Algunos de los cambios en los entornos de TI necesarios por la pandemia de la COVID-19 (principalmente el trabajo desde casa y la adopción de la nube) están aquí para quedarse a largo plazo y requerirán revisiones a largo plazo de las estrategias de seguridad de TI de las empresas.
Las medidas, a menudo apresuradas, que muchas organizaciones han aplicado para garantizar que los trabajadores remotos pudieran acceder de forma segura a los datos corporativos deberán ser sustituidas o reforzadas con controles que cumplan los requisitos de un mundo post-pandémico. Se necesitarán capacidades que permitan mejorar la visibilidad, el control y la gestión de las infraestructuras informáticas, en las que los datos están repartidos en entornos locales y en la nube y los usuarios acceden a ellos desde redes y dispositivos gestionados y no gestionados.
La pandemia ha forzado una aceleración de la digitalización y un cambio a la nube que muchos CISO no estaban preparados para soportar tan rápidamente, dice Joseph Carson, consultor de CISO en ThycoticCentrify. «El cambio obligó a muchas empresas a buscar soluciones a corto plazo que permitieran a la organización seguir funcionando y a los empleados ser productivos a distancia».
En muchos casos, las organizaciones han implementado tecnologías para apoyar el nuevo entorno de trabajo sin evaluar las posibles implicaciones de seguridad. «Ahora es un buen momento para que los CISOs midan cómo el aumento del riesgo y la exposición afectan al negocio».
Según Carson y otros expertos en seguridad, estos son algunos de los cambios a largo plazo que las organizaciones deberán realizar para garantizar la seguridad de los datos en un mundo post-pandémico.
Adopción más rápida de los modelos de acceso de confianza cero
El cambio a un entorno laboral y empresarial más distribuido tras la pandemia acelerará la adopción de modelos de acceso de confianza cero en los próximos años. Los datos y servicios de la empresa están ahora permanentemente dispersos en entornos locales, híbridos y de nube pública, y los usuarios acceden a ellos desde redes y dispositivos gestionados y no gestionados. Los antiguos modelos en los que los usuarios que acceden a los datos y servicios corporativos desde la red son de confianza implícita no funcionarán en un entorno de acceso post-pandémico en cualquier momento y lugar. Para garantizar un acceso seguro a los datos corporativos, las organizaciones tendrán que adoptar cada vez más modelos de confianza cero en los que cada solicitud de acceso, desde dentro y fuera de la red, sea autenticada y controlada.
El enfoque tradicional de cliente a servidor IPSec estaba muriendo de todos modos, dice John Pescatore, director de tendencias de seguridad emergentes en el Instituto SANS. «Los usuarios tienen que conectarse desde cualquier dispositivo en cualquier lugar y sólo volver a la sede para una pequeña cantidad de tráfico. Esto significa que el control de acceso seguro a la red, junto con una autenticación fuerte, se convertirá en una necesidad fundamental. Tengo que estar muy seguro de la persona que se conecta y luego tengo que juzgar la seguridad de su dispositivo».
El analista de IDC Pete Lindstrom predice que esta tendencia se desarrollará en varias etapas. La atención actual se centra en la capa de infraestructura y en cuestiones como el control de acceso granular y las comunicaciones cifradas para redes y hosts. En los próximos años, es de esperar que las organizaciones empresariales trasladen el enfoque de confianza cero más arriba en la pila para incorporar los datos y las cargas de trabajo. «Aquí es donde cosas como las redes definidas por software y las capas de abstracción de políticas comenzarán a hacer sentir su presencia. El objetivo será llegar a un punto en el que el acceso sea omnipresente y seguro y no haya distinción entre el acceso en la nube y en las instalaciones. La protección será persistente y seguirá a los datos allá donde se muevan», dice Lindstrom.
Controles para proteger una superficie de ataque más amplia
La pandemia ha cambiado fundamentalmente la forma de trabajar de las organizaciones, dice Rick Holland, CISO y vicepresidente de estrategia de Digital Shadows. Algunos operarán permanentemente en un modelo completamente a distancia, mientras que otros mantendrán un modelo híbrido en un futuro indefinido.
Desde el punto de vista de la seguridad, las nuevas tendencias crearán una nueva superficie de ataque mucho mayor que las organizaciones deberán proteger, afirma Holland. El acceso de los empleados, por ejemplo, tendrá que estar protegido independientemente de su lugar de trabajo. Del mismo modo, la necesidad de distanciamiento social y la escasez de mano de obra han acelerado la automatización y el uso de la inteligencia artificial en muchas industrias, como el comercio minorista, la hostelería y la fabricación.
Esta continua adopción de nuevas tecnologías creará nuevas superficies de ataque que los CISOs tendrán que abordar. «Habrá más propiedad intelectual que proteger y las nuevas tecnologías, como los robots y los terminales, también deben ser reforzadas, vigiladas y corregidas».
Los requisitos reglamentarios cambiarán para hacer frente a los nuevos riesgos
También hay que esperar cambios en los requisitos reglamentarios, de cumplimiento y contractuales, dice Holland, que afirma que los reguladores modificarán o ampliarán los requisitos existentes para adaptarse al modelo de negocio híbrido post-pandémico. Se espera que se actualicen normativas como la Payment Card Industry Data Security Standard (PCI DSS) y la norma ISO/IEC 27001:2013 sobre seguridad de la información, que podrían ser de las primeras en introducir nuevos requisitos para hacer frente a los riesgos pospandémicos. Es probable que los cambios normativos se apliquen por fases y a lo largo de varios años.
Sin embargo, donde el cambio será mucho más rápido es en los contratos B2C y en las cláusulas de seguridad, señala Holland. «Las empresas tecnológicas ya están viendo cómo cambian los requisitos de seguridad en los contratos de sus clientes, ya que estas organizaciones quieren asegurarse de que existe una seguridad física adecuada y controles de trabajo a distancia. Los CISOs necesitan asegurarse de que sus controles de seguridad abordan adecuadamente estas áreas de riesgo para ayudar a sus empresas a tener éxito.»
Autenticación más fuerte y encriptación persistente
El creciente uso de SaaS y otros sistemas basados en la nube como Zoom, Microsoft Teams y Dropbox para apoyar la colaboración distribuida ha llevado a que mucha información corporativa acabe en muchos lugares diferentes, dice Pescatore. Muchas organizaciones necesitarán métodos más eficaces de encriptación persistente y de autenticación de usuarios para soportar este tipo de entorno de trabajo a largo plazo. Desde el punto de vista de las prioridades, antes de que funcione el cifrado de datos será necesario implantar una autenticación fuerte. «Si los atacantes pueden seguir suplantando fácilmente las credenciales, el cifrado de datos no servirá de nada».
Un estudio basado en una encuesta realizada por Yubico en asociación con la empresa de análisis 451 Research a principios de este año mostró que la mayoría de las organizaciones (75%) planean aumentar el gasto en autenticación multifactor (MFA) para hacer frente a los nuevos riesgos a largo plazo en una emergencia mundial post-pandémica. El 49% de los 200 líderes de seguridad que participaron en la investigación describieron la AMF como la mejor tecnología de seguridad adoptada para abordar la migración a un modelo de HMF.
Mejora de la visibilidad y la supervisión de la red
El rápido cambio a un entorno de trabajo más distribuido y centrado en la nube debido a la pandemia ha hecho que las organizaciones pierdan visibilidad, en mayor o menor medida, de los dispositivos que se conectan a sus redes y datos. En muchos casos, las organizaciones han sacrificado la seguridad en aras de garantizar la continuidad del negocio y la disponibilidad. Han adoptado enfoques a corto plazo que han permitido que los empleados remotos sigan siendo productivos y que la empresa funcione sin interrupciones.
«Desgraciadamente, son soluciones que la empresa ha adoptado sin evaluar los riesgos ni habilitar la seguridad para evitar que los atacantes abusen de ellas», dice Carson, de ThycoticCentrify. En el futuro, los CISOs tendrán que evaluar y encontrar formas de abordar los nuevos riesgos que se han introducido en el entorno debido a la rápida adopción de la nube y los modelos de trabajo desde casa. «En el próximo año, los CISOs tendrán que medir los riesgos del acceso remoto y acelerar la implementación de soluciones de seguridad adicionales, como la seguridad de acceso privilegiado, MFA y el inicio de sesión único», dice Carson.
Una mejor visibilidad también será fundamental para las organizaciones en los próximos años, afirma Chris Morales, CISO de Netenrich. Al permitir que los usuarios accedan a los datos corporativos desde redes domésticas no gestionadas utilizando una combinación de dispositivos gestionados y no gestionados, los equipos de seguridad de las empresas han perdido la visibilidad y el control que necesitan para gestionar un acceso seguro. «El departamento de TI y la seguridad han perdido la visibilidad de los dispositivos que tienen acceso a los datos de alto valor, las aplicaciones en esos dispositivos y la salud de los dispositivos conectados», dice Morales.
Richard Stiennon, analista jefe de investigación de IT-Harvest, predice que a medida que las empresas trasladen su infraestructura a la nube, tendrán que buscar tecnologías de seguridad que reflejen algunas de sus capacidades locales en ciertas áreas. Entre ellas se encuentran el descubrimiento de activos, la gestión de la configuración, la supervisión y el registro de eventos. «Todos estos espacios son los de mayor crecimiento en ciberseguridad, y las startups especializadas en este ámbito están obteniendo unas valoraciones extraordinarias», señala Stiennon.
Evolución de las prácticas de gestión del ciberriesgo
Muchas organizaciones también tendrán que revisar sus prácticas de gestión de riesgos y de continuidad de la actividad para hacer frente a los riesgos en un entorno informático post-pandémico. Las áreas de mejora incluyen la planificación y preparación para la adversidad, permitiendo una mejor visibilidad de las interdependencias operativas en toda la empresa para los equipos operativos aislados, y convirtiendo la gestión de riesgos en una actividad operativa, dice Morales.
«La resiliencia requiere aunar las áreas de gestión de riesgos, continuidad del negocio y operaciones de TI, desarrollo y seguridad para producir un proceso operativo seguro por diseño para apoyar las funciones de misión crítica. El objetivo a largo plazo debe ser mejorar el conocimiento de la situación en un mundo en el que las aplicaciones empresariales, los datos y las personas que acceden a ellos se extienden mucho más allá de la red corporativa tradicional».
Pescatore dice que el caos resultante de la pandemia ha enseñado a las organizaciones una lección duradera sobre la importancia de tener y probar procedimientos para responder mejor a eventos que puedan requerir una transición rápida a infraestructuras alternativas. «Al igual que cuando hay que probar la transición a una conexión a Internet de reserva, creo que los equipos de TI y de seguridad harán pruebas de trabajo desde casa con poca antelación, con el objetivo de asegurarse de que pueden hacer la transición a una infraestructura alternativa de forma rápida, segura y fiable.»
Redacción CambioDigital OnLine
