¿Caminando o arrastrando los talones?

Las últimas noticias sobre seguridad cloud recogen que Gartner ha lanzado una recomendación expresa a los equipos de seguridad corporativos. La consultora considera que estos deberían reducir la complejidad de sus infraestructuras de seguridad de red mediante la consolidación de proveedores de SWG, CASB, Zero Trust entre otros. 

Una indicación tan importante como la emitida por Gartner suscitará que, inevitablemente, los proveedores de seguridad alineen sus estrategias a largo plazo, pero, sobre todo, y, más inmediatamente, que empiecen a pensar en las observaciones que cada uno transmitirá a los CISOs en las próximas semanas y meses. Por supuesto, su objetivo será garantizar que su propia cartera de productos sea la que mejor se adapte a la indicación de Gartner, pero, ¿cómo interpretarán los proveedores la recomendación en sí?

La lectura más obvia es aquella que considera que, de los cinco componentes que Gartner recomienda consolidar (SWG, CASB, Zero Trust Network Access, DNS y aislamiento del navegador remoto), algunos son más importantes que otros. Algo con lo que coincido. Es más, Gartner no sugiere en ningún momento que todos ellos sean igual de trascendentales o que representen un interés estratégico. De hecho, cualquier empresa que decida cimentar su estrategia de seguridad en torno a la protección de datos y frente a amenazas debería situar SWG, CASB y ZTNA en lo más alto de su escala de prioridades, en vez de optar por la defensa por capas de red.

Voces discordantes en el mercado de la seguridad

En relación con esta afirmación, sin duda escucharemos voces discrepantes. Por un lado, la de algunos fabricantes, intentando persuadir a sus socios tecnológicos para que se sumen y se integren dentro de su propuesta tecnológica. A este respecto, la colaboración para la funcionalidad no tiene porqué ser negativa, siempre y cuando reduzca realmente la complejidad y favorezca que, potencialmente, algunos de los componentes menos estratégicos, como el aislamiento del navegador remoto, mejoren su efectividad.

Adicionalmente, oiremos también la opinión de otros proveedores, obcecados, estos, en abarcar tantos de los cinco componentes como puedan, desoyendo así la clara recomendación de Gartner de "que el personal de seguridad debe evolucionar desde la mera gestión de cajas de seguridad a la entrega de servicios de seguridad basados en políticas". En este sentido, considero que la decisión tomada por este grupo es poco responsable, ya que el salto de los dispositivos a los servicios es de fundamental importancia, debido a los nuevos requisitos que comporta la adopción de la nube, tanto gestionada como no gestionada.

Por último, el que es bajo mi entender el consejo más perjudicial para los CISOs: la implantación de un cronograma -en esencia- paralelo al calendario de desarrollo de productos de algunos proveedores. La urgencia para abordar estas recomendaciones debe estar marcada por el panorama de amenazas en constante evolución, el ritmo de cambio del comportamiento de los empleados y los recursos (tanto de personal como presupuestarios) de que dispone una organización. No hay ningún proveedor en este espacio que no tenga algo en lo que trabajar para poder cumplir plenamente con las recomendaciones de Gartner, pero los fabricantes que piden a sus clientes que esperen, siguiendo un marco de tiempo diseñado para proteger sus ingresos actuales, están compartiendo consejos peligrosos.

Al respecto de todas estas opiniones, creo que lo prudente sería que los CISOs dieran prioridad a las principales recomendaciones de Gartner ("una arquitectura que permita mover los motores de inspección a las sesiones, no desviar las sesiones hacia los motores" y la necesidad de que "el personal de seguridad avance desde la gestión de las cajas de seguridad a la entrega de servicios de seguridad basados en políticas").

Con estos principios como referencia, trataría de avanzar rápidamente hacia la consolidación -en un único proveedor- de los cinco componentes citados por Gartner, dando prioridad a aquellos que mitigan la mayor exposición al riesgo. Por supuesto, lo haría dentro de mis propios plazos, determinados por mi modelo de riesgo y los objetivos empresariales de mi propia organización.

Neil Thacker, CISO para EMEA en Netskope