Taking Enterprise Security to the Next Level

Llevar la seguridad empresarial al siguiente nivel

Entrevista con John Summers, vicepresidente y director empresarial general de Akamai Technologies

¿Cuáles son los aspectos clave que los responsables empresariales necesitan conocer sobre las amenazas de ciberseguridad presentes en la actualidad?

Reconocer que se acabó la era de las amenazas genéricas. Las personas cuyas amenazas van dirigidas principalmente a su empresa buscan algo, que suele ser contenido con propiedad intelectual, o bien información personal o financiera. Puede que su objetivo sea simplemente entrar y espiar las actividades de su organización.

Las personas que realizan estas actividades están altamente cualificadas y cuentan con todos los recursos necesarios. Algunos de los mejores a la hora de acabar con las defensas cibernéticas son los agentes de estado. Son persistentes y pacientes, y hacen todo lo posible por pasar totalmente desapercibidos, al procurar que sus interacciones con su infraestructura, empresa y personal parezcan lo más inocuas y normales posibles. Se trata de una clase de amenaza totalmente nueva. Ha evolucionado durante los últimos años y está complicando mucho la seguridad.

Por otra parte, es esencial que los responsables de la empresa luchen porque sus organizaciones sean más ágiles y aporten un valor añadido a los clientes y a los partners comerciales, las cadenas de suministro y los canales de distribución. Las empresas se tienen que digitalizar para poder funcionar y adaptarse cada vez más rápido a los cambios. La necesidad les obliga a conectarse más, comunicarse más y utilizar más la infraestructura en la nube.

De esta forma, al mismo tiempo que los agentes malintencionados están utilizando métodos cada vez más enrevesados para penetrar en la infraestructura tecnológica, las empresas están teniendo que hacer que sus infraestructuras sean más permeables, para abrir las conexiones y que la empresa sea competitiva. Ahí radica la principal preocupación de la ciberseguridad hoy en día. ¿Cómo abrir el negocio para que avance más rápido, pero que siga pudiendo reconocer los métodos en que se ve amenazado y las formas de protegerse contra ellos?

¿Qué deben saber los responsables empresariales sobre los enfoques comunes relacionados con la seguridad presentes en la actualidad?

Históricamente, todos los miembros del sector de la seguridad procedían de la capa de seguridad de red. En este contexto de fosos y muros altos nos encontrábamos con un componente interior y otro exterior, pero ese contexto está desapareciendo. Una empresa altamente interconectada incluye bastantes infraestructuras y usuarios en otros lugares: no tras los muros, sino con los clientes, con los partners comerciales para, a continuación, volverse a conectar a las aplicaciones vitales para la actividad empresarial desde lugares en ocasiones lejanos.

Esta amplia conectividad hace que la estrategia de seguridad de la red heredada ya no tenga sentido. Cuando accede a una aplicación a través de Internet, no está pasando por una red que puede controlar y, por tanto, los controles de la capa de red son mucho menos eficaces a la hora de detectar y desviar las ciberamenazas.

Y, en este caso, ¿cuál es la alternativa necesaria?

La perspectiva de seguridad debe evolucionar y pasar de la red a las capas de usuario, datos y aplicaciones. Esos son los nuevos puntos de control, los lugares para controlar las interacciones de las empresas en el mundo de la infraestructura en la nube. Debe saber quiénes son los usuarios. Debe saber a qué aplicaciones deben tener acceso y solo permitirles acceso a ellas. Además, debe asegurarse de que los datos que se transmiten entre los usuarios y las aplicaciones son los datos correctos y que se envían de forma segura. Yo denomino a esta la evolución en la seguridad del "paquete, puerto y protocolo" al "usuario, los datos y la aplicación".

El reto al que nos enfrentamos es que necesitamos muchos más profesionales de seguridad que conozcan bien los nuevos enfoques y controles. Asimismo, los proveedores deben cambiar su forma de pensar sobre la seguridad de la empresa en un mundo con un alto nivel de distribución y altamente conectado. Akamai ofrece grandes ventajas en este sentido porque hemos crecido ofreciendo contenido de forma segura a través de Internet, y hemos creado nuestra plataforma directamente en la estructura de la web. Hemos tenido que trabajar al nivel del activo (usuario, datos, aplicación, el dispositivo que se comunica con nosotros) durante 19 años. Esto exige una autenticación estricta, un cifrado seguro y una visibilidad completa independientemente de las redes que se usen.

Internet está formada por unas 15 000 redes diferentes. Cuando se trabaja en este contexto, la seguridad de capa de activo es su única opción. Estamos deseando compartir con los clientes lo que hemos aprendido a lo largo de estos 19 años acerca de cómo conseguir llevar la seguridad al siguiente nivel necesario.

Es importante hablar más sobre lo que debe sucede entre bambalinas para proteger esos activos.

Usted necesita tener visibilidad de los activos y sus comportamientos con el objetivo de determinar cuál es su nivel de confianza y cuánto riesgo asume la empresa al confiar en ellos.

Las identidades de usuario siempre han formado parte de un modelo de seguridad corporativo tradicional, pero ahora esas identidades se tienen que usar para acceder a aplicaciones, entre ellas las principales aplicaciones SaaS, que residen en la nube en lugar de en nuestros centros de datos.

Como extensión del usuario, necesitamos tener más información sobre el dispositivo que se usa. ¿Se encarga de gestionarlo la empresa o es un dispositivo del usuario en su mayor parte sin gestión? Las políticas y prácticas de seguridad deben tener en cuenta la iniciativa "traiga su propio dispositivo" (BYOD) para facilitar las cosas al usuario.

Con cualquier aplicación en la nube, necesitamos saber que el usuario está accediendo a la aplicación adecuada, así como si la aplicación es de plena confianza, o solo parcialmente de confianza, o si es totalmente desconocida. Esto es sumamente importante, por ejemplo, cuando los usuarios sufren ataques de spear-phishing al hacer clic en los enlaces de correo electrónico que parecen provenir de fuentes conocidas o formar parte de las actividades empresariales normales. Para detectar posibles ataques, necesitamos saber tanto qué es lo que se comunica como la fiabilidad del destino.

Y luego están los datos. Intentar protegerlos debe comenzar por conocer su importancia. ¿Son los datos que se transmiten entre el usuario y la aplicación esenciales para la empresa, o no tan esenciales, o no nos importa si se roban? La clasificación de los datos es algo realmente incipiente en la mayoría de las empresas. La gente habla de ella como algo necesario, pero pocas organizaciones realizan una buena clasificación. Un ejecutivo de servicios financieros nos confesó que hay básicamente dos clases de datos: "Cosas que me pueden suponer problemas y el resto".

Al proteger todos estos activos, tenemos que reconocer que las decisiones y acciones de seguridad son mucho menos fáciles de lo que solían ser. No se trata de aprobar o bloquear el acceso a direcciones IP. No todo es blanco o negro. Tenemos que ser mucho más sutiles en nuestras decisiones de seguridad, necesitamos tener una visión mucho más detallada de lo que está sucediendo. Además, tenemos que contar con una estrategia mucho más basada en los riesgos para la empresa a la hora de aplicar la política de seguridad.

¿Cuáles son las ventajas empresariales de un modelo de ciberseguridad más centrado en los riesgos?

El objetivo es reducir el riesgo para la empresa, el riesgo para la marca, pero, al mismo tiempo, sin que esto afecte negativamente a la innovación, la aceleración y el cambio. Idealmente, las prácticas de seguridad son compatibles con la agilidad empresarial. Permiten que la empresa despliegue nuevas aplicaciones de forma continua de una forma en la que cada nueva versión no haga que la empresa quede expuesta a más riesgos.

Esto representa un cambio importante. La seguridad se ha considerado históricamente una barrera que se tiene que atravesar para alcanzar un objetivo empresarial. Las personas que trabajan en el sector de la seguridad se suelen ver como guardianes: se puede hacer esto, no se puede hacer esto otro.

Por el contrario, la seguridad debería centrarse en ofrecer asesoramiento a las empresas sobre cómo pueden lograr sus objetivos de maneras que supongan el menor riesgo y la mayor oportunidad. La seguridad se debería considerar como una fuente de evaluación y orientación sobre riesgos, para conocer cómo reducir el riesgo a un nivel que haga que sea razonable para la empresa proseguir con la oportunidad. Los directores de seguridad deben dar a sus colegas de la empresa distintas opciones respecto a la cantidad de riesgo que la empresa puede asumir. Ninguna organización de seguridad puede eliminar totalmente el riesgo.

¿Cuál sería un ejemplo de prácticas en materia de seguridad compatibles con la agilidad empresarial?

Hemos trabajado con el equipo digital de una gran empresa de servicios financieros. Hablamos en todo momento de nuevas aplicaciones, rápida innovación, rápida experimentación y un nuevo valor empresarial. La empresa deseaba poder implementar nuevas aplicaciones rápidamente, pero con confianza en su seguridad. Juntos hemos desarrollado un marco de implementación de aplicaciones con una capa de seguridad integrada, de forma que todas las aplicaciones se diseñen desde cero para permitir su ampliación y seguridad.

Las herramientas de seguridad que estaban utilizando, para las funciones de comprobación y supervisión, estaban incluidas en el marco. De esta forma, los desarrolladores podían simplemente centrarse en la creación de nuevas aplicaciones. La seguridad no era simplemente un paso adicional que agregar, sino que estaba integrada. Los métodos de seguridad pasaron de ser una barrera a ser el catalizador.

Aquí se ofrecen más detalles de ese enfoque. Las aplicaciones incorporan cada vez más API y comunicaciones máquina a máquina. Muchas de estas organizaciones no prestan mucha atención a la seguridad de esa comunicación máquina a máquina, API a API, bits de software a otros bits de software. Se limitan a unir un conjunto completo de API y luego agregan un envoltorio de seguridad solo cuando la aplicación se comunica con la web o con el usuario.

Sin embargo, si puede integrar las comunicaciones seguras en la capa de API, esto supone una gran ventaja para cualquier aplicación que use esas API. La seguridad está integrada en el software para poder determinar lo que la API puede enviar y recibir. Las aplicaciones se pueden implementar con mayor rapidez y pueden ser más seguras en todos los aspectos.

El principio fundamental del que hablamos es que la seguridad se tiene que diseñar cuando piense en la infraestructura empresarial, y se tiene que integrar en la infraestructura, no añadirse posteriormente. Al crear datos nuevos, ese es el momento en que debe pensar acerca de su importancia para la empresa, en lugar de intentar agregar una clasificación de seguridad más adelante. Al implementar aplicaciones, la seguridad ya debe estar integrada. Ese es el siguiente umbral de la práctica de la seguridad que las organizaciones tienen que cruzar.

¿Por dónde deben las organizaciones comenzar su trayecto hacia una seguridad más basada en los activos y los riesgos?

Usted desea integrar la seguridad más directamente en la estructura de la empresa. Inicie la evaluación por los procesos empresariales y no por la infraestructura. Fíjese en los datos que se intercambian entre los distintos pasos de un proceso, y evalúe el posible riesgo para la empresa de perder algunos de los datos en cada uno de esos pasos. A continuación, implante los controles de seguridad adecuados sobre quién puede participar en el proceso, qué autenticación se requiere en cada extremo de la comunicación, y cuáles deberían ser los límites y controles de esas comunicaciones. Si es capaz de pensar en la seguridad en la capa de procesos empresariales, esto hará que las cosas estén mucho más claras a medida que avance hacia la capa de infraestructura.

También desea acercar los dominios de seguridad y de desarrollo de aplicaciones mucho más. A menudo se afirma que la seguridad es trabajo de todos, pero no va a ser capaz de formar a todos sus desarrolladores sobre cómo ser personas que trabajan en el sector de la seguridad. Sin embargo, como acabamos de mencionar, puede crear un marco de aplicación que ayude a las personas a desarrollar nuevas aplicaciones con seguridad incorporada. En el proceso, observará qué competencias adicionales se necesitan en el grupo de seguridad, en relación con la seguridad de la capa de aplicaciones y los mecanismos de control de acceso a los datos y los usuarios.

¿Cuál es consejo final para los directores de sistemas de información y de seguridad sobre cómo acelerar su progreso llevando la ciberseguridad al siguiente nivel?

En primer lugar, no deberían temer adoptar la nube sino adoptarla sin objeciones. En realidad, puede ayudarle a tener más seguridad, al mismo tiempo que está permitiendo que la empresa sea más ágil, más rentable y sea capaz de crecer más rápidamente.

En segundo lugar, siga el principio de Zero Trust. Debe asumir que todo se puede ver afectado, por lo que debe poner en práctica políticas empresariales y de seguridad teniendo en mente ese supuesto. Solo en los casos sencillos puede saber si algo es definitivamente bueno o definitivamente malo. La mayor parte de lo que rodea a la seguridad se encuentra en esa zona gris intermedia. Por ese motivo, necesita evaluar qué nivel de riesgo podrían tener las cosas y reunir pruebas a lo largo del tiempo para actualizar su estrategia de seguridad.

En tercer lugar, asumir la responsabilidad de guiar a la empresa en relación con el riesgo y no solo tomar decisiones de guardián. Esta tarea es más compleja y aporta un valor añadido. Los profesionales de la seguridad son realmente profesionales de los riesgos, que necesitan pensar específicamente en cómo el riesgo empresarial está controlado por el riesgo para la seguridad, no solo acerca de los riesgos de seguridad. De esta manera, se puede matizar la estrategia y la política de seguridad de la empresa, así como sobre su estrategia y táctica.

Related CIO Content