Mesa Redonda. Los retos del ZTNA

Vídeos

28 ABR 2022

Desayuno SASE ZTNA

Zero Trust Network Access es una de las piezas fundamentales de la arquitectura SASE, que se ha convertido en el estándar hacia el que prácticamente todas las compañías quieren dirigirse, dado que es el más completo para la nueva realidad que estamos viviendo tras la pandemia del coronavirus. La implementación de toda esta arquitectura requiere de unos pasos y plantea unos retos muy concretos.

La adopción de ZTNA es simplemente el primer paso que están dando las empresas a la hora de apostar por toda una arquitectura SASE. Para hablar de qué retos plantea este nuevo modelo y cómo están las empresas abordando esa implementación hemos contado en esta Mesa Redonda IT con la participación de Sergio Martínez, Director General de Iberia de SonicWall; Javier Sánchez Salas, CISO de Haya Real Estate; Toni García, CISO de LETI Pharma; Alberto Angón, CISO de Branddocs y Joan Massanet, CISO de Maximice Events Group.

ZTNA y teletrabajo

Para Javier Sánchez Salas, uno de los principales retos al hacer una red de confianza cero es establecer la granularidad de los permisos y las aplicaciones a los que hay que dar acceso a los usuarios. “Al final pasamos de las clásicas ‘todo vale y accedes a todo’ a un sistema que se basa en un microservicio y cada usuario va a acceder solo a lo que debe desde fuera de la red corporativa. Al final es extender la red corporativa a nuestros empleados en teletrabajo y establecer esa matriz de a qué debe acceder y cómo se lo damos”. Ese es el principal reto, que muchas veces en la red interna ya está controlado, pero establecer un acceso externo es el segundo paso. En cuanto a teletrabajo: “en la situación que estamos después de la pandemia, que ya hemos normalizado el teletrabajo, yo creo que no es una desventaja, sino que para mí es una ventaja, porque ya les tienes acostumbrados a este tipo de conexión”. Los microservicios en nube o las multinubes dan esta ventaja de que dé igual dónde esté el usuario. Se establece un perímetro y tanto dentro como fuera de la empresa van a tener el mismo nivel de seguridad.

“Lo que nos está costando más es la parte previa de la identidad” señala Toni García. “No tenemos bien definido esa identidad real de quién es en un contexto que ahora es multidispositivo, que a veces ya no son 100% controlados por la compañía. Antes eran bastante más fáciles, estabas dentro de ese perímetro y ya está”. Para el CISO uno de los retos más importantes es saber identificar: “ya no digo llegar a conocer realmente la identidad independientemente del dispositivo, pero asociarla bien a ese dispositivo para ese primer acceso”. El teletrabajo realmente ha ayudado a que este paso, que hubiese costado bastante más darlo en una situación normal, porque ese concepto de consumo de microservicios deslocalizados probablemente antes no se hubiese visto como una necesidad prioritaria y ahora sí. “Realmente nos ha permitido implementar una infraestructura que va a ser más resiliente a cualquier cosa que nos pase, porque ahora ya estamos preparados prácticamente para lo que sea. Ha aportado un beneficio, más que haya sido un reto o un problema”.

Como cualquier otro tipo de cambio, para Alberto Angón una de las cosas que siempre hay que analizar es el tema de la gestión del cambio. Normalmente la gente tiene un rechazo a la gestión del cambio. “Naturalmente, con el tema del trabajo remoto, sobre todo debido a la pandemia, ese rechazo que puede tener el adoptar una nueva tecnología, en este caso ya está pasado”. En su caso están tendiendo hacia una empresa 100% cloud, por lo que necesitan ir hacia una confianza cero. “Tiene que ser lo mismo trabajar desde tu casa, desde la oficina, desde una cafetería o desde un aeropuerto o un hotel, sobre todo las personas que tienen que viajar, y que esta confianza, esta seguridad de ese trabajo desde los distintos sitios, esté”. Para el portavoz hay varias empresas y varios productos que pueden cuadrar, por lo que hay que ir analizándolos, sus pros, sus contras, el precio, las licencias, qué dependencia se podría generar... “El reto es adoptarlas, sobre todo viniendo de una cultura en la que la VPN era imprescindible para el trabajo remoto. ZTNA y SASE es un salto necesario para los tiempos en los que estamos actualmente”.

Joan Massanet indica que “el reto principal es intentar convencer a todos los CEOs de todas las empresas para que implementen la tecnología necesaria”. La granularidad es muy importante, saber qué, a quién y cómo es necesario configurar el acceso. Dado que el tipo de infraestructura que está utilizando SASE tiende más a la utilización de un solo vendor para integrar todo esto, porque es la recomendación que da Gartner, al CISO le preocupa el hecho de tener un single point of failure: “si ese vendor, todo lo que es su infraestructura, falla en algún momento, tenemos un problema”. A la hora de hablar de teletrabajo, indica que “por desgracia la pandemia a acelerado el teletrabajo, por desgracia hemos tenido que vivir una situación extrema para que todo esto se haya implementado de manera no digo correcta, pero sí rápida, y que pueda permitir a la gente teletrabajar desde casa. Ha tenido que venir algo tan grave como una pandemia para que a nosotros, de cara a la implementación de nuevas tecnologías, nos haya beneficiado”.

Sergio Martínez concuerda con el resto de ponentes y señala los puntos más importantes de lo comentado hasta el momento: “la granularidad, tener un mapa de qué es lo que tienes, qué, quién, cómo… La pieza fundamental, la identidad bien definida. Es la piedra angular, si no sabes bien quién se conecta, quién es esa persona o ese usuario, ya empiezas mal”. También hace hincapié en la gestión del cambio y subraya la importancia de convencer a los CEOs. Además, comenta que “lo del single point of failure es verdad, al final ojo con ponerte en manos de un solo proveedor”.

La adopción de la arquitectura SASE

A la hora de preguntar a los CISOs cómo están abordando la adopción de SASE, Toni García subraya que “no de manera sencilla. Lo primero era ser conscientes de qué es a lo que se tiene que acceder”. Lo primero es aplicarlo en los servicios internos y después ver cómo hacerlo con los elementos fuera del control directo de la infraestructura, que no van a ser tan fáciles de poner bajo el control de ZTNA. “La primera interacción es esta, lo que tenemos controlado, y el siguiente paso va a ser intentar abordar aquello que no es 100% gestionado, que es el principal problema que tenemos”.

“Vamos despacio porque es un cambio grande y lleva asociado un gran coste, lo que estamos haciendo es dividiéndolo en fases”, señala Alberto Angón, que añade: “ahora mismo estamos en la primera fase, que vamos a ir a por una solución modelo ZTNA y más adelante abordaremos todo lo que es la arquitectura SASE como tal. Hemos acabado una especie de pruebas de distintas soluciones que hay en el mercado y ahora estamos empezando a probarlas. Estamos haciendo una prueba de concepto, para que luego a la hora de ya implementarlo y adoptarlo en la compañía, no haya ningún susto ni ningún problema”.

Por su parte, Joan Massanet comenta que “estamos migrando todo a la nube, el primer paso es hacer esta migración. Después ir por fases”. Primero iría la parte del cloud, después se iría implementando el ZTNA, más tarde ya se pasaría a SASE. “Dentro de todo esto lo que más me preocupa es que tiene que ser algo fácil, tanto para los departamentos de IT como para la gente que lo está usando. La gestión tiene que ser fácil, el uso tiene que ser fácil”.

Javier Sánchez Salas argumenta que “vamos poco a poco. La parte de ZTNA ya estamos en una solución avanzada, que como no nos convencía lo que había en el mercado la hemos creado internamente”. Esta decisión ha sido puramente presupuestaria: “al final nos ha salido mejor hacerlo con el equipo de desarrollo que tenemos”. Ahora se encuentran en una fase de desvinculación de las VPNs clásicas para entrar a través del portal de acceso a la compañía apoyándose en ZTNA. “Yo creo que la estrategia para conseguirlo es simplificárselo al usuario, que es el que va a dar más problemas. Cuanto más simple sea para el usuario, mucho más fácil para ti, menos problemas te da. Y si encima se lo disfrazas de algo que es atractivo, que le quita más pasos de autenticación y utilizamos como doble o triple factor ya cosas que tenemos de certificados internos de las máquinas y una VPN camuflada dentro de las máquinas, pues estamos avanzados”. Lo siguiente es entrar en las siguientes fases de SASE, poco a poco y en función de la evolución de la empresa.

¿Por dónde empezar con SASE? Sergio Martínez lo tiene claro: “empezar de una forma más racional es empezar por ZTNA. También es quizás la tecnología más madura en este sentido. Es la pieza más importante”. Para el portavoz, si no se asegura la identidad de los usuarios, no es posible continuar. A partir de ahí se realiza un mapeo y se establece una granularidad de los servicios, para a partir de ahí seguir construyendo.

Próximos pasos en SASE

La siguiente acción que va a tomar Alberto Angón tras la implantación de ZTNA es la de “ir preparando una documentación para luego enviar a toda la empresa y plantear una pequeña formación de cómo sería esto. Una vez que la gente ya esté acostumbrada a trabajar con ella, luego ya es bastante transparente”. A partir de ahí los próximos pasos serán empezar a meterse más en toda la arquitectura SASE, aunque es algo que costará más tiempo. “Lo que creíamos que era más rápido, más seguro y más necesario, que queríamos tenerlo ya implementado cuanto antes, era la parte de ZTNA. Más adelante ya seguiremos con toda la arquitectura SASE que ya será un poquito más complicado”.

“Lo primero es ZTNA, ese es el primer objetivo, porque es lo primordial ahora mismo. Debemos proteger el dato y la identidad”, señala Joan Massanet. A partir de ahí, su idea es seguir implementando todo el resto de componentes de la arquitectura SASE, como el SD-WAN, el firewall as a service, CASB, Secure Web Access, etc. Evidentemente es algo que llevará mucho trabajo debido a la necesidad de planificación. “Se trata de planificar y actuar”.

Para Javier Sánchez Salas, el próximo paso es empezar a incluir las aplicaciones no corporativas con las que cuentan: “sobre todo tenemos muchas soluciones en nube que no son corporativas, que son comerciales, como los CRMs externos”. Para el portavoz, ese es el gran problema de la siguiente parte de la arquitectura SASE: lo corporativo ya está controlado, ¿y lo que no? ¿Cómo se implementa SASE en las aplicaciones que no están bajo control de la empresa, que cada vez son más atractivas para el usuario de negocio y son más demandadas? “Ese es el siguiente paso, estudiar cómo implementar esta arquitectura con estas aplicaciones o cómo controlarlas”.

Toni García hace una reflexión: “sí, tienes una parte de infraestructura para la parte de ZTNA, si ya tienes algo del modelo de SD-WAN montado, fantástico, pero los siguientes pasos van a tener que esperar”. Se trata de aumentar el nivel de madurez y control sobre la realidad de la compañía. “Cuando eso lo tengamos avanzado y amortizadas ciertas infraestructuras que hemos tenido que desplegar, ya hablaremos del firewall as a service, ya hablaremos de otras de las partes que hay que hacer, que algunas seguramente las lanzarás igual o ya las estemos lanzando. La parte de CASB más o menos ya la estás utilizando, pero en esos sitios que tienes controlados, no en los que no tienes ni idea de cómo lo vas a hacer”.

Al registrarte en este evento online, aceptas que tus datos sean compartidos con los patrocinadores y colaboradores del mismo: Evolutio|Cisco, SonicWall, Sophos, Barracuda, Palo Alto, Forcepoint, Netskope, Zscaler, Lookout, VMware, Versa Networks

Mesas Redondas

“Las empresas en menor o mayor medida van a ir convergiendo a SASE” José Luis Martínez, Profesor en ESI

SASE no es un producto cerrado ni una tecnología, es más bien una especie de paradigma o de filosofía, y las empresas en menor o mayor medida van a ir convergiendo a SASE. De hecho, muchas empresas puede ser que ya lo estén haciendo sin realmente saberlo. SASE sería unificar los conceptos de networking o de red y de seguridad.

“No podemos hacer que los usuarios sean capaces de acceder de manera aleatoria a la información” Elena Cerrada, Forcepoint

Empezar ahora a trabajar todos desde casa ha descentralizado la información, ha deslocalizado a los propios usuarios, lo que ha generado cierto trabajo adicional a los responsables de seguridad.

“Hay limitadas soluciones que tengan un modelo SASE completo” Estefanía Rodríguez, Palo Alto

SASE es un marco que ofrece un enfoque cohesivo de la red y la seguridad. Lo que hace es fusionar funciones de red y de seguridad, ofrecidas desde una plataforma en nube y como servicio.

“El primer reto es saber lo que tienes” Sergio Martínez, SonicWall

Hay una explosión de la superficie de exposición y un despliegue masivo en el cloud. Eso, unido al entorno híbrido en el que nos encontramos, donde nuestro perímetro se ha diluido, hace necesario un paradigma diferente de arquitectura y ciberseguridad.

“El objetivo es acceder de una manera segura a los datos garantizando que la experiencia del usuario es la óptima” Ricardo Sanz, Evolutio

Las compañías están ya en entornos híbridos, donde tienen sus datos y sus aplicaciones tanto en la nube pública como en la nube privada.

“La seguridad tiene que acompañar al dato”, Tomás Castro, AEI de Ciberseguridad

Las empresas españolas se enfrentan al reto de la ciberseguridad de formas diferentes según su tamaño. Las más grandes tienen más sensibilización, mientras que a PYMEs, micropymes, autónomos y usuarios en general, todavía les queda un recorrido importante que hacer de cara a proteger sus activos más importantes, sus datos.

Mesa Redonda. Los retos del ZTNA

Zero Trust Network Access es una de las piezas fundamentales de la arquitectura SASE, que se ha convertido en el estándar hacia el que prácticamente todas las compañías quieren dirigirse, dado que es el más completo para la nueva realidad que estamos viviendo tras la pandemia del coronavirus. La implementación de toda esta arquitect...

Mesa Redonda. La securización de la navegación web

Los proxy en nube, también llamados Secure Web Gateway (SWG), son uno de los pilares de SASE, esta nueva arquitectura definida por Gartner hace un par de años, y se encargan de proteger a dispositivos y usuarios de las amenazas de internet.

Mesa Redonda. Firewall as a Service, uno de los pilares de SASE

Para muchos, uno de los elementos clave de cualquier arquitectura SASE es el Firewall as a Service. Esta arquitectura promulgada hace pocos años por Gartner está marcando ya no el futuro, sino el presente de muchas empresas, que la tienen como referencia a la hora de enfrentarse a este nuevo paradigma de la seguridad que ha surgido ...

Mesa Redonda. Protegiendo los datos corporativos en las aplicaciones basadas en cloud

En un entorno cada vez más distribuido, con una situación cada vez más complicada y con el auge teletrabajo, son muchos los retos a los que se tienen que enfrentar las empresas a la hora de proteger sus activos.

“Zscaler Private Access sirve como una alternativa mucho más segura a la VPN” Marcos Jimena, Zscaler

SASE es un framework de soluciones donde convergen tanto las capacidades de conectividad como la seguridad.

“Vamos a conseguir la mejor experiencia del usuario y la máxima protección con una única consola” Francisco Verdugo, VMware

En la actualidad se podría decir que todas las empresas son distribuidas, dado que ya no están todos los servicios dentro de ese centro de datos, sino que ahora se consumen aplicaciones que están en la nube, que son servicios, infraestructuras en la nube, puede haber varias sedes…

“Nosotros ofrecemos los servicios de seguridad y conectividad desde una sola plataforma” José Antonio Sánchez, Versa Networks

Cada vez hay más usuarios que se conectan desde dispositivos y localizaciones diferentes y quieren acceder a una información o a aplicaciones que se encuentran en nubes públicas, nubes privadas o la propia red corporativa.

“Llevamos dos años haciendo una apuesta fuerte por la tecnología SASE” Iván mateos, Sophos

La nueva filosofía SASE se ha convertido en guía para la mayoría de los fabricantes de ciberseguridad. Sophos lleva ya dos años haciendo una apuesta fuerte por la tecnología SASE. La compañía ya contaba con una solución firewall potente en este sentido, pero ha incorporado una nueva solución puramente alineada a esta filosofía: ZTNA

“El robo de credenciales es una de las pandemias de estos tiempos” Sergio Martínez, SonicWall

Ha habido una redefinición del perímetro. En esta transformación digital hay que tener en cuenta cosas que antes no existían con tanta intensidad, como el uso de aplicaciones en el cloud, el movimiento hacia el cloud de los data centers que antes estaban on premise, usuarios accediendo a datos corporativos desde cualquier sitio…

“La monitorización continua va a dar la información necesaria para poder reaccionar ante un posible ataque” Carlos Boto, Palo Alto Networks

La ciberseguridad consiste en responder a 6 preguntas fundamentales: quién, qué, cuándo, dónde, cómo y por qué. Responder a estas seis preguntas nos va a ir dando distintos contextos para aplicar la mejor defensa. Las cuatro primeras preguntas se refieren a cómo se gestiona el acceso de los usuarios a las aplicaciones.

“El tráfico al que nos enfrentábamos antes no es el mismo de hoy” Miguel Ángel Martos, Netskope

El mundo cambia, ya no podemos contar con que nuestros servicios van a estar securizados dentro de un entorno perfectamente definido y un perímetro muy identificado, sino que nuestros datos, nuestros usuarios y nuestras aplicaciones están en cualquier sitio. Esto es lo que viene SASE, y ahora más recientemente Security Service Edge ...

“El valor diferencial de Lookout es un motor UEBA y DLP integrado” Daniel Villaseñor, Lookout

En los últimos años se ha visto un incremento en la movilidad de los usuarios corporativos. Los dispositivos desde los que se conectan son en muchos casos no gestionados, se conectan desde redes públicas, el propio domicilio u otros centros de trabajo, lo que ha hecho que las herramientas de seguridad del perímetro de seguridad trad...

Recordar contraseña

Nuevo usuario