Cloud Computing
Ciberseguridad

Hacia un nuevo paradigma de gestión de la seguridad

La adopción masiva del trabajo en remoto y la migración a la nube de las organizaciones han modificado definitivamente el paradigma de seguridad. Tras un primer momento de adopción acelerada de soluciones que permitiesen continuar con la actividad, las empresas afrontan una etapa en la que prima la prevención y en la que tienen que afrontar un nuevo modelo de gestión de la seguridad.

mesa redonda seguridad cloud

 

La configuración de un puesto de trabajo ubicuo y multidispositivo, la expansión del perímetro de seguridad y el incremento de los ataques son algunos de los retos que deben afrontar las organizaciones en el nuevo escenario originado a raíz de la crisis generada por la COVID-19. Con el fin de ahondar en estos desafíos que comporta la seguridad en la nube, la publicación CSO de IDG Communications celebró ayer una mesa redonda con los Ciso de varias compañías y con representantes de distintas empresas de seguridad.

 

Una nueva mentalidad

Aunque la migración a la nube era una de las prioridades que se fijaban buena parte de las organizaciones antes de la pandemia, las preocupaciones en torno a la ciberseguridad suponían un freno. Con la crisis sanitaria, lo que era un deseo se convirtió en una realidad casi de la noche a la mañana, por lo que muchas empresas se vieron obligadas a tomar decisiones de manera acelerada, sin tiempo para la reflexión y la planificación.

“Al migrar a la nube, el gran reto es saber a dónde quieres ir. Siempre hablamos de cloud como si fuera una sola cosa, pero hay distintas maneras de provisión de servicios cloud. El reto es adecuar todos los procesos internos, tanto de negocio como de tecnología y seguridad. Si se cambia de modelo, la seguridad tiene que estar desde el principio, en todo el ciclo de vida. Por ejemplo, en un modelo basado en metodologías ágiles, no se puede hacer una auditoria de seguridad cada semana. Hay que cambiar los procesos de seguridad para que sean acordes al nuevo modelo de delivery. Supone un cambio de mentalidad y la adecuación al negocio”, afirmaba Daniel Zapico, Ciso de Globalia.

 

Cambios en la gestión

Asimismo, Iván Sánchez, Ciso de Sanitas, incidía en que la transición a la nube no supone tan sólo un cambio tecnológico, sino también de la gestión y del modelo económico. “En un entorno tradicional, los equipos de TI eran gestores de infraestructuras, pero ahora deben ser gestores de servicios. Es necesario hacer un reskilling.  Y desde el punto de vista económico, supone pasar un modelo basado en CAPEX hacia un modelo de suscripción, de consumo”.

Ricardo López, Ciso de Sareb, también hablaba de la nueva forma de gestión que comporta la nube. “Cambian los servicios tradicionales que teníamos encapsulados y el uso de unos equipos corporativos hacia una gestión basada en servicios, usuarios y multiplataforma”.

Además, Daniel Aparicio, gerente de arquitectura y operaciones de ciberseguridad de Ferrovial, hizo hincapié en que adoptar un modelo basado en cloud permite que la organización adquiera una mayor flexibilidad, pero el incremento de los servicios en la nube aumenta la exposición. Por eso, insistió en la importancia de crear procesos “built to adapt”, incorporando la seguridad desde el inicio con el fin de aprovechar plenamente todas las posibilidades que brinda la nube.

 

Retomar el control

Iván Mateos, ingeniero preventa de Sophos, puso el acento en que los nuevos conceptos que introduce la nube pueden hacer que muchas organizaciones se vean desbordadas. “Cuando aparece el mundo cloud y la migración masiva de empresas a la nube, nos encontramos con ventajas como la escalabilidad, inmediatez, etc. Pero también trae consigo ciertas dificultades. Por ejemplo, introduce conceptos que quizá antes no habíamos escuchado, como microservicios, contenedeores, Kubernetes… Son muy flexibles y potentes, pero a muchas personas esto todavía les suena a chino y no lo relacionan con la seguridad”, comentaba. Ante tal situación, remarcó que los partners de seguridad pueden “devolver el control” a lsa organizaciones, ayudándolas a minimizar el riesgo al migrar al cloud.

Javier Aguilera, director de operaciones de negocio de Ikusi, se detuvo en el concepto ‘zero trust’. “El empleado se conecta desde cualquier lugar. Ya no lo hace desde la oficina, donde teníamos todas las barreras puestas. Nos han movido la caja donde estaba nuestra organización, haciéndola deslocalizada y menos previsible. Hay conceptos que tienen que cambiar en el ámbito de la seguridad. El ‘zero trust’ tienen que estar ahí, sin importar si el usuario se conecta desde la oficina o desde casa, y a través de un data center propio o en la nube”.

Por su parte, Alberto Pinedo, director de tecnología de Microsoft, precisó que hay cuatro pilares de seguridad: la gestión de la identidad y la autenticación, la identificación proactiva y avanzada de amenazas, la protección de los datos e información que maneja la organización y la monitorización unificada de la seguridad.

 

Nuevas amenazas

Sergio Martínez, Iberia Regional Manager de SonicWall, repasó algunos de los retos que han aparecido en el escenario generado por la pandemia. “Ha habido una explosión sin precedentes de la superficie de exposición por el teletrabajo, el uso de dispositivos no corporativos, la migración al cloud, etc. Pero también por el ‘shadow IT’ o la eclosión de Internet de las cosas (IoT, por sus siglas en inglés). Además, el punto de mira de los ciberdelincuentes se ha trasladado al empleado. Y la joya de la corona son las credenciales”, apuntaba.

Además, Luis Enrique Oliveri, director de Mnemo Innovate, afirmó que “la seguridad tiene que adaptarse para estar alineada con el negocio”. En este sentido, explicó que la nube ofrece unos servicios que permiten que el volumen de operaciones y de negocio crezca de manera muy rápida, por lo que “la seguridad que tenemos en la casa se vuelve inviable”. “Hay que cambiar el chip y hacer que los controles sean adaptativos, agiles y elásticos”, precisaba.

 

Sin miedo, pero con cautela

El director de tecnología de Microsoft hizo hincapié en que “no hay que tener miedo” a la hora de trasladarse a la nube, “pero sí cautela para evitar que el riesgo se convierta en realidad”. De este modo, incidió en la importancia de instaurar una cultura de seguridad, para lo que es esencial la formación y la realización de simulacros con el objetivo de comprobar que la asimilación de lo aprendido. Asimismo, Pineda comentó que hemos de asumir que en algún momento tendremos que sufrir un incidente, por lo que aconsejó tener claro quién se va a hacer cargo de la respuesta y de la recuperación.

Al hilo de ello, el responsable de Sophos remarcó que “nadie es infalible y existen riesgos que hay que visibilizar” para estar preparados. “Cuando sepas esos riesgos y cuáles son responsabilidad tuya, hay que tomar medidas. Pero hay que ser conscientes de que el riesgo siempre está. Lo importante es identificarlo. Si tienes todos los riesgos a la vista, la solución siempre aparece”, agregaba.

Podrá leer el reportaje completo del debate en el próximo número de CSO Digital.



TE PUEDE INTERESAR...

Accede a la cobertura de nuestros encuentros
 
Lee aquí nuestra revista digital de canal

DealerWorld Digital

 

Forma parte de nuestra comunidad
 
¿Interesado en nuestros foros? 

 

Whitepaper