La seguridad en el 'endpoint', en el punto de mira de la empresas
La adopción generalizada del teletrabajo raíz de la COVID-19 ha convertido la red en el centro de la actividad de cualquier empresa. A través de ella, cientos de empleados desde su hogares acceden a aplicaciones o datos críticos e intercambian información. El dato abandona el perímetro empresarial y viaja por una red que no contempla las medidas de seguridad y control que la corporativa. Esto significa más riesgos y, por tanto, nuevos desafíos desde el punto de vista de la seguridad empresarial.
Con este punto de partida ha arrancado la mesa redonda organizada por ComputerWorld en colaboración con Infoblox bajo el título: “Edge Computing, la seguridad cuando internet es la red corporativa” y en la que se ha dado buena cuenta de que si bien el punto de partida de las organizaciones frente a esta nueva forma de trabajo era dispar, hoy se encuentran con una problemática parecida: cómo securizar el endpoint.
Alejandro las Heras Vázquez, CIO, CTO Y CSIO de Grupo Eulen, considera que “no se puede poner el mismo control en la oficina que en la casa de usuario, por eso propone aplicar el concepto ‘zero trust’ a la red y centrar la seguridad en la identidad del usuario”. En este punto coinciden la mayoría de los asistentes. Es ilustrativo que organizaciones tanto del sector privado como público como el Ministerio de Sanidad, presente en el evento a través de Elías Sandoval, jefe de servicio de Comunicaciones, opten por “la autenticación de doble factor para verificar que el usuario es quien debe ser. En la Administración, el teletrabajo ha sido una novedad que nos ha exigido poner los medios más seguros”, explica. En otras empresas, esta realidad se vuelve más compleja con la entrada en juego del “Internet de la Cosas y el acceso a terceros”, como apunta Edgard Ansola, DPD y director del Área Funcional Ciberseguridad y Riesgos TIC de Asepeyo.
Sin embargo, las empresas más avanzadas en el trabajo en remoto recalcan que no sólo es cuestión de tecnología también hace falta una concienciación por parte del usuario final. Como expone Raúl Ruiz, responsable de Operaciones IT de Pelayo Seguros, “por muchas piezas que pongamos el usuario sigue siendo el eslabón más débil de la cadena, lo que exige mucha labor de concienciación”.
En esta idea incide Enrique Salgado, global IT manager de Maxy Mobility Spain, y apunta que “al final, estamos ante un problema más procedimental que de tecnología”. Y conseguir salvar este ‘gap’ exige, en palabras de Ramón Ortiz, CISO de Mediaset, “que el usuario reciba mensajes claros de la organización”. “Si el usuario final no entiende el porqué de esas herramientas, por qué no debe compartir contraseñas… las herramientas y controles que tengamos no sirven para nada”, añade Luis Ballesteros, CISO de Wizink. Paradójicamente José Ricardo López, CSO de Sociedad de Gestión de Activos (SAREB), revindica que “es necesaria la tecnología para esa labor de concienciación”.
La seguridad, un área en auge
A pesar de que el ataque WannaCry marcó un punto de inflexión elevando el protagonismo de los responsables de seguridad dentro de las empresas, hoy todavía esta área sigue ‘a remolque’ de otros departamentos, generalmente del de TI. Esto supone que, en muchas ocasiones, la seguridad quede en un segundo plano frente a objetivos como el rendimiento. No obstante, la importancia creciente de la seguridad en el día a día de las empresas y la transversalidad de la misma en cualquier función ‘exige’ que “la seguridad tenga una entidad y voz propia”, como apunta Francisco Javier Santos, director corporativo de Seguridad Global de Santalucía. José Caneleda, director de Arquitectura de Soluciones de Infoblox para el Sur de Europa, sostiene que “muchas empresas ya están dando este paso porque hay impactos de seguridad que afectan 100% en el negocio y que no dependen de IT”.
