Securing Your Digital Business

Proteja su negocio digital

Entrevista con Josh Shaul, vicepresidente de Productos de seguridad de web

¿Qué es lo más importante que los directores de informática y otros altos ejecutivos empresariales deben saber actualmente acerca de la seguridad de la información?

Nos encontramos en una nueva era de la seguridad de la información. Los modelos convencionales tipo "foso y castillo" en que se han basado las empresas durante décadas (rodeando el "castillo" de redes, aplicaciones y datos empresariales con un "foso" como perímetro de seguridad y firewalls) es un enfoque obsoleto y cada vez más improcedente. Las aplicaciones, los datos y los usuarios han atravesado el firewall y se han subido a la nube surcando la red pública de Internet. Han "saltado el foso" y los sistemas de seguridad tradicionales se han quedado en su mayoría custodiando un castillo vacío.

¿Qué impulsa todo este movimiento a la nube?

Hoy, todas las empresas son negocios digitales e Internet forma parte esencial de la infraestructura de la información. Se trata del conector principal entre las cargas de trabajo basadas en la nube y las aplicaciones y datos in situ. Constituye el vínculo de millones o incluso miles de millones de dispositivos conectados que componen el Internet de las cosas.

Las empresas tienen que estar en la nube por una gran variedad de razones:
  • La primera: para ofrecer experiencias digitales rápidas y atractivas a los clientes. Sus expectativas en términos de velocidad, fiabilidad y personalización de experiencias móviles y web continúan aumentando. Por eso decimos que "la lentitud es el nuevo punto débil". En la economía digital siempre hay una alternativa y los clientes impacientes se van rápidamente a otros lugares.
  • La segunda: para aumentar la productividad de los empleados. Los empleados de hoy en día necesitan trabajar desde casa, la calle o las instalaciones de los clientes, y pueden necesitar acceder a sus sistemas y aplicaciones desde cualquier parte del mundo y mientras se desplazan.
  • La tercera: para coordinarse con los partners empresariales. Se trata de una comunidad digital mundial de proveedores, partners y contratistas, los cuales necesitan un acceso seguro, rápido y fiable a fracciones de aplicaciones y datos de una empresa.
  • Y la cuarta: para impulsar la transformación hacia una empresa digital. Para digitalizar y acelerar los procesos empresariales, mejorar sus productos y servicios con tecnología digital, lanzar nuevas aplicaciones para clientes, operar en nuevos mercados y globalizar sus marcas, las empresas tienen que aprovechar los recursos en la nube.

¿Qué supone esto en términos de riesgo para la empresa?

Actualmente las empresas digitales esperan y dependen de Internet para que les proporcione niveles críticos de velocidad, fiabilidad y seguridad; prestaciones para las que nunca se diseñó, ni siquiera en las mejores condiciones. Mientras tanto, las consecuencias de los ataques cibernéticos en los ingresos, las actividades empresariales y la reputación de la marca pueden ser extremadamente altas.

El pilar en el que se basa una empresa digital (los sitios web y las aplicaciones en la nube) se encuentra bajo una constante amenaza de ataque por parte de agentes dañinos. Las API que sirven como tejido conectivo para las aplicaciones y las experiencias digitales crean brechas en los perímetros de seguridad y abren cientos o incluso miles de nuevos extremos que los atacantes pueden explotar. Las redes privadas virtuales, los controles de acceso de usuarios, los almacenes de credenciales o los sistemas de autenticación son mecanismos de seguridad tradicionales que realmente se prestan como posibles puntos de ataque y explotación.

No solo la distribución de la infraestructura y de los datos en la nube genera nuevos riesgos. Se trata más bien del proceso de creación de estas aplicaciones y de experiencias digitales, debido a la cada vez mayor red de personas que necesitan acceder al software, a las redes y a los sistemas para desarrollar y administrar las aplicaciones que permiten poner en práctica la estrategia digital de una empresa.

No obstante, a medida que las empresas pasan a la tecnología en la nube, siguen teniendo los mismos requisitos de seguridad, protección de datos confidenciales y conformidad normativa que siempre han tenido. Estos no cambian, pero la superficie de ataque y el perfil de riesgo son ahora mucho más grandes, y esas necesidades deben satisfacerse de forma diferente. Los directores de informática de la edad digital se enfrentan al desafío de encontrar la manera de garantizar la seguridad y la conformidad normativa de redes basadas en la nube cada vez más distribuidas en las que las empresas confían cada día más. Las empresas deben estar en la nube y tienen que estar seguras en la nube.

Continúe hablando sobre cómo está cambiando el panorama de amenazas.

Los atacantes actuales ya no son solo ciberdelincuentes que operan con las herramientas y los recursos más avanzados. Los usuarios habituales tienen la capacidad de organizar ataques complejos y altamente distribuidos. A través de conjuntos de herramientas y servicios de "ataques por encargo" sofisticados y muy accesibles, ciberdelincuentes tanto principiantes como expertos cuentan con la capacidad de destruir y atacar sitios web de todo el mundo con ataques DDoS por una fracción de los costes, el esfuerzo y la complejidad tradicionales.

Estos ataques no solo son cada vez más fáciles de organizar, sino que también son mucho más sofisticados y peligrosos. En el pasado, el mayor riesgo podía ser el robo de archivos de productos sensibles o el compromiso de las contraseñas de red. Pero ahora las empresas digitales deben enfrentarse a cientos de nuevos ataques que hace pocos años podían parecer de ciencia ficción: malware que "roba" los archivos y los mantiene como rehenes para pedir un rescate, bots y scrapers que pueden capturar datos de tarjetas de crédito en microsegundos sin cifrar y vulnerables en memoria o ataques coordinados con ejércitos de dispositivos del Internet de las cosas conectados (termostatos, bombillas o routers Wi-Fi) que pueden cerrar un sitio. Y, en todos estos casos, los enfoques tradicionales de seguridad no pueden afrontarlos de manera eficaz en la nube.

¿Qué nuevos enfoques se necesitan?

Las empresas necesitan nuevos enfoques no solo para proporcionar protección, sino para dar prioridad a sus necesidades de seguridad en sus diseños.

Desde el punto de vista del suministro, necesitamos seguridad diseñada para la manera en que funciona la nube, diseñada para aprovechar la estructura de Internet, y no para intentar desafiarla. La protección debe distribuirse por donde se encuentren los activos empresariales. Los enfoques de seguridad convencionales centralizados simplemente no pueden hacer eso, y resulta poco factible, por no decir imposible, intentar mover toda la arquitectura de seguridad a la nube.

En Akamai, partimos de dos supuestos. Uno, la empresa ya no es el perímetro; más bien, toda la nube es el nuevo perímetro. O, mejor dicho, el perímetro se ha evaporado por completo. Y dos, estamos trabajando con lo que Forrester llama la red "Zero Trust", esto es, todo el tráfico de la red es potencialmente sospechoso. Con estas condiciones, la seguridad debe ser omnipresente y debe estar dirigida a los usuarios, los datos y las aplicaciones, independientemente de donde se encuentren.

La seguridad, la política y los controles deben alejarse de la empresa "castillo" para incorporarse al "perímetro" de la nube. De esta forma, la seguridad será más completa y portátil. Por ejemplo, si la seguridad no está vinculada con una determinada configuración de infraestructura, cuando un proveedor de servicios de Internet se cae, la empresa puede pasar simplemente y sin problemas a utilizar otro proveedor, con la confianza de que los usuarios, las aplicaciones y los datos permanezcan seguros en cualquier entorno.

Y, ¿desde el punto de vista del diseño de la seguridad?

Normalmente, las organizaciones tratan de establecer niveles de protección en función de la sensibilidad y el valor de los activos. Por ejemplo, los datos de los clientes cuentan con medidas de seguridad adicionales. Pero el enfoque tiende a ser rudimentario y no muy detallado: se trata de una protección adicional, con un enfoque binario. Y esto es solo la mitad de la historia. La otra mitad implica cómo los activos pueden verse expuestos por aplicaciones y transmisiones. ¿A qué peligros específicos están expuestas las empresas y cómo pueden mitigarse? Reproduciendo los ataques y los escenarios de pérdida de activos. La combinación del valor de los activos y la posible exposición debe determinar las tácticas de protección.

En un plano más general, las empresas pueden seguir las mejores prácticas y los procedimientos prescritos por las normas internas, los estándares del sector y el cumplimiento normativo (y aun así no estar debidamente protegidas contra los ciberataques). Eso es porque, como ya hemos mencionado, la amenaza y el panorama de la seguridad están en constante evolución. El objetivo es ser lo suficientemente ágil para hacer frente con rapidez a las nuevas amenazas. Esto se traduce en una plataforma de tecnología de seguridad flexible, y no solo en una recopilación de soluciones de puntos actuales. De manera que se debe diseñar un enfoque de seguridad con flexibilidad para el futuro, pero que también ofrezca protección inmediata.

¿Cómo funciona la seguridad más distribuida?

En la nube, cuanto más grande, definitivamente mejor. Los requisitos de rendimiento y seguridad de una plataforma de distribución en la nube no pueden lograrse solo con una distribución y una escala masivas. Por ello, Akamai despliega más de 200 000 servidores en más de 130 países a través de Internet, lo que supone el 30 % del tráfico web mundial en un momento concreto.

La escala y la distribución masivas crean visibilidad: enormes cantidades de información en tiempo real sobre los usuarios, rendimiento de puntos finales, rendimiento de la red y rendimiento de Internet en general. Esa información es la columna sobre la que se vertebran las capacidades de seguridad basadas en el perímetro de la nube. Incluye una incomparable vista en tiempo real de las vulnerabilidades de seguridad en Internet, incluyendo todos los ataques contra todas las empresas que asistimos.

Esta inteligencia de seguridad en tiempo real significa que, a medida que las amenazas evolucionan, la capacidad para detenerlas evoluciona en paralelo, frustra ataques DDoS y contra aplicaciones web justo en el perímetro de Internet. En la mayoría de los casos, Akamai puede bloquear un ataque a una distancia de un solo salto de red de los propios atacantes, garantizando, así, que el tráfico malintencionado se mantenga lo más alejado posible de los centros de datos empresariales.

No se puede dirigir el tráfico más rápido que Internet a menos que se encuentre en todas partes, midiendo y comparando todas las rutas posibles. No puede detectar amenazas de seguridad conforme surgen a menos que se encuentre en las redes donde se originan, en cualquier lugar del mundo. Y no se puede defender contra ataques DDoS de forma fiable, a menos que cuente con mayor capacidad que con la que esté siendo atacado. De nuevo, cuanto más grande, mejor.

¿Cuáles son algunas maneras específicas en que las empresas pueden aprovechar la seguridad basada en la nube para reconfigurar y mejorar su protección?

El problema fundamental gira en torno al acceso. Proporcionar acceso a las aplicaciones y los datos, independientemente de que se encuentren en la nube o en un centro de datos tradicional, requiere la apertura de métodos de acceso que representan un enorme potencial de superficie de ataque para los agentes malintencionados. Entonces, ¿cómo puede una empresa proporcionar un acceso remoto seguro, rápido y sencillo que mantenga a los "chicos malos fuera" sin entorpecer ni ralentizar el funcionamiento de su empresa? Tomaremos dos ejemplos.

En un modelo de seguridad tradicional basado en firewall, normalmente se proporcionaría a los usuarios externos un acceso VPN a la red corporativa, a veces incluso se cometería el error de enviarles un portátil de propiedad corporativa preconfigurado para acceder a dicha red. Lamentablemente, ese acceso VPN constituye un vector de ataque con un potencial enorme, y numerosas y notables brechas de seguridad han tenido lugar exactamente de esa manera. La mejor alternativa es conectar las aplicaciones detrás del firewall únicamente a una pequeña aplicación web expuesta a la red pública de Internet. Dado que el conector del firewall solo puede comunicarse con la aplicación deseada, y con nada más en la red, su red no queda completamente abierta a un usuario de VPN.

Otro escenario frecuente es asistir en el acceso por parte de sucursales a las aplicaciones empresariales. La configuración tradicional consistiría en conectar la red de la sucursal a una red WAN privada y, posteriormente, a su centro de datos corporativo, de manera que el tráfico se encuentre dentro del "perímetro empresarial" y protegido a través del firewall tradicional. Pero ¿qué sucede cuando un empleado de una sucursal tiene acceso a la red pública de Internet a través de una conexión directa? De repente, puede ocurrir cualquier cosa. Esta conexión puede ser fácilmente explotada por malware, intentos de phishing y otras amenazas, todas ellas fuera de la protección de seguridad corporativa.

El enfoque de Akamai ante estas situaciones consiste en supervisar las peticiones de servicio de nombres de dominio en Internet en tiempo real y de forma inteligente puntuar los dominios en función del riesgo de amenaza. Los usuarios se bloquean de manera automática e inmediata para que no accedan de forma accidental o intencional a servicios y dominios maliciosos. Esta validación tiene lugar en milisegundos, incluso antes de que se establezcan conexiones con las direcciones IP, con lo que se detienen las amenazas en las primeras fases de la intrusión y alejadas del perímetro empresarial.

¿Cuáles son los puntos principales a recordar para los directores de informática y otros ejecutivos empresariales y de tecnología?

Si su empresa aún no se ha pasado a una infraestructura digital, lo hará en un futuro, y si no está ya en la nube, lo estará. Necesitará ofrecer las mejores y más seguras experiencias digitales a sus clientes, empleados y partners empresariales, sin importar dónde puedan estar o qué dispositivos puedan estar utilizando.

Dado que actualmente las empresas digitales residen y trabajan en la nube, la seguridad de la información tiene que residir y trabajar allí también. Las claves para una seguridad y un rendimiento basado en la nube son escala masiva, distribución y visibilidad. Necesita observar lo que está sucediendo allí donde esté sucediendo y responder a las amenazas en tiempo real.

Los activos digitales ya han "saltado el foso" y han traspasado el control de los métodos de protección tradicionales. La seguridad en la nube se ha convertido en algo esencial. Puede mejorar considerablemente las medidas de seguridad de la empresa y reducir riesgos empresariales. Puede permitir a la empresa llevar a cabo y ampliar el negocio digital tanto con confianza y como con ambición.

Related CIO Content