Zero Trust, la ciberseguridad de la era de las empresas “data driven”
El perímetro ya no existe, se ha difuminado, tanto para usuarios, aplicaciones o infraestructuras y los CISOs y responsables de seguridad deben responder a este nuevo escenario, sin dejar de lado la productividad, agilidad, continuidad del negocio y el cumplimiento normativo.
Sin duda, 2023 ha llegado en un momento marcado por la incertidumbre económica y una difícil situación geopolítica, componentes que afectan a la innegable digitalización que viven empresas y organismos públicos. Una transformación digital en la que el trabajo en remoto, la “cloudificación” y las estrategias basada en poner el dato en el centro del negocio demandan de una nueva forma de entender la ciberseguridad.
El perímetro tradicional de la red empresarial ya no existe, se ha difuminado, tanto para usuarios, aplicaciones o infraestructuras y los CISOs y responsables de seguridad deben responder a este nuevo escenario, sin dejar de lado la productividad, agilidad, continuidad del negocio y el cumplimiento normativo.
Por ello, son muchos los que apuestan por una política de seguridad Zero Trust, en la que cada vez más la Inteligencia Artificial o el Machine Learning permiten no sólo responder a un incidente de seguridad sino lo que es más importante, prevenirlo.
Pero ¿cómo abordar esta nueva estrategia con éxito en un entorno distribuido, con los datos como el auténtico petróleo de cualquier negocio?
Para responder a esta y otras muchas cuestiones, Silicon España ha celebrado junto a Zscaler un nuevo encuentro para responsables de ciberseguridad en el que han participado Laia Cónsola, Head of Security Program Management de Fluidra; Pablo Camacho, CIO/CISO de Teleperformance; José Luis Guerra, director de TI Hospitalaria en HM Hospitales; Jesús Alonso, CISO de Campofrío; Miguel Ángel Blanco, Jefe de Área de Planificación y Sistemas Informáticos del Ministerio de Hacienda; y Enrique García García, director de Procesos y Tecnología i-DE en España en Iberdrola.
La reunión ha sido conducida por Daniel de Blas, responsable de Branded Content de NetMedia y ha contado como anfitriones con la presencia por parte de Zscaler de Alberto Maldonado, Regional Director; y Marcos Jimena, Solution Architect de la compañía. El punto de partida del debate ha sido patente desde su inicio , y es que la digitalización, más allá de sus innumerables ventajas, ha traído consigo nuevos desafíos en el ámbito de la seguridad que es necesario abordar.
Digitalizar con seguridad
“Digitalizar, por supuesto pero con cabeza y teniendo en cuenta la ciberseguridad desde el minuto cero de cualquier proyecto o nuevo desarrollo”, afirmaba en ese sentido Miguel Ángel Blanco, Jefe de Área de Planificación y Sistemas Informáticos del Ministerio de Hacienda.
Desde su posición en la Secretaría de Financiación Autonómica y Local, Miguel Ángel Blanco, explicó cómo el organismo, encargado de monitorizar la actividad económico-financiera de los entes territoriales, Comunidades Autónomas y entidades locales, gestiona un gran volumen de datos que es necesario securizar. “Solo en 2022, hemos gestionado más de 150.000 transferencias y 130 anotaciones contables que generan una información que hay que gestionar y securizar de forma correcta ya que de esa información el Estado hace las transferencias económicas a esos entes”.
Un enfoque que compartía el CIO/CISO de Teleperformance, Pablo Camacho. “Nosotros gestionamos un enorme volumen de datos y algunos tan críticos como pueden ser los sanitarios. Es verdad es que estamos en un momento en el que la digitalización y tecnologías como cloud nos permiten ser más eficientes y ágiles pero también suponen un nuevo desafío porque ya no tienes “todo” en un mismo lugar. Por eso, es esencial que la seguridad este presente desde el minuto “zero” de cualquier nuevo proyecto”.
Datos críticos como los que, a diario, son la base de HM Hospitales y que además deben estar disponibles y prácticamente en tiempo real, algo que no siempre casa con las políticas de seguridad necesarias para garantizar su privacidad.
Acceso a los datos
Así lo explicaba José Luis Guerra, director de TI Hospitalaria en HM Hospitales: “Nos enfrentamos no solo a un incesante incremento en el volumen de datos que gestionamos y generamos y a la obligatoriedad que tenemos por ejemplo de guardar algunos de ellos como podría ser la historia clínica de un paciente, que debes almacenar durante 10 años. A todo ello, hay que sumar el acceso que debes garantizar a dicha información a los profesionales sanitarios e incluso al paciente que también consulta sus datos de salud desde su casa hoy. Es necesario establecer unos férreos controles de quién accede a qué, algo que no siempre es compatible con la rapidez y disponibilidad que la digitalización demanda”.
Y es precisamente ese control de quién accede a la información y a qué información concreta uno de los mayores desafíos también para Fluidra, como explicaba Laia Cónsola, Head of Security Program Management de la compañía. “Hay que trabajar en la gestión de identidades pero teniendo en cuenta también que si un empleado cambia de posición debes cambiar los accesos que tenía antes y volver a configurar a qué puede acceder ahora”.
El caso de Fluidra, que ofrece también dispositivos inteligentes con los que, por ejemplo controlar los niveles de productos químicos presentes en una piscina, ponía sobre la mesa cómo nuevas tecnologías como IoT también están dificultando la labor de intentar securizar la información corporativa.
La convergencia IT/OT
Una reflexión en la que coincidía al cien por cien Jesús Alonso, CISO de Campofrío. Como explicó, la compañía está en plena adopción de la llamada industria 4.0 y eso implica, además de tecnologías de automatización y monitorización en tiempo real, la llamada convergencia IT/OT que permite a Campofrío interconectar máquinas de forma segura a través de la planta.
“Todo está conectado y eso implica que muchas de las soluciones de seguridad que existen están pensadas para el mundo IT pero no para el OT y, por ello, muchas veces no funcionan”, afirmó Jesús Alonso.
La necesidad de cumplir con las distintas normativas, como puede ser el Esquema Nacional de Seguridad, también fue uno de los temas analizados durante el evento. Un desafío más pero que, como coincidieron todos los participantes, en general es positivo especialmente para convencer a la dirección de la necesidad de determinadas medidas y desarrollos desde el ámbito de la ciberseguridad.
“El reto es convencer a la esfera directiva del valor que ofrecemos y muchas veces eso es más fácil si lo que estamos proponiendo es necesario para cumplir una norma”, apuntaba.
La gestión del cambio
Y, cómo no, gestionar ese cambio es imprescindible, afirmaba Enrique García García, director de Procesos y Tecnología i-DE en España en Iberdrola que, además, apuntó a la necesidad de involucrar a toda la compañía en ese cambio en materia de seguridad. “Muchas veces hacemos simulaciones de ataques para que sean conscientes, empleados y dirección de la importancia de las medidas que proponemos y realmente ayuda en su comprensión y concienciación”.
Numerosos desafíos y nuevos retos en un entorno cambiante, marcado por los datos y nuevas tecnologías como cloud o IOT que concluía Alberto Maldonado, Regional Director de Zscaler: “El mundo ha cambiado desde el punto de vista de donde están los datos, las aplicaciones y los usuarios. Ya no existe el perímetro y ya no tiene sentido hacer esa seguridad perimetral”.
Zero Trust
Por ello, la visión y propuesta de Zscaler se basa en Zscaler Zero Trust Exchange, una plataforma de protección de los ciberataques y de la pérdida de datos mediante la conexión segura de los usuarios, dispositivos y aplicaciones desde cualquier lugar.
Distribuida a través de más de 150 centros de datos en todo el mundo, Zero Trust Exchange está basada en SSE y “es la plataforma de seguridad en línea en la nube más grande del mundo”, añadía Maldonado.
Con cerca de 200.000 millones de transacciones analizadas por la plataforma al día, para el Regional Director de Zscaler las bondades de la solución son “la reducción de riesgos, la disminución de costes (utilizamos Internet como la nueva red corporativa) y una mejor experiencia de usuario, para el que Zscaler es transparente; el no tiene que hacer nada y la plataforma es la que le conecta al data center más cercano aplicando los criterios de seguridad y acceso establecidos”.
Algo que resumía Marcos Jimena, Solution Architect de Zscaler en una única frase: “Somos la empresa que securiza la transformación”.
Y añadía: “Toda la vida ha habido que elegir optimización de costes, experiencia de usuario y seguridad… Nosotros somos incapaces de separar esos tres factores; Nativamente atacamos los tres vectores y además en modelo SaaS lo que permite a las empresas y organizaciones adaptarse a los cambios y a los imprevistos, algo más necesario que nunca”.