Los CIOs y CISOs deben cambiar su mentalidad de seguridad centrada en la red a seguridad centrada en los datos para tener visibilidad sobre sus datos, dijo Petko Stoyanov, director de tecnología global de Forcepoint. Examina por qué esto es importante y ofrece algunos consejos de buenas prácticas para simplificar la seguridad cuando se trata de la nube.
El perímetro no está muerto, simplemente se ha movido. Se trasladó de la red donde solía estar durante décadas, al lugar donde viven sus datos hoy. Entonces, preguntemos esto: ¿está su casa en orden?
Muchas organizaciones no saben dónde están sus datos, y mucho menos cómo protegerlos. Si pueden encontrarlos, pueden controlar el acceso y asegurar los datos si alguna vez salen. A medida que el enfoque se estrecha en los datos, lo que anteriormente pensábamos como seguridad a nivel de red desaparece. La seguridad se trata todo sobre el acceso y el control. A medida que los ejecutivos de seguridad y negocios buscan un mayor control sobre sus datos en 2023 y en los años venideros, esperamos que las organizaciones continúen consolidando las capacidades de seguridad y se muevan hacia la unificación y la simplicidad, impulsadas por la evolución de las multi-nubes.
Al considerar cómo evolucionará la seguridad, primero consideremos la antigua analogía medieval del castillo y el foso, particularmente al considerar el futuro. En lugar de construir un gran castillo y foso (el perímetro de red tradicional), el perímetro de datos ahora consta de muchas casitas y jardines.
Cada uno tiene una sola puerta: la puerta de Acceso a la Red de Confianza Cero (ZTNA). Para tener visibilidad de sus datos y mantenerlos seguros, los CIOs y CISOs deben cambiar su mentalidad de seguridad centrada en la red a seguridad centrada en los datos.
Las personas no compraron seguridad como los firewalls de red porque necesitaban firewalls. Más bien, necesitaban proteger algo de valor: sus datos. Sin embargo, no se puede defender objetivos móviles, sus trabajadores remotos y datos, con productos puntuales tradicionales. El costo y los recursos necesarios son matemáticas malas. No se puede mantener un mapa del tesoro complicado de dónde se almacena todo. El número de casas potenciales y puertas abiertas a los datos será un factor importante para impulsar el movimiento hacia la consolidación.
El otro aspecto es la realidad de que a medida que aumenta la importancia de los datos, el uso de múltiples nubes aumenta exponencialmente. La transformación en la nube ya no significa poner todos tus datos en un proveedor de nube pública. Es ingenuo pensar que una nube es simplemente IaaS, como Azure o AWS. IaaS es solo un caso de uso para la nube. La nube múltiple va más allá de IaaS para abarcar SaaS, con la prevalencia de aplicaciones basadas en la nube como Workday y Slack; PaaS, o plataformas utilizadas para construir aplicaciones personalizadas; y CaaS para contenedores. Es cualquier servicio en la nube que puede proporcionar datos a nuestros empleados, contratistas y socios. Ninguna empresa es un usuario de una sola nube, todos son multi-nube y este es un futuro que debemos abrazar.
Dentro de esta definición de multi-nube, también debemos incluir las nubes privadas en las instalaciones. El secreto mejor guardado de la multi-nube es que es híbrida, y todos seguirán siendo híbridos durante años. Piense en las aplicaciones que mantiene en el centro de datos debido al cumplimiento normativo o por razones económicas.
Una gran preocupación con las nubes es la residencia y regulación de datos. Las leyes de privacidad gobiernan las ubicaciones físicas para los usuarios y el almacenamiento físico de los datos. Por ejemplo, sus datos o usuarios pueden estar en los Estados Unidos, pero su sede global está en Alemania. Las industrias reguladas como las finanzas y la salud seguirán implementando aplicaciones en las instalaciones hasta que las tecnologías emergentes como la informática confidencial se vuelvan más comunes. (La informática confidencial asegura sus datos en la nube manteniéndolos encriptados mientras se procesan).
Incluso si no están altamente regulados, algunas empresas pueden encontrar que tiene más sentido fiscal mantener la infraestructura corporativa. Pueden tener un pequeño número de aplicaciones privadas con una larga historia de datos, digamos siete o diez años. Puede ser más rentable asegurar los registros a través de un dispositivo alojado en el centro de datos en lugar de en la nube. Por lo tanto, las organizaciones de seguridad necesitan una implementación híbrida, ya que la implementación en las instalaciones es solo una extensión de lo que tienen en la nube. Los equipos buscarán formas de administrar el acceso y el control a esos dispositivos o a los datos a través de la nube. Una mayor unificación de esos controles de acceso será vital para las organizaciones durante sus viajes de transformación. La unificación de la gestión de seguridad comienza con la unificación del acceso a la identidad y tener una plataforma de análisis que centralice los registros de seguridad. Esto incluye la segmentación basada en la identidad, por identidad y rol de usuario, que proporciona la visibilidad y políticas granulares necesarias sobre el acceso del usuario a datos sensibles. Toda esta inteligencia fluye hacia la definición y gestión de un conjunto de políticas de seguridad desde una sola consola y a través de un agente de punto final.
La gestión unificada debe aplicarse a todos los datos empresariales accesados a través de cualquier sitio web, aplicación en la nube y aplicación privada (corporativa). Debe controlar cómo los empleados, contratistas y socios utilizan dispositivos gestionados y no gestionados para que nadie pueda evadir la aplicación de la seguridad, incluso si utilizan dispositivos personales (BYOD).
Avanzar hacia la simplicidad y consolidación de la seguridad será clave para convertirse en una empresa digital nativa. Cómo se utilice o se cree la información dictará un futuro para la seguridad donde menos será más. La unificación y la simplicidad son el nuevo cálculo para la seguridad. Y el camino fácil hacia la convergencia será lo que las empresas y los gobiernos soliciten a sus socios en seguridad.