Se siente casi increíble que después de más de un año de tener que trabajar desde casa, finalmente hayamos llegado a una etapa en la que, gracias al aumento de las tasas de vacunación y otros esfuerzos de los gobiernos, la vida parece estar volviendo a la normalidad. casi normal. Por desgracia, para muchas personas esto no solo significa la oportunidad de visitar un teatro o un pub después de un largo descanso, sino también la perspectiva inminente de regresar a sus oficinas.
A principios de 2020, cuando enfrentamos por primera vez bloqueos a nivel nacional, los trabajadores de TI se encontraron luchando por la supervivencia de sus negocios porque muy pocas empresas estaban preparadas para respaldar una fuerza laboral completamente remota. Afortunadamente, la mayoría pudo adaptarse durante los primeros meses de la pandemia. Para algunas empresas, Covid fue el argumento decisivo para finalmente adoptar la nube. Para otros, los servicios digitales incluso se han convertido en el nuevo producto. Fueron realmente “tiempos interesantes”.
Seamos realistas: el trabajo de oficina ya no es normal
Avance rápido hasta junio de 2021 y parece que muchos trabajadores de TI, especialmente los responsables de la seguridad, esperan el inminente fin de los bloqueos como una especie de regreso a la normalidad, regresando a los “buenos tiempos”. En realidad, ¡este podría ser el mayor error que puede cometer un CISO! Incluso una vez que todos estén completamente vacunados y se eliminen las restricciones restantes, la nueva “normalidad” no será nada como la época anterior al Covid.
Primero, a muchas personas les gusta trabajar desde casa. Algunos están planeando seriamente continuar, e incluso están dispuestos a aceptar un recorte salarial o mudarse a otra empresa para hacerlo. Muchas empresas también han apreciado el ahorro de tiempo y costes, por no hablar del profundo impacto medioambiental del trabajo remoto.
Con el tiempo, muchas empresas tendrán que rediseñar sus espacios de oficina para poner más énfasis en los lugares de trabajo compartidos y el hotdesking, así como para atender el fuerte aumento de las teleconferencias y la colaboración remota, incluso en las oficinas.
Para las personas de TI y ciberseguridad, esto significa que simplemente no hay vuelta atrás al antiguo concepto de seguridad perimetral. Incluso las empresas más conservadoras que todavía se aferraban a sus firewalls, VPN y aplicaciones locales tuvieron que finalmente dar un salto de fe y adoptar alternativas modernas nativas de la nube para acomodar a sus trabajadores remotos y garantizar su seguridad y cumplimiento fuera de la red. perímetro corporativo tradicional.
Hoy en día, la red de área local (LAN) es la parte menos segura de la red corporativa, y los trabajadores de oficina que regresan solo empeorarán la situación. Las máscaras y las pruebas pueden ayudar a proteger contra Covid en el lugar de trabajo, pero ¿qué ayudará contra el ransomware y los ataques de phishing?
Confianza cero: ya no es una palabra de moda, sino un objetivo estratégico
¿Significa, sin embargo, que ahora necesitamos invertir en herramientas de seguridad adicionales para proteger nuestras oficinas de la afluencia repentina de nuevos actores de amenazas externos e internos? Bueno, sí y no.
El mayor enemigo de la seguridad es la complejidad, y agregar controles de seguridad específicamente para los trabajadores de oficina es una pérdida de tiempo y dinero. Una estrategia más sensata es garantizar que la misma pila de seguridad pueda proteger a cualquier trabajador, dentro y fuera de la oficina, incluidos los empleados que trabajan desde casa, los trabajadores móviles, los contratistas y otros socios.
En términos prácticos, esto significa extender la definición de trabajador remoto a todos los miembros de la organización. Cualquiera debería poder experimentar el mismo nivel de productividad y protección contra las amenazas cibernéticas dentro o fuera de la oficina, moviéndose sin problemas entre entornos de TI como teléfonos móviles entre torres de telefonía móvil. No hace falta decir que el método más radical para lograr este comportamiento perfecto es deshacerse de la noción misma de una red local: ¡el único santo grial de la confianza cero!
Esta palabra de moda ha sido un tema popular de discusión entre los expertos en TI durante años, lo que a menudo genera mucha confusión entre las personas que piensan que pueden comprar redes de confianza cero como soluciones llave en mano. Sin embargo, aunque definitivamente este no es el caso, adoptar un modelo de seguridad de confianza cero es más fácil de lo que muchas personas creen, siempre que tengan una estrategia adecuada a largo plazo.
Además de implementar varias tecnologías, que muchas empresas ya podrían haber hecho precisamente gracias a Covid, es posible que las empresas también rediseñen algunos principios organizativos o procesos comerciales. Pero el resultado siempre conducirá a la simplificación y unificación general de las infraestructuras de TI, a la reducción de costos y gastos generales de administración y, con suerte, a una mayor productividad y satisfacción de los empleados.
Es hora de retirar la LAN
El primer paso en este viaje estratégico hacia la confianza cero puede ser bastante simple: simplemente finja que su oficina ya no tiene una red de área local. Incluso si un trabajador está de vuelta en su antiguo escritorio, trate sus dispositivos como si todavía estuvieran trabajando desde casa; por ejemplo, solo déjelos conectarse a la red Wi-Fi para invitados.
Por supuesto, si ha estado confiando en las soluciones VPN de la vieja escuela durante todos estos meses, esto podría causar problemas, pero si ya está utilizando una plataforma de acceso a la red de confianza cero basada en la nube (ZTNA) para proporcionar conectividad segura a su aplicaciones corporativas, debería funcionar de forma completamente transparente, dentro o fuera de la oficina. Como beneficio adicional, este enfoque protegerá su LAN heredada de los movimientos laterales de un posible actor malintencionado, externo o interno.
Lo mismo se aplica a las soluciones de borde de servicio de acceso seguro (SASE) que brindan capacidades de seguridad directamente desde la nube; incluso si aún no pueden reemplazar completamente su pila cuidadosamente configurada de dispositivos de seguridad en las instalaciones, probablemente puedan brindar el 80% de protección por solo 20 % del costo, en la oficina, en casa o en cualquier lugar intermedio.
Si hay algún lado positivo detrás de todo el desastre de Covid, es que todas estas soluciones basadas en la nube se han probado exhaustivamente y pueden adaptarse a los requisitos incluso de las empresas más grandes.
El mundo ha cambiado profundamente en los últimos 15 meses y no habrá regreso a los tiempos anteriores al Covid en el corto plazo. Sin embargo, en lugar de lamentar la pérdida, deberíamos adoptar la nueva normalidad, seguir adoptando tecnologías de seguridad modernas y aprovechar esta oportunidad única para deshacernos de la enorme deuda técnica de nuestras infraestructuras de TI heredadas. Si se hace estratégicamente, debería ser una situación en la que todos salgan ganando. Bueno, excluyendo a los piratas informáticos, quizás.
Alexei Balaganski es analista principal de KuppingerCole y especialista en inteligencia artificial y ciberseguridad. En KuppingerCole, cubre una amplia gama de temas cibernéticos que incluyen bases de datos, seguridad de aplicaciones y API, análisis de seguridad, protección de fecha y automatización de seguridad basada en inteligencia artificial. Tiene una maestría en matemáticas aplicadas e informática, y también se desempeñó anteriormente como director de tecnología de KuppingerCole.