Llegamos a ustedes gracias a:



Reportajes y análisis

6 formas en que la pandemia ha provocado cambios en la seguridad

A largo plazo

[25/10/2021] Algunos de los cambios en los entornos de TI provocados por la pandemia del COVID-19, principalmente el trabajo desde casa (WFH, por sus siglas en inglés) y la adopción de la nube, han llegado para quedarse y requerirán revisiones a largo plazo de las estrategias de ciberseguridad empresarial.

[Reciba lo último de CIO Perú suscribiéndose a nuestro newsletter semanal]

Las medidas, a menudo precipitadas, que muchas organizaciones han implementado para garantizar que los trabajadores remotos puedan acceder de forma segura a los datos de la empresa, deberán ser reemplazadas o reforzadas con controles que puedan abordar los requisitos de un mundo pospandémico, señalan los expertos en seguridad. Será necesario contar con capacidades que permitan una mejor visibilidad, control y gestión de las infraestructuras de TI en las que los datos están dispersos en entornos locales y en la nube, y los usuarios acceden a ellos desde redes y dispositivos tanto gestionados como no gestionados.

La pandemia forzó una aceleración de la digitalización y un traslado hacia la nube que muchos CISO no estaban preparados para soportar de manera tan rápida, afirma Joseph Carson, CISO asesor de ThycoticCentrify. "El cambio ha obligado a muchas empresas a buscar soluciones a corto plazo que permitan que la organización continúe operando y que los empleados sean productivos de forma remota, comenta.

En muchos casos, las organizaciones han implementado tecnologías para respaldar el nuevo entorno de trabajo sin evaluar las posibles implicaciones de seguridad, explica. "Ahora es un buen momento para que los CISOs revisen el software empresarial recién incorporado, y analicen cómo el aumento del riesgo y la exposición afectan al negocio, recomienda Carson.

Según Carson y otros expertos en seguridad, estos son algunos de los cambios a largo plazo que las organizaciones harán -o tendrán que hacer- para garantizar la seguridad de los datos en un mundo pospandémico.

Adopción más rápida de modelos de acceso de confianza cero

El cambio a un entorno laboral y empresarial más distribuido a raíz de la pandemia acelerará la adopción de modelos de acceso de confianza cero en los próximos años. Los datos y servicios empresariales ahora están permanentemente dispersos en entornos locales, híbridos y de nube pública, y los usuarios acceden a ellos desde redes y dispositivos gestionados y no gestionados. Los modelos antiguos en los que los usuarios que accedían a los datos y servicios empresariales desde dentro de la red son implícitamente confiables, simplemente no funcionarán en un entorno pospandémico. Para garantizar un acceso seguro a los datos empresariales, las organizaciones tendrán que adoptar progresivamente modelos de confianza cero en los que cada solicitud de acceso -desde dentro y fuera de la red- se autentifica y examina.

El enfoque tradicional de cliente IPSec a servidor VPN estaba muriendo de todos modos, comenta John Pescatore, director de tendencias de seguridad emergentes en el Instituto SANS. "Creo que la necesidad de un trabajo flexible de forma remota fue el último clavo del ataúd, añade. "Los usuarios necesitan poder conectarse desde cualquier dispositivo en cualquier lugar, y solo establecer un túnel de regreso a la sede central para una pequeña parte del tráfico. Eso significa que el control de acceso seguro a la red junto con una autenticación sólida se convertirá en una necesidad fundamental, afirma. "Debo poder estar realmente seguro de la persona que se está conectando y luego poder juzgar la seguridad de su dispositivo, señala.

Pete Lindstrom, analista de IDC, prevé que la tendencia se desarrollará por fases. El enfoque actual está en la capa de infraestructura y en cuestiones como el control de acceso granular y las comunicaciones cifradas para redes y hosts. En los próximos años, es de esperar que las organizaciones empresariales trasladen el enfoque de confianza cero hacia la parte superior de la pila para incorporar datos y cargas de trabajo. "Aquí es donde empezarán a brillar cosas como las redes definidas por software y las capas de abstracción de políticas, indica Lindstrom. El objetivo será llegar a un punto en el que el acceso sea omnipresente y seguro, y no exista distinción entre el acceso desde la nube y las instalaciones. Lindstrom afirma que la protección continuará siendo persistente y seguirá a los objetos de datos donde sea que se muevan.

Controles para proteger una superficie de ataque más amplia

La pandemia ha cambiado fundamentalmente la forma de trabajar de las organizaciones, anota Rick Holland, CISO y vicepresidente de estrategia en Digital Shadows. Algunos operarán de manera permanente en un modelo completamente remoto, mientras que otros mantendrán un modelo híbrido por un futuro indefinido. Él espera que las organizaciones eviten los campus corporativos y, en cambio, opten por oficinas regionales distribuidas y espacios de reunión compartidos más cerca de sus empleados descentralizados.

Desde el punto de vista de la seguridad, esta tendencia creará una superficie de ataque nueva y mucho más amplia que las organizaciones deberán proteger, asegura Holland. Por ejemplo, el acceso de los empleados deberá ser protegido sin importar desde dónde trabajen. Del mismo modo, la necesidad de distanciamiento social y la escasez de mano de obra han acelerado la automatización y el uso de la inteligencia artificial en muchos sectores, incluyendo el comercio minorista, la hostelería y la fabricación, indica.

Esta adopción continua de nuevas tecnologías creará nuevas superficies de ataque que los CISO deben abordar. "Habrá más propiedad intelectual por proteger, señala Holland. "Las nuevas tecnologías como los robots y los terminales también deben ser reforzadas, monitoreadas y parchadas. Los turnos de oficina también tendrán implicaciones de seguridad física que los CISO deberán abordar, a medida que los espacios de co-working, los espacios comunes y el hot desking se vuelven más predominantes.

Los requisitos reglamentarios cambiarán para abordar nuevos riesgos

Se esperan cambios en los requisitos regulatorios, de cumplimiento y contractuales, comenta Holland. Él predice que las autoridades reguladoras modificarán o ampliarán los requisitos existentes para adaptarse al modelo de trabajo híbrido pospandémico. Las regulaciones como el Estándar de Seguridad de Datos para la Industria de Tarjeta de Pago (PCI DSS) y el Estándar ISO/IEC 27001:2013 para la seguridad de la información van a ser actualizadas, y podrían estar entre las primeras en introducir nuevos requisitos para abordar los riesgos posteriores a la pandemia. Es probable que los cambios regulatorios se implementen en fases y en el transcurso de varios años.

Donde el cambio sucederá mucho más rápido es en los contratos B2C y los anexos de seguridad, señala Holland. "Las empresas de tecnología ya están viendo cómo cambian los requisitos de seguridad en los contratos de sus clientes, ya que estas organizaciones quieren asegurarse de que se apliquen los controles de seguridad física y de trabajo remoto adecuados, sostiene. "Los CISOs deben asegurarse de que sus controles de seguridad aborden adecuadamente estas áreas para ayudar a sus empresas a consolidar negocios.

Autenticación más sólida y cifrado persistente

El uso creciente de SaaS y otros sistemas basados en la nube como Zoom, Microsoft Teams y Dropbox para respaldar la colaboración distribuida ha dado como resultado que gran cantidad de información empresarial termine en muchos lugares diferentes, indica Pescatore. Varias organizaciones necesitarán un cifrado persistente y métodos de autenticación de usuarios más sólidos para admitir este tipo de entorno de trabajo a largo plazo. Si se habla de prioridades, será necesario implementar una autenticación sólida antes de que el cifrado de datos pueda funcionar, explica. "Si los atacantes pueden seguir suplantando y robando fácilmente las credenciales, el cifrado de datos no sirve de nada, señala Pescatore.

Un estudio basado en una encuesta que realizó Yubico en asociación con la firma de analistas 451 Research a principios de este año mostró que la mayoría de las organizaciones -75%- tiene previsto aumentar el gasto en autenticación multifactor (MFA) para abordar los nuevos riesgos a largo plazo en un mundo pospandémico. El 49% de los 200 líderes de seguridad en el estudio de Yubico y 451 Research describieron la MFA como la principal tecnología de seguridad que habían adoptado debido al COVID-19 y la migración a un modelo WFH.

Mejor visibilidad y monitoreo de la red

El cambio apresurado a un entorno de trabajo más distribuido y centrado en la nube a causa de la pandemia provocó que las organizaciones perdieran visibilidad -en mayor o menor medida- sobre los dispositivos conectados a sus redes y datos. En muchos casos, las organizaciones sacrificaron la seguridad en aras de garantizar la continuidad y disponibilidad del negocio. Adoptaron enfoques a corto plazo que permitieron que los empleados remotos siguieran siendo productivos y que la empresa funcionara sin interrupciones.

"Desafortunadamente, estas fueron soluciones que la empresa adoptó sin evaluar los riesgos ni habilitar la seguridad para evitar que los atacantes abusen de ellas, afirma Carson de ThycoticCentrify. En el futuro, los CISO deberán evaluar y encontrar formas de abordar los nuevos riesgos que se introdujeron en el entorno debido a la rápida adopción de la nube y los modelos de trabajo remoto desde principios de 2020. "Durante el próximo año, los CISO necesitan medir los riesgos del acceso remoto y acelerar la implementación de soluciones de seguridad adicionales para mejorar la seguridad del acceso remoto: la seguridad del acceso privilegiado, MFA y el inicio de sesión único, señala Carson.

La mejora de la visibilidad será fundamental para las organizaciones en los próximos años, asegura Chris Morales, CISO de Netenrich. Al permitir que los usuarios accedan a los datos de la empresa desde redes domésticas no administradas utilizando una combinación de dispositivos gestionados y no gestionados, los grupos de seguridad empresarial han perdido la visibilidad y el control necesarios para administrar el acceso seguro. "La TI y la seguridad ya no saben qué dispositivos tienen acceso a datos de alto valor, las aplicaciones de esos aparatos y el estado de salud de los dispositivos conectados, indica Morales.

Richard Stiennon, analista jefe de investigación de IT-Harvest, cree que a medida que las empresas transfieran su infraestructura a la nube, tendrán que buscar tecnologías de seguridad que reflejen algunas de sus capacidades locales en ciertas áreas. Entre ellas se encuentran el descubrimiento de activos, la gestión de la configuración, la supervisión y el registro de eventos. "Estos son los espacios de más rápido crecimiento en ciberseguridad, y las startups están obteniendo enormes valoraciones, señala Stiennon.

Evolución de las prácticas de gestión de riesgos cibernéticos

Muchas organizaciones necesitarán revisar sus prácticas de gestión de riesgos y continuidad empresarial para hacer frente a los riesgos en un entorno de TI pospandémico. Algunos de los temas por mejorar son la planificación y preparación para la adversidad, la habilitación de una mejor visibilidad de las interdependencias operativas en toda la empresa para los equipos de operaciones en silos y la transformación de la gestión de riesgos en una actividad operativa, dice Morales.

"La capacidad de recuperación/resiliencia requiere reunir las áreas de gestión de riesgos, continuidad del negocio y operaciones de TI, desarrollo y seguridad para generar un proceso operativo seguro por diseño que respalde las funciones de misión crítica, explica Morales. El enfoque a largo plazo debería ser mejorar el conocimiento de la situación en un mundo donde las aplicaciones empresariales, los datos y las personas que acceden a ellos están dispersos más allá de la red empresarial tradicional, anota.

Pescatore señala que el caos derivado de la pandemia les ha enseñado a las organizaciones una lección duradera sobre la importancia de tener y probar procedimientos para responder mejor a eventos que podrían requerir un cambio rápido a una infraestructura alternativa. "Al igual que se prueba el cambio del centro de datos a la energía de emergencia, o el cambio a una conexión de Internet de respaldo, creo que los equipos de TI y seguridad harán pruebas de trabajo desde casa con poca antelación, sostiene Pescatore. "El objetivo es asegurarse de que puedan realizar la transición de forma rápida, segura y confiable en caso de que los cierres vuelan a producirse.