CISO habla sobre cómo equilibrar la seguridad y la comodidad del usuario en entornos de trabajo híbridos

En una entrevista de Help Net Security, Sean Cordero, CISO de Zscaler, habla sobre la seguridad del trabajo híbrido y los nuevos desafíos que presenta para los equipos de ciberseguridad. Analiza cómo el trabajo híbrido ha dejado al descubierto las brechas en los modelos de seguridad tradicionales y ofrece consejos sobre cómo equilibrar la seguridad con la experiencia del usuario.

Cordero también cubre la implementación de principios de confianza cero y estrategias para fomentar una cultura de seguridad primero en entornos híbridos.

¿Cómo ha transformado el auge del trabajo híbrido el panorama de amenazas para los CISO y los equipos de seguridad?

El trabajo híbrido ha contribuido a reconfigurar el panorama de amenazas, pero no lo ha logrado por sí solo. Los actores de amenazas siempre han desarrollado sus capacidades, pero su intención ha sido básicamente la misma.

El trabajo híbrido ha transformado la comprensión que algunos CISO y equipos de seguridad tienen de sus propias capacidades para detectar y defenderse. El trabajo híbrido y remoto ha puesto de relieve la incompetencia o falta de eficacia de los controles en los que confían, independientemente de dónde trabaje una persona cuando trabaja de forma remota o cuando está conectada directamente a una red corporativa.

La exposición que suele asociarse al trabajo remoto e híbrido existe desde hace décadas. Hoy se habla de ella como si fuera algo único y totalmente aplicable a nuestro nuevo modelo operativo. Pero la exposición ya existía a principios y mediados de la década de 2000, cuando el coste de replicar los controles técnicos era prohibitivo desde el punto de vista operativo y de los costos. Desde entonces, las nuevas tecnologías de seguridad en la nube proporcionan controles uniformes y, por lo general, superiores a los que se pueden encontrar en una LAN o WAN tradicional.

La verdad es que incluso cuando los empleados están en la oficina, conectados a una LAN o WAN administrada a través de una VPN, los controles técnicos utilizados para abordar estos riesgos pueden ser ineficaces. La inspección SSL/TLS, el acceso basado en aplicaciones, el malware en línea y la protección contra la pérdida de datos, etc., pueden no estar en juego hoy en día. La mejor pregunta que las empresas pueden querer hacerse es ¿en qué medida el trabajo híbrido ha ampliado la superficie de ataque?

¿Existen compensaciones específicas entre seguridad y conveniencia del usuario que las organizaciones deberían afrontar?

Siempre ha existido una relación inversa entre una gran experiencia de usuario y una gran seguridad. Lo ideal es que las organizaciones logren el equilibrio adecuado teniendo en cuenta el entorno en el que operan y sus objetivos de riesgo. Considero que la comodidad del usuario es una percepción subjetiva que se crea cuando una persona trabaja para completar una tarea o cumplir un rol específico para respaldar los objetivos de la organización. Si sus flujos de trabajo se alinean con los requisitos regulatorios o contractuales de una manera que también maximiza la usabilidad de las herramientas que se les proporcionan, se puede decir que la experiencia del usuario se ha navegado de manera óptima.

Algunas preguntas útiles que puedes hacer:

¿Cuáles son los controles fundamentales que necesito tener establecidos para cumplir con mis obligaciones con mis clientes y socios comerciales?
¿Cuáles son los controles regulatorios o específicos de la industria que deben abordarse?
¿Cómo estoy cumpliendo estos controles administrativamente y reflejándolos en mi tecnología?
Para los controles que tengo hoy en día, ¿son efectivos?
¿Cómo puedo tapar los huecos?

Lo que he descubierto es que cuando la conveniencia y la seguridad están desequilibradas, el acto de reequilibrio rara vez consiste en hacer más de lo mismo. Es un cambio de paradigma en la prestación de servicios y seguridad que se adapta a los usuarios en el lugar en el que se encuentran y en la forma en que trabajan en apoyo de los objetivos de la organización.

Muchos expertos abogan por el principio de confianza cero para proteger los entornos de trabajo híbridos. ¿Cuáles son los pasos clave que deben seguir las organizaciones para implementarlo de manera eficaz?

La confianza cero puede parecer abrumadora, y lo será para una organización que no tenga claro el riesgo específico y los resultados comerciales que busca lograr con ella. Sin esta claridad de los resultados previstos, es fácil extenderse demasiado y perder de vista el panorama general al comenzar el proceso. A continuación, se indican cuatro pasos para asegurarse de que un CISO no caiga en esa trampa:

1. Seleccione el riesgo y los resultados comerciales que cree que proporcionará la adopción de confianza cero.

2. Definir un área inicial de enfoque para la adopción de los principios. Por ejemplo, acceso seguro a la Internet pública (web, SaaS, etc.); acceso seguro a aplicaciones privadas (acceso basado en aplicaciones de confianza cero); y acceso seguro a/desde sistemas backend, por ejemplo mediante segmentación y control de acceso para terceros.

3. Comprender la eficacia de los controles existentes y su adecuación a los principios de confianza cero. ¿El conjunto de controles técnicos existentes funciona actualmente y está alineado con los resultados de riesgo definidos?

4. A medida que se evalúan las capacidades, asegúrese de que los controles técnicos identificados tengan una funcionalidad incorporada para facilitar la transición de un modelo a otro. Por ejemplo, utilice el aprendizaje automático o la inteligencia artificial para que la toma de decisiones basada en riesgos sea más rápida y precisa.

¿Qué tecnologías o prácticas pueden ayudar a las organizaciones a gestionar y proteger datos confidenciales en un entorno híbrido?

Las prácticas y tecnologías que considero fundamentales para una protección exitosa en un entorno híbrido incluyen uniformidad de control, calidad de la telemetría y cobertura completa para fuentes comunes de pérdida de datos. Combine la información obtenida de los datos y un conjunto coherente de información sobre riesgos para tomar decisiones más informadas sobre la flota administrada de dispositivos.

Muchas organizaciones se ven obligadas a utilizar tecnologías que tienen pocas o ninguna posibilidad de conectarse con otras soluciones. Además, tienen capacidades limitadas en todo su conjunto de productos. Esto puede generar datos o información incompleta para brindar garantías sobre la eficacia de los controles.

Los canales más riesgosos para la pérdida de datos deben cubrirse de manera uniforme. Por ejemplo, garantizar que los controles aplicados a través de CASB en línea , CASB OOB y DLP de punto final reflejen los controles previstos. Si bien en teoría esto parece simple, es una cuestión compleja cuando se utilizan múltiples controles dispares que pueden o no interoperar entre sí.

¿Qué estrategias ha visto que han tenido éxito en el cultivo de una cultura que priorice la seguridad en lugares de trabajo híbridos?

En primer lugar, es necesario que la comunicación sea de fácil comprensión y con una frecuencia elevada, lo que puede adoptar la forma de formación para la sensibilización, actividades de divulgación periódicas y especializadas y educación pertinente para cada función.

En segundo lugar, se trata de la creación de líderes y la facilidad de participación. ¿Su programa y su equipo ofrecen un método accesible para buscar orientación y una forma de que el usuario final interactúe con los expertos en seguridad? Estos pueden ser canales de chat internos y foros internos donde se puedan brindar aclaraciones y orientación.

Por último, hay que tener en cuenta que la falta de uniformidad en los controles complica en exceso la experiencia del usuario. Cuando los controles de seguridad aplicados a sus dispositivos o a los recursos con los que interactúan son inconsistentes o cambian constantemente, las reacciones suelen ser negativas y van en contra del programa de seguridad. Hoy en día, no hay motivos para que los controles de seguridad de un usuario o de un dispositivo sean diferentes en función del lugar desde el que trabaja. La experiencia del usuario debería adaptarse a esto.

Fuente y redacción: helpnetsecurity.com

¿Cómo ha transformado el auge del trabajo híbrido el panorama de amenazas para los CISO y los equipos de seguridad?

¿Existen compensaciones específicas entre seguridad y conveniencia del usuario que las organizaciones deberían afrontar?

Muchos expertos abogan por el principio de confianza cero para proteger los entornos de trabajo híbridos. ¿Cuáles son los pasos clave que deben seguir las organizaciones para implementarlo de manera eficaz?

¿Qué tecnologías o prácticas pueden ayudar a las organizaciones a gestionar y proteger datos confidenciales en un entorno híbrido?

¿Qué estrategias ha visto que han tenido éxito en el cultivo de una cultura que priorice la seguridad en lugares de trabajo híbridos?

Ciberseguridad: un componente central de la transformación digital

La falla crítica de RCE en la APT de Linux permite a los atacantes remotos hackear sistemas

Las distribuciones GNU/Linux más seguras de 2018