de responsabilidad compartida. Es claro que cuando la infraestructura es propia u on premise, uno es responsable de todas las capas: la seguridad f铆sica, la conectividad de red, el entorno de virtualizaci贸n, los sistemas operativos, la informaci贸n y el control de acceso, entre otros. 

Cuando revisamos lo que es software como servicio (SaaS), la responsabilidad que tenemos como clientes de nube es tener visibilidad de lo que ocurre, es decir lo que hacen nuestros usuarios en la nube, lo que llamamos control de la plataforma. 

Cuando hacemos foco en los entornos de infraestructura como servicio (IaaS), el proveedor de nube es responsable de que no se afecte su capa de red ni la capa de virtualizaci贸n, mientras que el resto sigue siendo responsabilidad de quien contrata los servicios de nube. Entre esas responsabilidades est谩n, por ejemplo, la gesti贸n de los sistemas operativos y su seguridad, aplicaciones, el control de acceso y gesti贸n de la informaci贸n.

Para reforzar este 煤ltimo concepto, un reporte de Gartner indica que para el a帽o 2025 el 99% de las fallas de seguridad en la nube ser谩n debido a fallas atribuibles a los clientes.

  • 驴Cu谩les son las recomendaciones a tener en cuenta a la hora de proveer seguridad en la nube?

Cuando hablamos de seguridad en esquemas de IaaS debemos tener en cuenta tres componentes.

  • Seguridad de red: c贸mo nos conectaremos a la nube y c贸mo utilizaremos los servicios que se desplieguen sobre ella. Debemos entender tambi茅n c贸mo se interconectar谩 nuestra red y los usuarios a dicha nube. 驴Ser谩 por VPN o acceso p煤blico, qu茅 protocolos deben permitirse? Tambi茅n debemos entender los esquemas dentro de cada cloud. 驴Habr谩 m煤ltiples redes o dominios que se deben ver entre s铆, y c贸mo limitamos los ataques dentro de la nube?
  • Seguridad de las aplicaciones: es importante considerar si tendremos servicios web publicados, cu谩les aplicaciones debemos proteger y si debemos asegurar tambi茅n servidores mediante mecanismos de IPS. Cabe destacar la integraci贸n v铆a API, que seguir谩 creciendo, y por lo tanto lo har谩n sus requerimientos de seguridad.
  • Visibilidad y control de la plataforma: esto debe incluir sus configuraciones, actividades de usuarios, an谩lisis de tr谩ficos, seguridad de la informaci贸n y sus movimientos, y poder determinar su estado de cumplimiento en cuanto a recomendaciones y regulaciones de seguridad de la informaci贸n.

El valor de una seguridad integrada

Un punto crucial es que las herramientas de seguridad permitan una visualizaci贸n y gesti贸n unificadas, as铆 como tambi茅n la integraci贸n y automatizaci贸n de los diferentes componentes de las diversas nubes. Recordemos que una caracter铆stica de la nube es su dinamismo, por lo que las herramientas deben permitir acompa帽ar esta velocidad y deben hacerlo de manera segura y consistente con la postura de seguridad para el resto de la organizaci贸n.

En Fortinet decimos la frase 鈥渃ualquier aplicaci贸n en cualquier lugar, la misma seguridad en todas partes鈥. Es decir, poder desplegar una aplicaci贸n en forma segura en cualquier lugar y poder disponer del mismo nivel de seguridad para todos los sitios. Otro aspecto clave es tener la capacidad de integrar las nubes con entornos privados v铆a el uso de VPN o inclusive v铆a SD-WAN para hacer un uso m谩s eficiente de los servicios de conectividad y obtener una mejor experiencia para las aplicaciones.

La posibilidad de manejar diferentes soluciones para cada plataforma de forma integrada, sumado con la automatizaci贸n, permite tener posturas consistentes para toda nuestra superficie de ataque, facilita la gesti贸n y reduce el costo total de propiedad (TCO). Estas soluciones les permiten a las empresas innovar de manera 谩gil y segura.

Innovar sin tener en cuenta la seguridad puede llevar a que todo el trabajo realizado y el 茅xito de una empresa se desmorone ante un ataque o una falla de seguridad detectada. Una vulnerabilidad descubierta o, peor a煤n, un ataque, puede hacernos perder activos muy importantes para la compa帽铆a y afectar fuertemente a nuestra marca y a nuestros clientes. 

Por Fernando Plancic, ingeniero experto en Seguridad de Fortinet Argentina


驴Desea suscribirse a nuestro newsletter?

Contacto | Diario TI es una publicaci贸n de MPA Publishing International Ltd.