Integrar la seguridad es clave para mantener las amenazas digitales a raya

Por Juan Manuel Luna*

¿Cómo se construye una fortaleza digital para combatir a los ciberdelincuentes? En algunas latitudes, por lo que sugiere un estudio-encuesta realizado por Ponemon Institute, las organizaciones edifican su bastión a partir de la acumulación de recursos: adoptan y despliegan un promedio de 47 soluciones de ciberseguridad distintas.

En principio, la opción no parece mala idea. El ámbito digital ya es un territorio de alto riesgo, en el que abundan las amenazas: malware, ransomware, cibercriminales más poderosos (mejor financiados, más sofisticados y más agresivos), ataques a servicios y aplicaciones de nube (pública y privada), suplantación de identidad, páginas web falsas, fugas de información, individuos que usan equipos (fijos y móviles) sin reconocer las fronteras entre lo personal y lo laboral, entre otros peligros latentes. Ante tal diversidad de riesgos, el contar con un extenso catálogo de defensas –con herramientas diseñadas para atender situaciones específicas– hasta resulta una alternativa lógica.

Sin embargo, la eficacia de estos amplios arsenales es un asunto que no deja de cuestionarse. Si estos castillos multi-tecnologías son tan robustos y parece que no dejan nada a la suerte, ¿por qué el número de ciberataques a las empresas no muestra una tendencia a la baja? Desde la perspectiva de los números, esta pregunta puede resultar polémica. Aunque con más medios para resguardarse digitalmente, las compañías están lejos de conocer la paz.

Sólo considerando el tercer trimestre de 2020, en todo el mundo se presentaron 199.7 millones de incidentes de ransomware (según el sitio especializado Security Boulevard), lo que representa un incremento del 40% respecto del mismo periodo del año previo. Asimismo, las organizaciones mexicanas, durante el primer semestre de este desafiante año y de acuerdo con la consultora local Silikn, fueron atacadas por ciberdelincuentes –en promedio– 1,116 veces por semana (en el contexto mundial, el rango se ubicó en 470 agresiones).

Por supuesto, las cifras no cuentan toda la historia (la perseverancia de los agresores incluye varios aspectos, como la motivación egocéntrica del delincuente y la recompensa financiera del ataque). En el éxito o fracaso de una infraestructura de ciberseguridad empresarial, el factor determinante, en muchas ocasiones, radica en la integración.

Para construir su fortaleza digital, una organización puede comprar diversas tecnologías, cada una de ellas, especializada en tareas o vulnerabilidades particulares (suites antivirus, equipos para proteger la red, soluciones para dispositivos remotos, monitoreo del tráfico de internet, protección para actividades en la nube, entre otras). Incluso, podría adquirir los productos y las soluciones de las marcas líderes en cada segmento (los sistemas que algunos llaman Best of Breed). Desgraciadamente, esto no implica ninguna garantía: las distintas tecnologías de seguridad podrían tener dificultades para colaborar entre sí, para operar en forma coordinada y eficiente; lo que terminará por detonar fallas operativas, que los ciberdelincuentes aprovecharán para desplegar sus ataques.

Y quienes intentan construir y operar una fortaleza multi-soluciones (y multi-marca), de acuerdo con una consulta realizada por la consultora ESG, saben que dichos retos no son menores. Para las organizaciones encuestadas –60% de la muestra utiliza más de 25 productos de ciberseguridad distintos, el 31% más de 50–, los principales desafíos incluyen:

• Cada ambiente de la infraestructura necesita una solución específica, la cual debe ser administrada por un equipo particular (que conozca a fondo dicha tecnología). Esto crea ineficiencias y costos operativos.
• Adquirir productos de una diversidad de proveedores de ciberseguridad añade costos y complejidad a los procesos de adquisición de la empresa.
• El número de tecnologías de protección que se usan en la compañía, al final del día, provoca que las operaciones de ciberseguridad resulten complejas y demandantes en términos de tiempo.
• Al utilizar múltiples y dispares tecnologías de seguridad, la organización tiene dificultades para obtener una visión completa de la situación de ciberseguridad.
• Todos los productos de seguridad generan un alto volumen de alertas, lo que dificulta priorizar e investigar los incidentes que se presentan.

Una gran diferencia: integrar o armar bloques

Con el objetivo de superar el obstáculo de la integración de una plataforma, las empresas tienden a recurrir a proveedores con un amplio portafolio de soluciones de ciberseguridad, diseñado para atender las diversas circunstancias que puede encarar una organización. De esta forma, evitan lidiar con incontables marcas y aseguran la interoperabilidad de las herramientas. Otra idea razonable que no siempre entregará los resultados esperados.

Cuando necesitan ensanchar su oferta de productos (para resolver una nueva necesidad de los clientes), los fabricantes no dudan en adquirir a otro proveedor, que cuente con la tecnología y el conocimiento que le permitirán cubrir el hueco que tiene su catálogo. No obstante, estos procesos no siempre resultan tan tersos. Para asegurar que las soluciones que recién adquirió se adaptan al portafolio existente, el fabricante necesitará tiempo para realizar pruebas y ajustar otros factores relevantes (licencias, contratos, políticas de soporte, etc.). Al final, esta clase de integración no será inmediata.

Además, ante la necesidad de crecer su oferta, un fabricante puede terminar en terrenos tecnológicos que le son desconocidos. Imaginemos un proveedor que posee un sólido expertise en dos terrenos (por ejemplo, suites antivirus y hardware de seguridad para redes fijas), pero que hoy necesita robustecer su oferta con innovadores productos de ciberseguridad para la nube; herramientas que, en el contexto actual, de enormes despliegues de trabajo remoto por la pandemia de Covid-19, son muy demandadas por las organizaciones. Al ser un tema que está fuera de su expertise tecnológico, el fabricante podría tener dificultades para encontrar la solución complementaria ideal (la que mejor, y más rápido, se integre a su portafolio).

La lección es clara: en el diseño de una infraestructura de ciberseguridad, la integración de capacidades –más que la acumulación de tecnologías– es el aspecto que no puede perderse de vista. Esta es la visión que respalda a conceptos como SASE (Secure Access Service Edge), un modelo de ciberseguridad centrado en la nube, el cual fue definido por la consultora independiente Gartner (y no por un fabricante o conjunto de proveedores).

En la visión de SASE, las organizaciones, antes de pensar en tecnologías particulares, deben enfocarse en proteger sus datos a donde quiera que vayan; lo que implica reconocer los nuevos hábitos que ha creado o reforzado la nube, entre otros: usuarios que se conectan a la red empresarial desde diversos dispositivos (fijos y móviles, personales o corporativos), que mueven información entre servicios y apps de nube pública o privada, que utilizan infinidad de aplicaciones Cloud (productividad, videoconferencia, entretenimiento, etc.), que pueden aprovechar un mismo equipo para trabajar y para cuestiones personales.

Por eso, SASE se define como un modelo de ciberseguridad nativo de la nube y centrado en los datos de la empresa, en donde la ciberseguridad responde a contextos que no pueden ignorarse en despliegues de nube: quién está usando la información, qué datos está manipulando, desde qué dispositivo está conectado, qué aplicación Cloud aprovecha para trabajar los archivos, hacia qué instancias está moviendo los datos (entre la red de la empresa y una suite de productividad en Internet, por ejemplo), etc.

Para proteger los datos corporativos en cualquier lugar, un esquema SASE, como es de esperarse, utiliza diversas innovaciones, por ejemplo: Secure Web Gateway (SWG) de siguiente generación, Zero Trust Network Access (ZTNA), Data Loss Prevention (DLP), Machine Learning, Advanced Threat Protection (ATP), por mencionar algunas. Sin embargo, en este modelo, todas las soluciones están integradas de origen, alineadas al objetivo de brindar seguridad robusta que no es obstaculizada por aspectos como tipo de usuario, dispositivo o aplicación.

La integración de origen y el foco en los datos no son cuestiones menores. Como lo ha destacado la propia consultora Gartner, no faltan los proveedores que ofrecen plataformas SASE. Sin embargo, un análisis detallado de dichas ofertas terminar por revelar la verdad: son infraestructuras de ciberseguridad que están conformadas por bloque tecnológicos «pegados” entre sí (y no realmente integrados). Y esto tiene implicaciones serias. Por ejemplo, con SASE, las organizaciones obtienen una sola visión de su situación de ciberseguridad, y no varias perspectivas (una por cada producto que no logra integrarse plenamente a la plataforma de protección).

En su próxima adquisición de un producto de ciberseguridad, las organizaciones, antes de autorizar cualquier pago, deberían reflexionar sobre la infraestructura que están edificando. Invertir en un “bloque” de protección puede ser una solución inmediata –siempre y cuando, el bloque pueda encajar con los otros que ya tiene la compañía. Sin embargo, en un futuro donde dominarán los servicios de nube, el capital de la empresa debería apuntar en otra dirección.

*El autor es Regional Sales Manager de Netskope para México, Centroamérica y el Caribe.