Mesa Redonda. La securización de la navegación web
- Vídeos
Los proxy en nube, también llamados Secure Web Gateway (SWG), son uno de los pilares de SASE, esta nueva arquitectura definida por Gartner hace un par de años, y se encargan de proteger a dispositivos y usuarios de las amenazas de internet.
La arquitectura SASE es la última gran tendencia de seguridad. Esta arquitectura incluye el uso de diferentes tecnologías, cada una de ellas encargada de abordar la seguridad de un factor diferente, englobando entre todas la securización de las organizaciones. Una de estas soluciones son los SWG, que se ocupan de la detección y filtrado del tráfico web. Para hablar sobre esta tecnología y qué retos y oportunidades ofrecen a las empresas hemos contado en esta Mesa Redonda IT con la participación de Ricardo Sanz, Responsable del Negocio de Ciberseguridad de Evolutio, partner de CISCO; José Luis Paramio, CISO de Userlytics Corporation; Enrique Cervantes, CISO de Fintonic; e Isaac Carreras, CISO de YouForget.me.
Implementando protección web
La llegada del teletrabajo ha supuesto también un impulso a la utilización de dispositivos personales para trabajar, el llamado Bring your own device (BYOD). Esto ha supuesto todo un reto para las empresas. Como indica José Luis Paramio, “Muchos de ellos pueden contener información relevante, crítica, así que tienen que implementarse las mismas medidas que en los dispositivos contratados por la empresa”. Los trabajadores suelen mostrar reticencias siempre a la hora de tener protecciones en todo lo relativo a web, reticencias que se multiplican a la hora de hablar de dispositivos personales. “La mayoría de las preguntas que me hacen es: ¿y si estoy en mi banca online, qué ocurre, me vas a ver las cuentas, vas a ver si hago transferencias? Nosotros, por política de empresa no tenemos filtros web”. En muchas ocasiones, los trabajadores piensan que estas protecciones sirven para controlarles. “Hay un desconocimiento que hay que negociarlo y hay que explicarlo, este es el principal escollo”.
Para Enrique Cervantes, la implementación de estas soluciones “dependerá mucho del tipo de empresa que tengas, de lo bien que tengas hecho tu inventario, de lo bien que tengas diseñada tu arquitectura de red… Eso será más o menos complejo dependiendo de cada empresa”. También habla sobre la parte psicológica de este aspecto, haciendo hincapié en “cómo tenemos que trabajar toda esa parte de concienciación y de que vean este tipo de soluciones como algo que les va a ayudar en su día a día, además de ayudarnos a nosotros en ciberseguridad”. El reto es sobre todo ese, porque “en lo tecnológico son medianamente fáciles de implementar si tienes un despliegue más o menos controlado”.
Por su parte, Isaac Carreras añade que “uno de los retos también es sacarle provecho a estas herramientas, y no solo a estas, lo extendería casi al concepto de soluciones de ciberseguridad”. En su opinión, también hay que tener muy en cuenta las capacidades técnicas. “En ocasiones es complejo sacarle productividad a la herramienta. Puede ser por la falta de cultura organizativa, porque para que haya mucho éxito creo que uno de los retos es involucrar a la organización e involucrar a todos los perfiles, para mí ese es el secreto de cualquier medida de seguridad”. De nuevo, la concienciación se convierte en algo básico a la hora de implantar estas soluciones: “para mí el reto es concienciar, pero explicar bien internamente qué es lo que vamos a obtener e involucrar a los stakeholders de la organización”.
Ricardo Sanz destaca la importancia de la concienciación de que el usuario perciba que no se trata de control, sino que es una manera de ayudarle minimizando el potencial riesgo de una organización. “Es un trabajo casi de todas las áreas, desde recursos humanos, pasando por ciberseguridad, pasando por las áreas de negocio y demás. Al final estas soluciones lo que nos ayudan es a controlar un poco el acceso a la información”. Estos controles lo que buscan es evitar que se pueda descargar algún malware en la red corporativa. “Al final, si no involucramos a toda la compañía y empujamos todos en la misma dirección, difícilmente un área de seguridad o de tecnología va a poder implantar esto, porque te vas a encontrar muchas reticencias, y la primera siempre es el usuario”.
Equilibrio entre experiencia de usuario y seguridad
En estos entornos híbridos, ¿Cómo se consigue el equilibrio entre una buena experiencia de usuario y aplicar seguridad en todas las capas? Enrique Cervantes lo tiene claro: “En mi caso, esto está siendo difícil, pero natural. Es un caso quizá un poco extraño, porque probablemente muchos responsables de seguridad que estén viendo esta mesa no lo tengan tan fácil en algunos aspectos y tan difícil en otros. Nosotros realmente no tenemos un entorno híbrido como tal, o muy poco híbrido. Prácticamente toda nuestra infraestructura está en entorno cloud y nació así la empresa. Lidiar con esa hibridación y tener que mantener controles en tu infraestructura on premise y en tu infraestructura cloud no es algo que para mí sea uno de los problemas”. Sin embargo, sí que cuenta con otros problemas diferentes al tener toda la infraestructura en cloud. “La clave es intentar ser lo menos intrusivo posible, asegurando la máxima seguridad que podamos ofrecer. En este caso, soluciones tecnológicas que están apareciendo y que se engloban dentro de este concepto SASE que es muy amplio, tipo CASB o los SWG, nos están haciendo que podamos ser poco intrusivos pero que podamos tener bastante visibilidad. Una complejidad adicional que tenemos en el mundo de fintech o de finanzas es que no solo tenemos que hacer bien las cosas, sino que tenemos que demostrar a auditores que lo estamos haciendo bien”.
Isaac Carreras piensa que lo importante es tener una estrategia. “No concibo la seguridad sin ser ordenada y sin ser adaptada a mis necesidades, porque no existe un patrón común”. Además añade que “buena experiencia de usuario es que el negocio esté contento con el equipo o el área de ciberseguridad, creo que el secreto es que la estrategia sea compartida, sea conjunta. Para mí el secreto es montar una estrategia de ciberseguridad que esté alineada con el negocio, tengo que ser un acelerador y un facilitador, porque estoy completamente convencido de que es así, tenemos que darle un poco la vuelta al viejo tópico de los de seguridad vienen siempre a reprimir o frenar o entorpecer… Eso lo tenemos que ir eliminando porque somos un acelerador y somos un generador de riqueza”. Esto va a generar una influencia positiva que ayudará a mitigar esos miedos. “Por eso insisto mucho en el concepto de la pedagogía y también de hacer autocrítica. Históricamente no hemos comunicado bien la ciberseguridad, eso influye en las áreas directivas, en los comités de dirección”.
En su caso, José Luis Paramio remarca que “No hay mucha adaptación que hacer, no hay mucha mentalidad que cambiar, empezando porque la dirección está implicada y la empresa es joven, la plantilla. Ya entienden los firewall, ya entienden el concepto de CDN, incluso el CEO de nuestra empresa, que además está implicado con la seguridad”. Para su empresa la seguridad no es que genere riqueza, “es que sin la seguridad no generamos riqueza nosotros”. Además indica que debido a la gran cantidad de clientes americanos con los que cuentan, la ciberseguridad es algo muy importante en su organización. “La mayor parte de nuestros clientes son americanos y son muy exigentes con la seguridad. En el mundo anglosajón está mucho más implantado el concepto de seguridad y de auditar la seguridad de tus proveedores. Sin asegurarles a ellos que cumplimos unos mínimos para proteger sus datos, no tendríamos contratos con ellos. Es un inconveniente porque es una exigencia que hay que cumplir, pero es una ventaja porque puedo imponer algunas cosas que de otra manera sería más difícil”.
Ricardo Sanz se muestra de acuerdo con lo que han ido exponiendo los CISOs. “Tienes que tener muy planificado cómo vas a ir introduciendo esos controles, si no impacta muchísimo sobre la experiencia del usuario”. Sobre todo cree que es importante de cara a justificar esas inversiones. “Al final se ve una inversión en algo que no fructifica para negocio o para minimizar un riesgo, que son los términos que entiende la dirección. Esa parte del plan es muy importante”. Por otra parte, subraya que la tecnología SASE permite ese acceso remoto a las aplicaciones estén donde estén, de una manera segura, y garantizando que el usuario tenga una experiencia adecuada, sea el usuario interno o externo.
Adopción de esta nueva infraestructura
A la hora de adaptar esta nueva infraestructura a su realidad empresarial, Isaac Carreras está siguiendo “una estrategia a corto y largo plazo, separando un poco los objetivos. A corto plazo estamos priorizando algunas partes del modelo SASE, que sería el ZTNA para reemplazar la VPN. Eso es una cuestión prioritaria de corto plazo”. Después, su objetivo es ir consolidando. Para él es muy complicado encontrar soluciones completas, porque todas tienen fortalezas, pero también debilidades, por lo que piensa que elegir bien no es fácil. “Aquí no hay la solución perfecta. Tenemos que adaptar las soluciones a nuestras necesidades”. ¿Cuál es el plan a largo plazo? “Intentar tener una solución única, máximo dos, que nos cubrieran todas las necesidades SASE, porque necesitamos una centralización, una integración total. Porque si no, empezamos a fallar en la monitorización, seríamos improductivos en la gestión. Ir adoptando tecnología con la visión de centralizar y de unificar”.
José Luis Paramio señala que en su caso no están adoptando SASE de una forma ortodoxa porque opina que el framework como tal no es útil para cualquier tipo de empresa. “Yo creo que para nosotros todo el framework no es útil. Yo no encuentro un proveedor que tenga todo lo que necesitamos. Puedo encontrar un proveedor que tenga casi todo lo que necesitamos o más o menos todo lo que necesitamos, uno que tenga alguna cosa pero me sobre el resto, es complicado”. Lo que sí está llevando a cabo es un conjunto de acciones a base de muchos proveedores, las cuales juntas hacen un SASE adaptado a sus necesidades.
Para finalizar, Enrique Cervantes remarca que cada realidad empresarial es diferente. “Los problemas que pueda tener yo son bastante diferentes a los que pueda tener cualquier otra empresa”. Su enfoque se basa en trabajar más en la parte de concienciación y de concepto. “Hacer entender en todos los niveles de la empresa que aquel perímetro amurallado que hacíamos con nuestros firewalls en nuestro CPD no sirve para nada nunca más y que ahora tenemos que tratar el problema de una manera realista y con una aproximación diferente, porque es un problema diferente. Analizando las diferentes herramientas técnicas de las que podemos disponer y viendo cuáles nos encajan, cuáles nos pueden ayudar y cuáles nos podrían ayudar en un futuro”.
Al registrarte en este evento online, aceptas que tus datos sean compartidos con los patrocinadores y colaboradores del mismo: Evolutio|Cisco, SonicWall, Sophos, Barracuda, Palo Alto, Forcepoint, Netskope, Zscaler, Lookout, VMware, Versa Networks