Un asunto interesante sobre la seguridad de los datos. A finales de este año, un equipo de investigadores neerlandeses espera completar una conexión de Internet cuántico entre las ciudades de Delft y La Haya. Según estos expertos, se trata de la primera Internet no atacable gracias al uso de un comportamiento cuántico de las partículas atómicas conocido como enredo de fotones.
Sin duda, se trata de una iniciativa de I+D bastante interesante. Sin embargo, para verla materializada habrá que esperar un tiempo. Por el momento, las técnicas utilizadas solo pueden funcionar para distancias inferiores a 1,5 kilómetros, por lo que tendrá que pasar al menos otra década antes de que podamos ver funcionando la primera red mundial.
Este escenario futurista de seguridad de los datos enviados de extremo a extremo es muy distante y desconectado de la realidad actual. No es particularmente útil para las empresas que se ocupan de los requisitos de la próxima década. Y tampoco será útil proteger nada en la nube, porque cuando salga de la zona de confort enfrentará los riesgos habituales de los piratas informáticos.
Proceso lógico
Entonces, ¿qué deberían buscar los administradores de seguridad y de redes para el futuro inmediato cuando consideren sus arquitecturas de acceso y seguridad de los datos?
Para muchas organizaciones, la arquitectura de seguridad no ha cambiado mucho en los últimos años. Las redes se han vuelto más rápidas e inteligentes y las aplicaciones se entregan de forma novedosa, pero la seguridad sigue dependiendo principalmente de una cajita física situada en las instalaciones. Esta forma de gestionar la seguridad ha demostrado ser inviable e imposible para escalar, obligando a los ingenieros de redes y seguridad a afrontar un sinfín de complicaciones.
Hay un viejo dicho turco: “Si la montaña no viene a Mahoma, entonces Mahoma irá a la montaña”. Esta es la década en la que, finalmente, dejaremos de esperar que nuestro creciente número de datos se registre en un centro de seguridad y en su lugar esperaremos que la seguridad siga a los datos. La mejor noticia es que no solo es más lógico, sino que también hace las cosas mucho más fáciles.
Seguridad ‘cloud’
Durante 2019, las organizaciones utilizaron una media de 2.415 servicios y aplicaciones en la nube, cuando el 44% de todas las ciberamenazas residía en ella. Estamos bastante acostumbrados a considerar las aplicaciones cloud no autorizadas como una amenaza para la seguridad empresarial, cuando lo cierto es que son precisamente las aplicaciones permitidas, como Office 365, OneDrive, Box y Google Drive, las que más peligro entrañan a nivel corporativo. El hecho de que su uso haya sido aceptado por las empresas las convierte en un objetivo para los agentes maliciosos, ya que, por regla general, al formar parte de listas blancas su seguridad queda cubierta con laxas soluciones tradicionales o sin ellas. Es demasiado fácil evadir las defensas tradicionales.
La adopción cloud también trae consigo el acceso a nuevos límites que las defensas heredadas no pueden abordar por la falta de visibilidad o a causa de los controles de permisos/bloqueos de grano grueso que no comprenden el contexto. Los datos pueden moverse entre las instancias corporativas y personales de las aplicaciones en la nube, entre las aplicaciones cloud gestionadas y no gestionadas y entre las aplicaciones cloud permitidas de bajo riesgo y las no autorizadas de alto riesgo.
Más de la mitad de todas las sesiones de tráfico web de las empresas están ahora basadas en la nube, lo que requiere la decodificación en línea de la especificación API JSON para asegurar eficazmente los datos. Simplemente, no hay manera de que una arquitectura de seguridad pueda vigilar este nuevo mundo a menos que esté diseñada para operar en línea.
Tenemos que pensar de manera estratégica, holística y, sobre todo, visionaria de cara a estar preparados para cualquier futuro
Futuro cercano
Echemos un vistazo al concepto Zero Trust Network Access (ZTNA). El principio de Zero Trust opera sobre la premisa de que la confianza nunca debe ser implícita y la concesión de acceso descansa sobre “la necesidad de conocer” y la base de un “menor privilegio”. El concepto se introdujo por primera vez en 2010 y, junto con el desarrollo de la nube, su popularidad ha aumentado últimamente. De hecho, una reciente encuesta de Cybersecurity Insiders reveló que el 78% de las organizaciones tiene planes de adoptar un enfoque ZTNA basado en la nube en los próximos 18 meses.
Zero Trust se basa en el principio de no confiar en nada, ya sea dentro o fuera del perímetro de la organización, sin antes realizar una verificación tanto del usuario como del dispositivo. Aquí encontramos de nuevo un principio que no puede ser promulgado sin un cambio en la arquitectura de seguridad. Las organizaciones necesitan que la seguridad esté presente y activa en línea para que el acceso a la red de Zero Trust sea una realidad.
Usuarios remotos
Los años 20 del siglo XXI han comenzado con un acontecimiento que probablemente definirá la década de muchas maneras. La COVID-19 ha alterado la vida tal y como la conocemos para la gran mayoría de la población mundial. Para las organizaciones, uno de los primeros efectos de los diversos cierres impuestos por los gobiernos de todo el mundo fue la expansión de un día para otro del número de trabajadores remotos, algo que ha puesto de manifiesto lo inapropiadas que son las arquitecturas de seguridad de acceso remoto (normalmente VPN) en la era de la nube.
En los meses previos a la pandemia, el 39% de los participantes en el estudio de Cybersecurity Insiders ya reconocía que no podía desplegar su dispositivo VPN remoto preferido en los entornos de nube públicos. Debido a esto, la solución más común mencionada por los encuestados fue la de conectar a los usuarios remotos (47%) a través de los centros de datos donde tienen emplazadas sus concentradoras VPN y desde allí dar acceso de nuevo a Internet y a los recursos en cloud público (haciendo hairpinning). Sin embargo, esto tiene un grave impacto en la experiencia de los usuarios. Pero quizás aún más alarmante es que el 31% de los encuestados también decida exponer públicamente las aplicaciones de la nube para permitir el acceso de los usuarios remotos.
ZTNA se vuelve cada vez más lógico para las organizaciones que proporcionan acceso remoto a la nube pública o privada. Casi la mitad (45%) de los participantes en el estudio de Cybersecurity Insiders afirmó que asegurar el acceso remoto a las aplicaciones privadas alojadas en la nube pública (como AWS, Azure o GCP) es una prioridad de seguridad. Cuando se entrega en la nube utilizando una infraestructura de red mundial de gran capacidad, ZTNA también puede permitir un acceso remoto susceptible de ser ampliado para responder a las necesidades de cualquier aumento drástico de los requisitos de trabajo a distancia. Y todo ello sin ralentizar los tiempos de acceso ni mover los datos hacia atrás y hacia delante innecesariamente.
Hoy, nuestra realidad es muy diferente de la de 2019. Algunas tendencias han sido graduales (la adopción de la nube) y otras nos han tomado por sorpresa. Pero todas ellas apuntan fuertemente a la necesidad de una sacudida significativa en la forma en que diseñamos el acceso y las arquitecturas de seguridad en el futuro. La era del transporte de datos a través del dispositivo de seguridad ha terminado. En el futuro, la seguridad debe ir a los datos.
Tenemos que pensar de manera estratégica, holística y, sobre todo, visionaria de cara a estar preparados para cualquier futuro.