Volver al blog

Síguenos y suscríbete

Motores del cambio a escala: retos de los CISO para 2021

Kevin Rollinson

Product Marketing Manager, Fastly

Zane Lackey

Global Head of Security Product Strategy

Mientras países de todo mundo se estaban enfrentando en 2020 a los problemas sanitarios globales, las empresas —incluida la nuestra— respondieron a esta emergencia con planes específicos de teletrabajo para velar por la seguridad y la productividad de los empleados. Este cambio radical supuso una presión añadida para los CIO, CTO y CISO a la hora de asegurarse de que los empleados pudieran acceder al conjunto completo de servicios y aplicaciones necesario para poder realizar su trabajo de manera segura, desde dondequiera que trabajasen.

Ya en 2021, las empresas necesitan garantizar que estos cambios improvisados en la infraestructura y los procesos sean seguros y resilientes, al tiempo que deben seguir adelante con otras iniciativas de transformación. 

Para conocer la opinión de líderes del sector sobre los problemas de seguridad en los que se tendrán que centrar los CISO, CIO y CTO este año, hablé con nuestro experto en la materia, Zane Lackey, sobre cómo las empresas continuarán replanteando el flujo de trabajo y reorganizando la infraestructura en 2021. 

«Debido a la pandemia, las organizaciones cambiaron de manera inesperada sus prioridades, y eso puso de manifiesto que había partes de sus procesos que tenían que ganar en envergadura», afirma, a lo que añade: «Pisaron a fondo el acelerador de la transformación digital, y proyectos que estaban planificados para cinco años se comprimieron a ocho meses».

Como antiguo CISO de Etsy y luego de Signal Sciences, Zane sabe lo que es tener que adaptarse a cambios tecnológicos y empresariales acelerados. En este sentido, señala que a menudo las empresas tienen que ponerse al día con respecto a su infraestructura. 

«En ocasiones, libramos auténticas batallas para conseguir implementar y poner en marcha algo, y al poco es necesario retroceder y comprobar qué parte del proceso había pasado completamente inadvertido».

A continuación, puedes leer toda la conversación. 

P: ¿Cómo está afectando la adopción del teletrabajo a las aplicaciones y las API?

Zane: Se presta mucha más atención a la transformación digital y a las arquitecturas de confianza cero, y especialmente a la necesidad de una supervisión continua de las aplicaciones y las API. Si solías proteger las aplicaciones internas con dispositivos físicos y, de repente, has tenido que pasar tus aplicaciones a la nube para dar cabida a trabajadores remotos, necesitas buscar un nuevo enfoque para proteger esas aplicaciones.

Mientras te afanas en ofrecer en línea todas estas tecnologías y trasladar tu empresa a la nube, casi seguro que tus equipos de desarrollo estarán aportando nuevas tecnologías para su uso. Así pues, disponer de tecnologías defensivas que funcionen con cualquiera de estas arquitecturas es esencial. Es posible que hayas pasado de una gran aplicación monolítica de Java en un centro de datos —o que aún la tengas— y que dispongas también de otras tantas nuevas ejecutándose en la nube, en contenedores y en entornos sin servidores. Necesitas una tecnología que pueda proteger todo ello de manera uniforme.

El desafío, claramente, es la ampliación, tanto en términos de procesos empresariales como de tecnología. Esto es algo que me ha consumido varias veces a lo largo de mi carrera. Tienes algo que funciona a la perfección —ya sea una determinada norma de detección o una herramienta de software— y tienes pensado sustituirlo en unos años, pero no quieres abordar ese proyecto en ese momento. De repente, se produce un desbordamiento de escala que la herramienta no es capaz de gestionar y cae como un castillo de naipes. Ahora, un proyecto que estaba en el n.º 7 de tu lista pasa a ser la máxima prioridad.

La migración a los servicios digitales y remotos que ha impulsado la covid-19 ha puesto encima de la mesa muchas situaciones como esta. De repente, muchos clientes han tenido que dejar atrás sistemas antiguos porque no eran escalables, y necesitaban algo nuevo que se pudiese ampliar para asimilar un volumen de tráfico que se multiplicó por 10 o 100 de la noche a la mañana. 

P: Cuando las empresas escalan la infraestructura, ¿con qué retos se encuentran?

Zane: Esta cuestión plantea dos dimensiones. Existe una ampliación en términos de volumen. Si tienes un sitio web de noticias, donde todo el mundo está poniéndose al día de la actualidad continuamente, los volúmenes de tráfico se multiplican por 100. Por otro lado, hay una ampliación horizontal, que sería el número de plataformas tecnológicas. Si eres el CISO, tienes que abordar cambios en el tráfico debido a la covid-19 y al teletrabajo. Esto significa pasar de tecnologías creadas únicamente para un solo nivel de tráfico a tecnologías que no se desplomen cuando haya picos enormes. 

Cada empresa aborda este reto de la ampliación y de elegir entre procesos internos o externos de manera distinta. Algunas no sabían cómo hacer nada en remoto. Otras puede que hayan tardado 24 meses en realizar una transformación y por eso fueron capaces de adelantar sus proyectos de digitalización rápidamente.

Los cambios de visibilidad también suponen un desafío para las empresas a medida que avanzan. La visibilidad es especialmente importante ahora, ya que nadie está trabajando en el mismo sitio. Se solía tener una visibilidad orquestada de manera natural por el simple hecho de estar en la oficina. Ahora, estamos todos sentados en nuestros espacios propios e independientes, y no nos llegan noticias de otros departamentos por casualidad. Ya no están esas charlas junto a la máquina del café que, a menudo, nos dan a conocer la existencia de proyectos nuevos. Desde el punto de vista de la seguridad, las empresas necesitan dejar atrás tecnologías antiguas con una visibilidad reducida o que están limitadas a equipos de seguridad. Ahora requieren software de seguridad que les proporcione visibilidad de toda la organización, y que permita a los desarrolladores y los equipos de seguridad y TI trabajar de forma conjunta y ver qué ocurre juntos.

P: ¿Cómo están afectando estos cambios al modo en que tratamos las API y el desarrollo de aplicaciones?

Zane: Las API han cobrado mucho más protagonismo. De repente, se han vuelto indispensables un montón de aplicaciones móviles que dependen de las API. Por ejemplo, pensemos en una tienda con servicio de recogida y entrega. Las API son necesarias para un sinfín de elementos: hay API para pedidos por móvil, para consultar los inventarios a distancia, para realizar el seguimiento del estado del pedido desde el almacén o la tienda hasta su recogida… y tienes que ser capaz de obtener datos fiables 50 veces al día, ya que las existencias se van agotando a la velocidad del rayo. Aquí es donde las API son ahora esenciales.

El problema con las API es que, a menudo, tanto los equipos de productos como los de seguridad se acordaban de ellas demasiado tarde, por lo que apenas se podían someter a pruebas. Las empresas necesitan reajustar su estrategia para acomodarla a la mayor importancia que tienen ahora las API. Hoy en día, es un aspecto vital en la estrategia de seguridad.

Q. ¿Cómo están afectando estos cambios a la relación entre las organizaciones de ingeniería y las de seguridad?

Zane:
La verdad es que esta relación, a menudo en grandes empresas, conllevaba dificultades y luchas de poder. El equipo de seguridad intentaba conseguir el apoyo de los equipos de aplicaciones porque, muchas veces, cuando introducían nuevas tecnologías de seguridad, las herramientas estropeaban las aplicaciones o las API que los equipos de desarrollo habían estado construyendo. Y, ahora, los desarrolladores de aplicaciones ni siquiera ven ya al equipo de seguridad en la oficina. A menos que se trate de un sector muy regulado en el que no se puede ignorar la seguridad por motivos legales, la realidad es que nunca ha sido tan fácil ignorar la seguridad, sobre todo si no está aportando valor. Una cosa es decir «no» cuando todo el mundo está en la oficina, y otra muy distinta es intentar decir «no» a un equipo remoto que trabaja en un proyecto.

La conclusión clave es que no se puede imponer la seguridad así como así. Tiene que aportar valor. Tiene que proporcionar tecnologías compatibles con las arquitecturas modernas de desarrollo y aplicaciones. Tiene que ofrecer visibilidad. Si eres CISO, tienes que asegurarte de que estás modernizando las plataformas de seguridad, o implementando herramientas que combinen con DevOps y el resto del negocio. Es una oportunidad de mejora.