Panel de expertos eval√ļa el panorama de seguridad para 2021

Numerosas y voluminosas amenazas a la seguridad cibern√©tica aguardan a los CISOs, despu√©s de un a√Īo de incertidumbre. Pedimos a un panel de expertos sopesar los riesgos y plantear algunas formas seguras de avanzar.

La nube, con todos sus beneficios, sigue siendo un dolor de cabeza para los profesionales de la seguridad, especialmente despu√©s de un a√Īo en el que tantos trabajadores remotos han dependido de ella. Esta es la perspectiva de Mauricio S√°nchez, Director de Investigaci√≥n de Seguridad Cibern√©tica de la firma analista independiente Dell’Oro Group, quien encabez√≥ un panel de expertos de alto nivel en seguridad cibern√©tica para reflexionar sobre el problem√°tico panorama que se avecina.

“Cuando hablamos de la transformaci√≥n digital de las empresas, pasando de los entornos on-prem a los entornos de nubes p√ļblicas, sin duda se ha convertido en un enorme desaf√≠o de seguridad en 2020”, dice S√°nchez. “Todo se deriva de esta pandemia y de las formas en que ha afectado no s√≥lo a la sociedad sino tambi√©n a la forma en que llevamos a cabo nuestro trabajo”. La mayor√≠a de nosotros ahora probablemente trabaja desde casa”. 

Los problemas de seguridad cibern√©tica del ma√Īana ya han llegado, cree S√°nchez, en forma de Inteligencia Artificial, la aparici√≥n de las redes 5G, y la explosi√≥n masiva de dispositivos de IoT: “Hay grandes problemas de seguridad que rodean a este tr√≠o, y est√°n abriendo todo un nuevo conjunto de superficies de amenaza”, dice. 

“El mercado ha explotado para los proveedores de servicios p√ļblicos de nubes, con un crecimiento anual compuesto del 41% de 2014 a 2019”, se√Īala. “Cuando miras lo que ha pasado con el gasto en seguridad en el mismo per√≠odo, no ha sido tan malo. Los aparatos f√≠sicos probablemente ya no son tan populares a medida que nos movemos a los entornos de cloud computing. Pero a√ļn as√≠ han crecido un 7% en los √ļltimos cinco a√Īos. Luego se observa la seguridad virtual y basada en SASE y que no s√≥lo se ha mantenido, sino que ha superado ligeramente los ingresos de la nube de los proveedores de servicios de nube p√ļblica. Lo que se dice es que la gente va a la nube, y est√° gastando una buena cantidad de dinero de sus presupuestos, en seguridad”. 

“¬ŅQui√©n hubiera pensado que el a√Īo 2020 resultar√≠a como ha sido”, reflexiona S√°nchez, se√Īalando c√≥mo se ha producido una reinvenci√≥n del lugar de trabajo de la noche a la ma√Īana. “Usando los datos de los censos as√≠ como los del Banco Mundial, miro c√≥mo el mundo para la fuerza de trabajo de la empresa cambi√≥ de la noche a la ma√Īana. Al entrar en la pandemia, hab√≠a alrededor de 100 millones de trabajadores remotos en todo el mundo a tiempo completo. Eso aument√≥ casi tres veces desde el comienzo de 2020 con la pandemia. Naturalmente, se ha discutido mucho sobre c√≥mo la estrategia de seguridad debe transformarse y evolucionar para hacer frente a eso”. 

Entonces, ¬Ņqu√© sigue? S√°nchez se√Īala que 5G va a liberar una red de velocidades de gigabit en todas partes, as√≠ como 50 mil millones de dispositivos de IOT. Luego est√° la IA con su capacidad de desatar la innovaci√≥n de maneras magn√≠ficas, en √°reas desde la medicina hasta la ciberseguridad. Pero todas estas nuevas tecnolog√≠as vienen con un punto d√©bil”.  

Para averiguar qu√© es lo que la industria de la seguridad est√° haciendo bien, qu√© es lo que est√° haciendo mal y cu√°les son las principales consideraciones para el futuro, S√°nchez pregunt√≥ a un panel de los principales nombres de la seguridad. 

El Dr. Ronald Layton es Vicepresidente de Operaciones de Seguridad Convergente con el operador de banca de consumo Sallie Mae, y un antiguo experto gubernamental en el campo de las ciberamenazas. √Čl argumenta en contra de ver la seguridad como un esfuerzo binario: ya sea correcto o incorrecto: “Es m√°s sobre la adaptaci√≥n”, cree. “Se trata del viaje. Hay una gran conversaci√≥n en torno a on-prem a la nube, la elecci√≥n es entre pasos o el Big Bang. Pasos significa que lo haces de forma incremental, moviendo algunas aplicaciones. El Big Bang significa que est√°s dentro”.

“La seguridad nativa de la nube nunca va a cubrir todas las bases, porque se basa en un n√ļcleo de Linux, sugiere John Kindervag, Jefe de Tecnolog√≠a de Campo de Palo Alto Networks: “Es un malentendido pensar que realmente puedes asegurar la nube basado en la tecnolog√≠a de la nube”, advierte. “Linus Torvalds deber√≠a ser la persona m√°s rica del mundo por lo que hizo con Linux.  Sin Linux la nube no existe, pero no tiene caracter√≠sticas de seguridad robustas y todos los hackers saben c√≥mo evitar los controles de la capa tres. Me siento como si viviera en el cambio de siglo, cuando todav√≠a est√°bamos en la capa tres de seguridad y no hab√≠amos subido en la pila todav√≠a. Y tenemos que subir la pila en la seguridad de la nube y hacerlo tan robusto como lo hacemos en nuestros centros de datos. El proveedor de la nube siempre dir√° que no es mi culpa”.

Joe Sullivan, Director de Seguridad de la empresa de seguridad web CloudFlare cree que hay que mirar m√°s all√° de la tecnolog√≠a y pensar m√°s en enfoques estructurales y organizativos: “Los equipos de tecnolog√≠a relacionados con el negocio est√°n corriendo hacia la nube”, se√Īala. “Mientras que los equipos de seguridad se est√°n arrastrando, y eso es porque tienen diferentes mentalidades. Los l√≠deres empresariales s√≥lo est√°n mirando los costes y la oportunidad, y la nube proporciona la eficiencia y la capacidad de centrarse en las prioridades del negocio”.

Kevin Deierling Vicepresidente senior del fabricante NVIDIA est√° de acuerdo en que la tecnolog√≠a se est√° quedando un poco rezagada a la hora de abordar los problemas de seguridad en la nube: “Mucha gente sigue operando en un modelo de seguridad perif√©rica. Pero cuando te mueves a la nube, en realidad necesitas subir toda la pila. La capa tres no es suficiente, tienes que ir hasta la aplicaci√≥n. Y para hacer eso, ha habido una penalizaci√≥n bastante alta por desplegar seguridad definida por software”. 

La automatizaci√≥n tiene que estar al frente y en el centro, afirma Mary Gardner, Vicepresidenta y Jefa de Seguridad de la Informaci√≥n de F5 Networks: “A medida que nos movemos hacia la nube, necesitamos asegurarnos de que estamos estableciendo controles que eviten que ocurran errores en primer lugar”, dice. “Porque cuando lo miramos, la mayor√≠a de las brechas en la nube son causadas por los humanos. Cuanta m√°s automatizaci√≥n usemos y m√°s gesti√≥n de configuraci√≥n usemos, creo que estaremos m√°s adelantados. Y tambi√©n reducimos nuestro tiempo medio de detecci√≥n de errores”.

Kindervag de Palo Alto Networks puede afirmar que es un pionero de buena fe en ciberseguridad, habiendo creado el concepto de Cero Confianza: “El trabajo remoto est√° aqu√≠ para quedarse”, cree. “Estamos viendo gente que est√° aumentando su productividad porque no est√°n perdiendo el tiempo en el refrigerador de agua. Si est√°s en la TI o en la ciberseguridad, las tecnolog√≠as estaban ah√≠ y listas para ser adoptadas. Tuve clientes que hicieron tres a√Īos de trabajo en tres meses, porque era muy f√°cil de implementar. Sin nosotros en el sector de la seguridad m√°s gente estar√≠a enferma. Tenemos que entender que contribuimos mucho a la salud, la seguridad y el bienestar del mundo porque tenemos estas tecnolog√≠as en su lugar. Ahora puedes pulsar un interruptor, porque estas tecnolog√≠as est√°n basadas en la nube, son √°giles, est√°n automatizadas”. 

Layton de Sallie Mae pint√≥ un cuadro de algunas realidades del lugar de trabajo moderno: “Tenemos millennials, que trabajan en un hogar multigeneracional en su cocina. Tal vez mam√° y pap√° y los peque√Īos est√°n en la casa, y otros que tienen acceso a sus pantallas. Esto ha introducido vulnerabilidades adicionales que son muy dif√≠ciles de manejar. Pero hay una oportunidad all√≠, es una oportunidad para dirigir la conversaci√≥n sobre la higiene, hay una oportunidad para dirigir las pol√≠ticas individuales del lugar de trabajo, tal vez hacer que la gente firme declaraciones”. 

Kindervag de Palo Alto Networks se opone a hablar de gente que hace cosas est√ļpidas: “Estoy cansado de que los de seguridad culpen a las v√≠ctimas, porque esto es demasiado dif√≠cil de resolver por los seres humanos. Necesita ser resuelto tecnol√≥gicamente. El spam y el phishing son un problema tecnol√≥gico, no un problema de conciencia de seguridad”.

Gardner de F5 Networks est√° de acuerdo en que la seguridad es predominantemente un problema tecnol√≥gico: “Pero creo que estamos justo en medio de una transici√≥n”, dice. “Llegu√© a una empresa t√©cnica desde que estaba en la atenci√≥n sanitaria, y cuando estaba en la atenci√≥n sanitaria no se gastaba tanto dinero en tecnolog√≠a, y mucho menos en seguridad. Tiene que haber un pivote, y mientras estamos en medio del pivote lo que realmente me preocupa es que estamos pidiendo a mucha gente que trabaje en un hogar con ni√Īos, con sobrinos, sobrinas. Y le estamos pidiendo al lego que se convierta en un ingeniero de redes. ¬ŅC√≥mo segmentan sus dispositivos IoT del port√°til que necesitan proteger? Me encanta la tecnolog√≠a. Creo que como profesionales de la seguridad, tenemos que estar m√°s dispuestos a adoptar nuevas tecnolog√≠as y ser m√°s abiertos sobre c√≥mo las adoptamos y permitir que nuestras empresas las adopten y nuestros clientes”. 

Todos los ponentes coincidieron en que COVID ha demostrado lo impredecible que es el mundo, sobre todo si se mira desde la perspectiva de un profesional de la seguridad. No es el tipo de profesi√≥n en la que uno se despierta un d√≠a y dice “mi trabajo est√° hecho”. Puede que sea por eso que la gente se siente atra√≠da por la seguridad en primer lugar, por el desaf√≠o que representa y su papel central en la forma en que vivimos y trabajamos.

Por Guy Matthews, editor de NetReporter




Contacto | Diario TI es una publicación de MPA Publishing International Ltd.