Nuevos modos de enfocar la seguridad
Miguel Ángel Martos, responsable para Iberia e Italia de Zscaler, reflexiona sobre el teletrabajo y la llegada de la nube y las aplicaciones colaborativas, que han provocado un terremoto en nuestra forma de trabajar al cambiar hábitos y procesos de negocio.
Para gestionar con éxito esta transición, debemos replantearnos la política de seguridad teniendo en cuenta que ahora la plantilla de muchas empresas es prácticamente toda ella móvil. Esto ha llevado a Gartner a afirmar que las soluciones de seguridad deben migrar de la red, desde donde se encuentran actualmente, al borde de la red, y por lo tanto más cerca del empleado. Y esta es precisamente la filosofía que está detrás del modelo SASE.
La nueva era del teletrabajo exige nuevos modos de enfocar la seguridad
Atrás han quedado los días en que sólo los verdaderos pioneros digitales móviles, esos "road warriors" según la terminología anglosajona, se beneficiaban de la agilidad que ofrece el acceso móvil a las aplicaciones informáticas. Pandemias, desastres climáticos o huelgas, han hecho que nos planteemos los beneficios de llevar la oficina a los domicilios, incrementando la popularidad del trabajo en remoto, que ha llegado para quedarse definitivamente.
Para apoyar esta nueva forma de trabajar, las empresas deben ser capaces de proporcionar a sus empleados, dondequiera que se encuentren en el mundo, un acceso totalmente seguro a las aplicaciones que necesitan. El objetivo principal es hacer posible que accedan a esas aplicaciones de forma segura y sin complicaciones, sin trabas y por la vía más directa y eficiente. En la actualidad, independientemente de dónde se encuentre el usuario móvil, cuando se accede a una aplicación en una red o en un entorno multicloud, la seguridad y la velocidad constituyen las principales prioridades para las compañías, lo que puede llegar a situar a las arquitecturas de red tradicionales al límite de sus prestaciones. Tenemos, por tanto, plantearnos pasar de una infraestructura de TI basada en la red a otra centrada en el usuario y, al hacerlo, reorganizar la arquitectura de nuestra red y las prioridades de seguridad.
Nuevas exigencias para las nuevas formas de trabajar
Para conseguir esta velocidad y seguridad, es esencial que el CIO esté dispuesto a cambiar su forma de pensar. En un modelo SASE, los datos de la empresa se van a utilizar en aplicaciones cloud fuera de la empresa, a través de terceros proveedores de servicios en los que no se tiene el control, y con los usuarios trabajando desde numerosos lugares diferentes que tampoco están bajo el control de la empresa. La migración de los sistemas críticos de negocio a la nube exige replantearse la forma en que los empleados puedan acceder a ellos. Y como un acceso a Internet barato y desde cualquier lugar se ha convertido en lo habitual, las expectativas de los empleados en cuanto a velocidad y acceso cómodo e ilimitado a las aplicaciones cambian.
Sin embargo, a medida que las empresas hacen de Internet su nueva red "local", sus empleados se ven expuestos a nuevos peligros ante una cibercriminalidad en permanente mutación. El resultado más visible de esta evolución es el nuevo enfoque de la seguridad, que se aleja de la verificación y el control (modo reactivo) tradicionales y se orienta hacia una minimización del riesgo cada vez mayor.
Por ejemplo, cuando las aplicaciones se encuentran alojadas en el centro de datos de la empresa, el equipo de TI está muy familiarizado con los sistemas técnicos que ofrecen cada servicio, y conservan el control total de los mismos. Pero una vez que estas aplicaciones salen del centro de datos y los usuarios se libran de los límites de la LAN, la naturaleza de las responsabilidades cambia. El objetivo ya no es simplemente asegurar la red con una infraestructura de seguridad basada en el perímetro y la administración de hardware, sino proporcionar una experiencia de acceso completo y seguro a todas las aplicaciones, independientemente de dónde se encuentren alojadas y, por lo tanto, potencialmente en sistemas de información que la empresa no controla. Solo un enfoque integral entre la red y la seguridad, lo más cerca posible del usuario, puede lograrlo al mismo tiempo que el CISO se mantiene tranquilo.
Y es precisamente por esta razón por la que Gartner ha desarrollado un nuevo modelo que combina red y seguridad para satisfacer las necesidades de las empresas comprometidas en su transformación digital. El modelo Secure Access Service Edge (SASE) combina capacidades WAN completas con todo un conjunto de prestaciones de seguridad de la red (como Secure Web Gateway, firewall en modo SaaS, CASB para el acceso controlado a los recursos de la nube y el modelo de confianza cero o ZTNA).
La seguridad se traslada de la red al usuario
En lugar de intentar usar un concepto tradicional para resolver un problema de hoy, SASE cambia el orden de las cosas. Mientras que los llamados enfoques tradicionales se centran en la seguridad de las aplicaciones dentro de una red delimitada por un perímetro a salvaguardar, SASE se orienta al usuario y a las soluciones de seguridad que protegen las diferentes rutas de las aplicaciones a las que quiere acceder, tanto en entornos multicloud privados como públicos o en la red de área local (LAN).
En este marco, el tráfico de datos está protegido durante todo su recorrido entre un usuario y una aplicación, independientemente de dónde se encuentre el usuario o dónde esté alojada la aplicación. El factor diferenciador fundamental es el "borde" (edge en inglés), que hace referencia a lo que el usuario quiere acceder, no al lugar donde él se encuentra en ese momento. Este planteamiento significa que la seguridad se garantiza en todo momento, y no sólo en función de la red en la que se encuentre el usuario o del dispositivo que esté utilizando.
Este tipo de solución de seguridad se puede entregar a través de una nube de tránsito que supervisa el recorrido del usuario desde la solicitud inicial hasta la aplicación. Esta plataforma de seguridad basada en la nube, utilizada para implementar políticas de seguridad que se aplican al tráfico de datos entre el usuario y la aplicación, es un componente importante del modelo SASE.
La función de seguridad ya no se realiza en un lugar físico, sino que está alojada en la nube, donde se pueden aplicar filtros y directrices al tráfico de datos entrantes y salientes entre el usuario y la aplicación en tiempo real y de forma continua. El objetivo es ahora conectar a los usuarios a las aplicaciones mediante el acceso a una red de confianza cero (ZTNA). La ZTNA garantiza que sólo los usuarios autorizados pueden acceder a una aplicación, independientemente de dónde se encuentren. Las autorizaciones se definen en directrices que se aplican a través de la nube de seguridad, permitiendo una microsegmentación a medida de cada aplicación individual. Este enfoque elimina la necesidad de un acceso total a la red, que suele ser la fuente de múltiples problemas durante los ciberataques.
Centrándose en la experiencia del usuario
Hasta ahora, los usuarios han trabajado en redes corporativas y las aplicaciones a las que han accedido están alojadas en centros de datos corporativos. Por lo tanto, los servidores y la infraestructura informática eran responsabilidad del equipo de TI. En este modelo es fácil controlar la experiencia del usuario. Las aplicaciones y los datos ahora se distribuyen a menudo en varios entornos de la nube, fuera de la oficina. Sin embargo, el departamento de TI todavía las hace accesibles de la forma tradicional usando conexiones VPN, y entonces son a menudo redirigidas a la aplicación de la nube. Este enfoque requiere un desvío hasta el centro de datos, lo que necesariamente extiende el camino del usuario hasta la aplicación.
Para establecer una conexión directa a Internet, el modelo SASE se basa en otras tecnologías de red emergentes, como SD-WAN. El hecho de que cada sede de la empresa sea un punto independiente reduce la necesidad de desvíos y rutas indirectas, y permite la aplicación de un concepto de seguridad basado en la nube. Los puntos de interconexión entre la aplicación y los proveedores de servicios cloud también pueden ser útiles para garantizar una baja latencia y permitir que el usuario se conecte a la aplicación requerida por la ruta más directa.
Al combinar todos estos elementos conocidos en un modelo radicalmente nuevo, SASE es la herramienta perfecta para gestionar los desafíos que plantean las nuevas formas de trabajo y nuestras tareas cada vez más conectadas. Con este planteamiento, además de un acceso más rápido y eficiente a los servicios en la nube, las empresas también se benefician de una mayor seguridad informática, con un menor coste y complejidad, una reducción de las tareas administrativas y la aplicación centralizada de nuevas políticas de control en todos los sistemas. Como resultado, los CIO no sólo son capaces de proveer una experiencia de usuario rápida y segura, sino también de obtener una visibilidad de todos los flujos de datos de la empresa a través de una única plataforma cloud, permitiéndoles hacer de Internet la nueva red de la compañía, un enfoque esencial cuando los empleados pasan cada vez menos tiempo en la oficina.
Miguel Ángel Martos, Director regional Zscaler para España, Italia y Portugal
