Hablando claro de tecnología: Podéis hacer que la seguridad de las redes sea importante para los dirigentes de las empresas, pero ¿lo estáis consiguiendo? Veamos los resultados…
En las últimas semanas hemos estado recopilando vuestras opiniones sobre los retos que afrontáis cuando habláis con compañeros del ámbito empresarial de vuestra empresa sobre la virtualización de redes definidas por software y la seguridad.
Desde los retos más grandes por violaciones de datos y las solicitudes más inverosímiles para solucionarlas, hasta las analogías más acertadas o el lenguaje más básico utilizado para explicar las temas de seguridad, habéis compartido los mejores y peores casos a los que os habéis enfrentado junto con vuestros equipos de TI para ayudar a toda la empresa a entender los problemas relativos a la seguridad de las redes.
Tras analizar vuestras respuestas, hemos podido plasmar lo que consideramos que es un retrato inestimable de los esfuerzos dedicados a explicar este problema internamente pese al hecho de que la ciberseguridad ha captado la atención de los medios de comunicación generales. Con las aplicaciones y los datos de usuarios activos en más dispositivos y en más lugares que nunca, está claro que muchos dirigentes de empresas sobreestiman lo eficaces que son sus inversiones en ciberseguridad. Por ejemplo, los continuos titulares sobre las sonadas violaciones de datos sugieren que los métodos existentes no logran proteger los negocios pese a una inversión material en esta área. Con el fin de proteger estos datos, la marca del negocio y, en última instancia, la confianza del cliente, es necesario obtener más transparencia con una arquitectura de seguridad integrada y una estrategia que todos entiendan en la empresa.
Hemos utilizado muchas de vuestras historias para crear unas divertidas tiras de cómic que arrojan luz sobre las dificultades y el reto cultural que entraña lograr que TI y la empresa estén en la misma onda mediante un lenguaje que entiendan todos. Estad atentos a todas las tiras que iremos publicando en nuestra cuenta deTwitter en las próximas semanas.
Hacer que toda la empresa conozca los retos de seguridad supone un gran esfuerzo
El 87% de los encuestados habéis coincidido en que os cuesta hacer que toda la empresa entienda los retos de seguridad y un tercio lo habéis afirmado con ímpetu.
Es más, según vuestras respuestas, los mayores retos en hacer que la empresa sepa los riesgos de seguridad que afronta la empresa son “La empresa no entiende la terminología de seguridad”, “La empresa no se toma las amenazas que plantea TI en serio” y “No se ve la seguridad como una prioridad para la empresa”.
Curiosamente, esto coincide con nuestro estudio mundial sobre seguridad realizado con The Economist Intelligence Unit, donde sólo un cinco por ciento de la cúpula directiva encuestada y no implicada en la seguridad consideraba que la ciberseguridad era la iniciativa con máxima prioridad. Es decir, podemos deducir que los CEO están escondiendo la cabeza en la arena pese a que se les está pidiendo a gritos que se pongan las pilas y tomen medidas.
Las explicaciones de TI de los términos técnicos son muy diversas y esto impide que toda la empresa lo entienda
Al pediros descripciones en lenguaje sencillo de varios términos técnicos obtuvimos una amplia variedad de respuestas. Por ejemplo, se describió “Mitigar las violaciones de datos” como “Gestionar la seguridad del hardware y el software” o con un breve “des-desastre”, mientras que las interpretaciones de “Continuidad del negocio” oscilaban entre “solucionar un gran apagón” y “lo que importa es la misión”.
Con un número tan diverso de interpretaciones y explicaciones de los términos técnicos de seguridad, comunicarlos de manera única y sencilla de modo que toda la empresa entienda las implicaciones con un lenguaje único y claro para toda la empresa supone un reto inmenso. Esto se puede decir de la amplia mayoría de las acciones tangibles, pero habéis resaltado unas concretas como las más difíciles.
Entre ellas destacan la importancia de tener controles de seguridad en el perímetro del centro de datos; las medidas necesarias que deben tomar los empleados en el caso de una violación de datos; asegurar que los empleados actualizan el dispositivo que utilizan para acceder a los datos de la empresa; y comunicar a la plantilla la creciente sofisticación de los ataques específicos y las violaciones y el impacto que pueden tener. El hecho de que algunos de estos puntos sean tan críticos y debieran ser comprendidos sin más es especialmente sorprendente y sugiere que hay aún más necesidad de una formación periódica para repasar los puntos básicos en seguridad por toda la empresa.
Microsegmentar la comprensión de la microsegmentación
Uno de los términos técnicos que más daba lugar a una extensa variedad de explicaciones claras es la microsegmentación, que (en términos generales) permite instalar controles de seguridad granulares en cada máquina virtual del centro de datos -o, en otras palabras, mete la seguridad dentro la red y la aplicación en lugar de dejarlo en el borde. Cuando se les preguntó qué lenguaje habían utilizado para explicar la importancia de esta tecnología a toda la empresa, los encuestados dijeron “Obtener visibilidad de las violaciones de datos inmediatamente”, “La capacidad de evitar que se extiendan los ataques laterales en la empresa” y “La capacidad de los administradores de seguridad de defenderse frente a las violaciones de datos”, lo que sugiere la falta de una única explicación que englobe todas las ventajas de adoptar este método. Puede que os sorprenda, pero la “automatización de la gestión de políticas de seguridad” no era de las más mencionadas y eso que puede ser un requisito clave para las empresas que tienen una gran infraestructura de firewall.
Aparte de esto, cuando se pidió a los encuestados compartir la mejor descripción que habían oído de la microsegmentación, las sugerencias fueron desde los más filosófico “El detalle más pequeño que pasamos por alto es el más importante” a lo más claro y directo “Es como tener un firewall en cada interfaz de máquina virtual”.
Microsegmentación: explicación
Así pues, ¿cómo se puede explicar mejor la microsegmentación? Preguntamos a Andy Kennedy, nuestro director de SE y director tecnológico de campo, a que compartiera la mejor analogía con la que se ha topado en sus conversaciones sobre este tema.
Viendo el centro de datos como una especie de prisión, con puertas blindadas y máquinas de rayos X para dejar fuera “todo lo malo”. Un centro de datos tiene defensas en el perímetro como los firewalls de próxima generación (algo como las puertas blindadas y las máquinas de rayos X). Por desgracia, tanto en los ejemplos reales como en los virtuales, sabemos que esto no deja todo lo malo fuera (p. ej. teléfonos móviles, drogas en prisiones y ransomware, malware en centros de datos).
Las prisiones se dividen en secciones/bloques para separar a los diferentes tipos de prisioneros (alto riesgo, comunes) pero pueden desplazarse libremente en esa sección y causar problemas en el caso de un disturbio. Lo mismo pasa en un centro de datos. Solemos dividirlo en zonas de confianza, zonas “desmilitarizadas” y zonas de desconfianza. Aquí también, el tráfico puede ir donde quiera en esa zona, pero no detiene realmente un problema cuando se produce una violación de seguridad. Para esto tenemos el micro nivel de segmentación. En una prisión, esto sería una celda con una única puerta pero con medios para controlar qué pasa dentro y fuera de ella (p. ej. los barrotes). Esto también nos sirve para nuestra analogía del centro de datos, solo que en este caso, en lugar de una celda, tenemos una máquina virtual. Cada interfaz de esa máquina virtual tiene su propio conjunto de medios de control (una política de firewall) para proporcionar una gestión precisa y granulada del tráfico.
También podemos llevar esto más allá. Imaginemos que podemos grabar todas las conversaciones de audio y monitorizar los vínculos de vídeos en cada celda de una prisión con el mayor grado de visibilidad y protección posible. En un centro de datos con microsegmentación, podemos hacer lo mismo pero aquí los partners tecnológicos de NSX pueden utilizar la técnica conocida como introspección para monitorizar cada paquete y proceso en una máquina virtual.
Hablar claro de tecnología:
Vuestras opiniones sobre este tema demuestran que las empresas tienen la gran oportunidad de replantearse cómo se valoran los temas de seguridad y cómo se transmiten a la empresa, pero con lo que les cuesta a los profesionales de TI que la empresa entienda la seguridad, no es de extrañar que nadie haga caso de sus advertencias.
Para lograr este nivel de claridad al hablar de tecnología, hay que cambiar de estrategia. Es el momento de dejar de usar palabras técnicas y simplificar el lenguaje de la política de seguridad. Al implantar un sistema definido por software que permita una arquitectura de seguridad integrada y proporcione un método más sistemático y rápido para prevenir, detectar y responder a los ciberataques, se puede transformar las redes del centro de datos para que sean cristalinos para todos en la empresa y hacer así realidad un nuevo nivel de seguridad. Por eso están invirtiendo los responsables de TI más listos en la virtualización de redes.
