Neil Thacker, CISO para EMEA de Netskope.
Neil Thacker, CISO para EMEA de Netskope.

Hasta hace poco, los departamentos de red y de seguridad realizaban su trabajo con eficacia, sin tener que colaborar intensamente. Así, mientras los primeros se responsabilizaban de las carreteras por las que viajan los datos de la empresa, los de seguridad gestionaban las barreras, los guardarraíles y las cabinas de peaje. Ambas, unidades operaban en un entorno de trabajo compartido, pero con áreas de actividad claras y definidas. Sin embargo, ahora, y, a consecuencia del impacto de la Transformación Digital, esto está cambiando, y la actividad paralela pero autónoma no parece que vaya a ser viable por mucho tiempo.

Y es que, aunque la transformación digital pueda tener un significado diferente para cada uno, es difícil encontrar un proyecto que no incluya la nube, y esta es precisamente la causa por la que se está produciendo una reorganización de la red/infraestructura y de la seguridad.

Con la nube, la preponderancia del rendimiento defendido por los profesionales de las redes y de la protección amparada por los de seguridad, ya no son fáciles de disgregar. Los viejos enfoques de seguridad repercuten directamente en el rendimiento y la usabilidad, y las soluciones de red demasiado permisivas no protegen adecuadamente los datos corporativos sensibles y regulados, que, además, ya no se encuentran dentro de un perímetro seguro.

Los responsables de la seguridad y de las redes lo saben y algunos perciben la necesidad de un cambio y de una colaboración más estrecha, buscando en ocasiones la convergencia de las distintas partes y de los presupuestos, y adoptando una arquitectura SASE (Secure Access Service Edge) para garantizar que el rendimiento y la protección no pierden prioridad. Pero estas transiciones no son fáciles. Los CIOs y CISOs deberían realizar una serie de cambios, siguiendo los siguientes pasos:

1) Acordar métricas conjuntas

Para evitar prioridades y optimizaciones conflictivas, los departamentos de red y de seguridad deben acordar un conjunto común de métricas para el riesgo digital, el rendimiento de la red y la experiencia del usuario. Cada acción que se lleve a cabo debe evaluarse con respecto al conjunto unificado de métricas. Estos objetivos son de propiedad conjunta; ambas áreas son igualmente responsables.  Asegurar este consenso desde el principio garantiza que no se tome ninguna decisión de compra, o se persiga una ideología arquitectónica, que pueda tener un impacto negativo en otro KPI.  Estas métricas permiten a estos departamentos llevar a cabo proyectos de compra con múltiples objetivos, dejando que cualquier posible disputa interna sea resuelta por los proveedores que presentan su solución tecnológica.

2) Garantizar la plena visibilidad del rendimiento

De alguna manera, las numerosas ventajas de la nube han sido suficientes para persuadir a las organizaciones de que la visibilidad sobre lo que se utiliza -por quién, cuándo y de qué manera- no es esencial. Los profesionales de la seguridad que se encuentran inquietos por este estado de cosas han tenido que morderse la lengua mientras se priorizaba el rendimiento, el coste y la ventaja de uso sobre la gestión de riesgos. Sin embargo, la falta de visibilidad ya no es algo que las empresas deban aceptar como un efecto secundario inevitable de la nube. 

Al rescate del profesional de la seguridad cegado acude SASE, asegurando los datos dondequiera que residan o viajen (dentro o fuera de la infraestructura corporativa). Las unidades de red y de seguridad deberían utilizar la mayor telemetría proporcionada por una plataforma SASE madura para crear todo un nuevo y detallado conjunto de conocimientos. Estas revelan la realidad de la actividad y los procesos empresariales, y proporcionan el potencial para identificar oportunidades de mejora de los servicios y las políticas. Esta visibilidad permite un aprendizaje constante sobre la forma en que opera el negocio, y la comprensión de las acciones, comportamientos y procesos de los usuarios finales, por lo que ayudará a gestionar el riesgo digital, así como a identificar mejoras en el rendimiento.

3) Adoptar un enfoque unificado de las amenazas emergentes

Los departamentos de red y seguridad deben tratar de utilizar la mayor visibilidad que ofrece SASE, junto con las métricas unificadas, para identificar los riesgos emergentes y desarrollar estrategias para gestionarlos dentro del ámbito de riesgo. Esto permite el desarrollo de hojas de ruta de negocio, red y seguridad que se adelantan a las amenazas. Al igual que las métricas compartidas evitan que los profesionales de la seguridad diseñen arquitecturas que establezcan penalizaciones de rendimiento inaceptables, los profesionales de la red pueden hacer uso de la inteligencia de amenazas para diseñar una infraestructura de acceso más sólida y relevante. Una arquitectura SASE hace que sea esencial una estrategia de red/seguridad compartida y el reconocimiento de esto, con la colaboración al más alto nivel desde el principio, hará que el proceso sea más fluido.

Los diseñadores de UX hablan de "caminos del deseo", un recorrido más corto o de más fácil acceso entre un origen y un destino determinados.  Sin embargo, a lo largo de la última década, el shadow IT se ha ido introduciendo en la organización, y los responsables de seguridad y de redes tienen que replantearse su infraestructura como resultado de estas vías de deseo.

Los trabajadores están adoptando el enfoque de trabajo desde cualquier lugar, utilizando los dispositivos que ellos eligen y accediendo a las aplicaciones que ellos determinan que mejor favorecen la productividad. Si no identificamos y respondemos a las vías de deseo en uso, no apoyamos a la empresa. Pero si las rutas de deseo que permitimos no protegen los datos corporativos, podemos ser igualmente negligentes. Por lo tanto, los profesionales de las redes y la seguridad deben colaborar para construir una infraestructura que proteja y comparta los datos esenciales necesarios. Sin objetivos y métricas paralelas, el éxito de un equipo humano es la batalla de mañana para el otro.