Seguridad

Las nuevas reglas de la seguridad informática en la era de la nube

La transformación digital ha provocado una revolución. La movilidad de los trabajadores ha sustituido al enfoque convencional centrado en las instalaciones. Como resultado, la inversión en tecnología se está desplazando cada vez más hacia los usuarios, los dispositivos y los datos. El modelo tradicional de tipo ” hub and spoke “, en el que todo (las aplicaciones, los datos y los usuarios) residía dentro de la red corporativa, ya no es viable dada la gran cantidad de aplicaciones en la nube que se utilizan. Hoy en día, las empresas buscan un acceso dinámico tanto a las aplicaciones internas como a las externas en la nube. 

Esto requiere un importante replanteamiento respecto a la visión que las empresas tienen de sus extremos, que deben ser un conjunto más ágil y distribuido de puntos de acceso y control. Al final, la seguridad de hoy en día debería permitir avanzar en las estrategias digitales de forma rápida y segura, a la vez que comprende el lenguaje de la nube.

Los equipos de seguridad y redes tienen que cambiar su enfoque para seguir el ritmo de las necesidades de las compañías modernas. Los primeros años de adopción de la nube por parte de las empresas se centraron en un conjunto básico de aplicaciones de software como servicio (SaaS) de uso común. Más recientemente, hemos visto acelerarse el uso de un conjunto más amplio de aplicaciones específicas de cada sector y nicho y, por supuesto, de aplicaciones internas que se migran a la nube. Esta transición plantea la necesidad de una completa seguridad y cumplimiento normativo en todas las aplicaciones y dispositivos.

Por lo tanto, los principales componentes de una arquitectura de seguridad de red para la era de la nube deben construirse desde cero, en lugar de acoplarse a soluciones anteriores que fueron creadas para empresas en las que los empleados trabajaban únicamente en sus instalaciones o desde dispositivos gestionados.

El perímetro de las personas

El problema es que las tecnologías de seguridad anteriores no están diseñadas para proteger los datos cuando se mueven más allá del “extremo” tradicional y se adentran en una variedad de aplicaciones y dispositivos en la nube. Las empresas deben reevaluar los límites de sus plataformas de seguridad para asegurarse de estar protegidas frente a cualquier eventualidad, incluido el eslabón más débil de cualquier empresa: las personas.

Por ejemplo, ahora más que nunca, los empleados utilizan sus dispositivos personales para realizar tareas laborales. El BYOD (uso de dispositivos personales en el trabajo) mejora la productividad y la flexibilidad, pero también puede provocar problemas de seguridad si no se implementan las soluciones de seguridad adecuadas. Antes de la COVID-19, el BYOD era una tendencia importante, pero solo suponía una de las muchas tareas de seguridad pendientes de los equipos de tecnologías de la información. El confinamiento ha cambiado el marco de la seguridad y la generalización del teletrabajo ha abierto múltiples vectores de entrada para los ciberataques. Por ejemplo, es más probable que los usuarios se registren en aplicaciones con su propia cuenta de Gmail, lo que les permite eludir fácilmente los procesos de seguridad establecidos por sus empresas.

Del mismo modo, cuando se trata de amenazas a la ciberseguridad de las empresas, es más habitual fijarse en los agentes externos como principal fuente de riesgo. Sin embargo, una cantidad considerable de fugas de datos se producen como resultado de las amenazas internas, es decir, personas que están dentro de las empresas. Estas amenazas internas pueden consistir en divulgaciones de información confidencial con intenciones malévolas, o simplemente en empleados descuidados que comparten involuntariamente datos sensibles.

Al crear una estrategia de seguridad para la era de la nube, las empresas también deben tener cuidado con las soluciones inconexas, ya que un enfoque atomizado puede perjudicar su capacidad de adaptación rápida en un entorno empresarial altamente remoto y dinámico.

Por ejemplo, el tiempo y el dinero dedicados a la gestión de herramientas de seguridad desarticuladas y dispares pueden emplearse mejor en otras tareas. En cambio, unificar las herramientas en una única plataforma puede resultar muy eficaz, tanto desde el punto de vista operativo como de la rentabilidad. Por desgracia, las empresas suelen pasar por alto la arquitectura a la hora de valorar la conveniencia de las soluciones de seguridad. Al hacerlo, es posible que deban asumir costes de mantenimiento adicionales (como el tiempo de los empleados, los requisitos de actualización y los gastos de gestión) que van asociados a las soluciones anteriores y basadas en dispositivos.

Además, existen arquitecturas que afirman ser nativas de la nube cuando, en realidad, solo están alojadas en centros de datos privados. En la práctica, esto significa que aún se basan en lo que esencialmente es un modelo de red local. Los proveedores de seguridad que crean sus soluciones de esta manera deben seguir manteniendo centros de datos, abastecerlos con dispositivos de hardware para sus clientes y repercutir los costes en sus modelos de precios y servicios.

Es un hecho que las amenazas de seguridad y las vulnerabilidades cambian cada día. Esto requiere que los equipos de TI estén atentos y muestren agilidad ante los nuevos retos. Sin embargo, lo que no puede pasarse por alto es el cambio fundamental en la seguridad de las infraestructuras y las redes que ha provocado el crecimiento de la nube. Solo si las estrategias de seguridad se sitúan en el contexto de estas macrotendencias, las empresas podrán poner al día sus reglas para afrontar con mayor eficacia los retos presentes y futuros.

La entrada Las nuevas reglas de la seguridad informática en la era de la nube aparece primero en Globb Security.

Powered by WPeMatico

Gustavo Genez

Informático de corazón y apasionado por la tecnología. La misión de este blog es llegar a los usuarios y profesionales con información y trucos acerca de la Seguridad Informática.