Panel de expertos evalúa el panorama de seguridad para 2021

Numerosas y voluminosas amenazas a la seguridad cibernética aguardan a los CISOs, después de un año de incertidumbre. Pedimos a un panel de expertos sopesar los riesgos y plantear algunas formas seguras de avanzar.

La nube, con todos sus beneficios, sigue siendo un dolor de cabeza para los profesionales de la seguridad, especialmente después de un año en el que tantos trabajadores remotos han dependido de ella. Esta es la perspectiva de Mauricio Sánchez, Director de Investigación de Seguridad Cibernética de la firma analista independiente Dell’Oro Group, quien encabezó un panel de expertos de alto nivel en seguridad cibernética para reflexionar sobre el problemático panorama que se avecina.

«Cuando hablamos de la transformación digital de las empresas, pasando de los entornos on-prem a los entornos de nubes públicas, sin duda se ha convertido en un enorme desafío de seguridad en 2020», dice Sánchez. «Todo se deriva de esta pandemia y de las formas en que ha afectado no sólo a la sociedad sino también a la forma en que llevamos a cabo nuestro trabajo». La mayoría de nosotros ahora probablemente trabaja desde casa». 

Los problemas de seguridad cibernética del mañana ya han llegado, cree Sánchez, en forma de Inteligencia Artificial, la aparición de las redes 5G, y la explosión masiva de dispositivos de IoT: «Hay grandes problemas de seguridad que rodean a este trío, y están abriendo todo un nuevo conjunto de superficies de amenaza», dice. 

«El mercado ha explotado para los proveedores de servicios públicos de nubes, con un crecimiento anual compuesto del 41% de 2014 a 2019», señala. «Cuando miras lo que ha pasado con el gasto en seguridad en el mismo período, no ha sido tan malo. Los aparatos físicos probablemente ya no son tan populares a medida que nos movemos a los entornos de cloud computing. Pero aún así han crecido un 7% en los últimos cinco años. Luego se observa la seguridad virtual y basada en SASE y que no sólo se ha mantenido, sino que ha superado ligeramente los ingresos de la nube de los proveedores de servicios de nube pública. Lo que se dice es que la gente va a la nube, y está gastando una buena cantidad de dinero de sus presupuestos, en seguridad». 

«¿Quién hubiera pensado que el año 2020 resultaría como ha sido», reflexiona Sánchez, señalando cómo se ha producido una reinvención del lugar de trabajo de la noche a la mañana. «Usando los datos de los censos así como los del Banco Mundial, miro cómo el mundo para la fuerza de trabajo de la empresa cambió de la noche a la mañana. Al entrar en la pandemia, había alrededor de 100 millones de trabajadores remotos en todo el mundo a tiempo completo. Eso aumentó casi tres veces desde el comienzo de 2020 con la pandemia. Naturalmente, se ha discutido mucho sobre cómo la estrategia de seguridad debe transformarse y evolucionar para hacer frente a eso». 

Entonces, ¿qué sigue? Sánchez señala que 5G va a liberar una red de velocidades de gigabit en todas partes, así como 50 mil millones de dispositivos de IOT. Luego está la IA con su capacidad de desatar la innovación de maneras magníficas, en áreas desde la medicina hasta la ciberseguridad. Pero todas estas nuevas tecnologías vienen con un punto débil».  

Para averiguar qué es lo que la industria de la seguridad está haciendo bien, qué es lo que está haciendo mal y cuáles son las principales consideraciones para el futuro, Sánchez preguntó a un panel de los principales nombres de la seguridad. 

El Dr. Ronald Layton es Vicepresidente de Operaciones de Seguridad Convergente con el operador de banca de consumo Sallie Mae, y un antiguo experto gubernamental en el campo de las ciberamenazas. Él argumenta en contra de ver la seguridad como un esfuerzo binario: ya sea correcto o incorrecto: «Es más sobre la adaptación», cree. «Se trata del viaje. Hay una gran conversación en torno a on-prem a la nube, la elección es entre pasos o el Big Bang. Pasos significa que lo haces de forma incremental, moviendo algunas aplicaciones. El Big Bang significa que estás dentro».

«La seguridad nativa de la nube nunca va a cubrir todas las bases, porque se basa en un núcleo de Linux, sugiere John Kindervag, Jefe de Tecnología de Campo de Palo Alto Networks: «Es un malentendido pensar que realmente puedes asegurar la nube basado en la tecnología de la nube», advierte. «Linus Torvalds debería ser la persona más rica del mundo por lo que hizo con Linux.  Sin Linux la nube no existe, pero no tiene características de seguridad robustas y todos los hackers saben cómo evitar los controles de la capa tres. Me siento como si viviera en el cambio de siglo, cuando todavía estábamos en la capa tres de seguridad y no habíamos subido en la pila todavía. Y tenemos que subir la pila en la seguridad de la nube y hacerlo tan robusto como lo hacemos en nuestros centros de datos. El proveedor de la nube siempre dirá que no es mi culpa».

Joe Sullivan, Director de Seguridad de la empresa de seguridad web CloudFlare cree que hay que mirar más allá de la tecnología y pensar más en enfoques estructurales y organizativos: «Los equipos de tecnología relacionados con el negocio están corriendo hacia la nube», señala. «Mientras que los equipos de seguridad se están arrastrando, y eso es porque tienen diferentes mentalidades. Los líderes empresariales sólo están mirando los costes y la oportunidad, y la nube proporciona la eficiencia y la capacidad de centrarse en las prioridades del negocio».

Kevin Deierling Vicepresidente senior del fabricante NVIDIA está de acuerdo en que la tecnología se está quedando un poco rezagada a la hora de abordar los problemas de seguridad en la nube: «Mucha gente sigue operando en un modelo de seguridad periférica. Pero cuando te mueves a la nube, en realidad necesitas subir toda la pila. La capa tres no es suficiente, tienes que ir hasta la aplicación. Y para hacer eso, ha habido una penalización bastante alta por desplegar seguridad definida por software». 

La automatización tiene que estar al frente y en el centro, afirma Mary Gardner, Vicepresidenta y Jefa de Seguridad de la Información de F5 Networks: «A medida que nos movemos hacia la nube, necesitamos asegurarnos de que estamos estableciendo controles que eviten que ocurran errores en primer lugar», dice. «Porque cuando lo miramos, la mayoría de las brechas en la nube son causadas por los humanos. Cuanta más automatización usemos y más gestión de configuración usemos, creo que estaremos más adelantados. Y también reducimos nuestro tiempo medio de detección de errores».

Kindervag de Palo Alto Networks puede afirmar que es un pionero de buena fe en ciberseguridad, habiendo creado el concepto de Cero Confianza: «El trabajo remoto está aquí para quedarse», cree. «Estamos viendo gente que está aumentando su productividad porque no están perdiendo el tiempo en el refrigerador de agua. Si estás en la TI o en la ciberseguridad, las tecnologías estaban ahí y listas para ser adoptadas. Tuve clientes que hicieron tres años de trabajo en tres meses, porque era muy fácil de implementar. Sin nosotros en el sector de la seguridad más gente estaría enferma. Tenemos que entender que contribuimos mucho a la salud, la seguridad y el bienestar del mundo porque tenemos estas tecnologías en su lugar. Ahora puedes pulsar un interruptor, porque estas tecnologías están basadas en la nube, son ágiles, están automatizadas». 

Layton de Sallie Mae pintó un cuadro de algunas realidades del lugar de trabajo moderno: «Tenemos millennials, que trabajan en un hogar multigeneracional en su cocina. Tal vez mamá y papá y los pequeños están en la casa, y otros que tienen acceso a sus pantallas. Esto ha introducido vulnerabilidades adicionales que son muy difíciles de manejar. Pero hay una oportunidad allí, es una oportunidad para dirigir la conversación sobre la higiene, hay una oportunidad para dirigir las políticas individuales del lugar de trabajo, tal vez hacer que la gente firme declaraciones». 

Kindervag de Palo Alto Networks se opone a hablar de gente que hace cosas estúpidas: «Estoy cansado de que los de seguridad culpen a las víctimas, porque esto es demasiado difícil de resolver por los seres humanos. Necesita ser resuelto tecnológicamente. El spam y el phishing son un problema tecnológico, no un problema de conciencia de seguridad».

Gardner de F5 Networks está de acuerdo en que la seguridad es predominantemente un problema tecnológico: «Pero creo que estamos justo en medio de una transición», dice. «Llegué a una empresa técnica desde que estaba en la atención sanitaria, y cuando estaba en la atención sanitaria no se gastaba tanto dinero en tecnología, y mucho menos en seguridad. Tiene que haber un pivote, y mientras estamos en medio del pivote lo que realmente me preocupa es que estamos pidiendo a mucha gente que trabaje en un hogar con niños, con sobrinos, sobrinas. Y le estamos pidiendo al lego que se convierta en un ingeniero de redes. ¿Cómo segmentan sus dispositivos IoT del portátil que necesitan proteger? Me encanta la tecnología. Creo que como profesionales de la seguridad, tenemos que estar más dispuestos a adoptar nuevas tecnologías y ser más abiertos sobre cómo las adoptamos y permitir que nuestras empresas las adopten y nuestros clientes». 

Todos los ponentes coincidieron en que COVID ha demostrado lo impredecible que es el mundo, sobre todo si se mira desde la perspectiva de un profesional de la seguridad. No es el tipo de profesión en la que uno se despierta un día y dice «mi trabajo está hecho». Puede que sea por eso que la gente se siente atraída por la seguridad en primer lugar, por el desafío que representa y su papel central en la forma en que vivimos y trabajamos.

Por Guy Matthews, editor de NetReporter



Contacto | Diario TI es una publicación de MPA Publishing International Ltd., Reino Unido. © Copyright 1997-2022