Modelos de seguridad para teletrabajadores
Cómo hacer posible el teletrabajo
A principios de la primavera de 2020, cuando el mundo entero empezó a teletrabajar, se pusieron a prueba los modelos de seguridad de muchas organizaciones.
No es que el trabajo remoto fuera algo nuevo, pero nunca antes había sido necesario recurrir a él a la escala y con la urgencia de aquel momento. Aunque en muchas organizaciones ya había empleados que teletrabajaban, muy pocas estaban preparadas para que lo hiciera toda la plantilla. La gran cuestión que tuvieron que plantearse todas las organizaciones fue la de cómo mantener su actividad.
n algunos casos, bastó con utilizar una red privada virtual (VPN, por sus siglas en inglés) que proporcionara acceso remoto a los empleados. Algunas organizaciones, las más afortunadas, compraron más licencias, pero muchas de ellas no pudieron hacerlo, ya que su infraestructura informática no tenía capacidad para asumir semejante carga de trabajo. Para la mayoría, era demasiado tarde para acometer grandes cambios, así que tuvieron que capear el temporal como buenamente pudieron, trabajar con las limitaciones que les imponían sus recursos y, en cuanto les fue posible, renovar su infraestructura tecnológica. Aunque la escalabilidad es uno de los retos más importantes que plantea la tecnología VPN, su principal problema es este otro: muchas de las aplicaciones que utilizan las organizaciones hoy en día residen en la nube pública o son aplicaciones de software como servicio (SaaS, por sus siglas en inglés). A raíz, tal vez, de estos inconvenientes, últimamente son cada vez más las organizaciones que empiezan a considerar distintas maneras de proteger la conectividad fuera del perímetro de su red y la nube.
El modelo de seguridad de ayer no vale para mañana
Antes, la conectividad remota era fija y finita. Las organizaciones solo tenían que permitir a equis cantidad de empleados (cantidad limitada por el número de licencias que tenían) conectarse a los dispositivos de VPN. Aunque esas conexiones remotas también eran fijas, las aplicaciones se establecían según su ubicación
A día de hoy, además de que todo se mueve demasiado rápido como para tener recursos fijos en un sitio, el futuro es de todo menos predecible y la única certeza que tenemos es que la flexibilidad será la protagonista de los espacios de trabajo (ya sean oficinas, nuestras casas o cualquier otro lugar).
Las aplicaciones tampoco son estáticas. Atrás quedan los días en que la mayoría de las aplicaciones de una empresa residían entre las cuatro paredes de su centro de datos físico. Ahora, por el contrario, las aplicaciones y los datos residen en todas partes: en entornos locales, en la nube y en el perímetro. En consecuencia, ya no existe un perímetro empresarial único.
Protección de un perímetro ubicuo
Si la empresa utiliza 25 aplicaciones SaaS distintas, todos esos islotes de datos tienen que estar protegidos. Hay que garantizar la seguridad de todas y cada una de las aplicaciones y fuentes de datos. La empresa debe tener visibilidad de cómo acceden los usuarios a los recursos, ya trabajen desde la oficina o desde casa.
Para mí, el modelo de trabajo híbrido desde cualquier lugar que hemos adoptado tiene dos implicaciones clave: por un lado, la necesidad de proteger el acceso de los usuarios y, por el otro, de proporcionarles las herramientas que les hacen falta para conectarse a dichos recursos. La conectividad remota tiene que ser igual de segura que si los usuarios trabajaran desde la oficina, ya que necesitan consumir los mismos recursos con el mismo nivel de protección.
En las instalaciones de la empresa, suele haber varias soluciones de seguridad para proteger a los usuarios. En parte, ese es el motivo por el cual la tecnología VPN por sí sola se queda corta para el trabajo remoto. Lo que necesitan las empresas es contar con cierto grado de inspección y con una seguridad lo suficientemente rigurosa como para minimizar el riesgo al que se enfrentan las organizaciones todos los días.
Adiós a la informática en la sombra
A decir verdad, todos esos controles que el departamento informático de la empresa aplicó a los usuarios tampoco funcionaban siempre. Por ejemplo, uno de los retos que suelen derivarse de los recursos informáticos que se protegen de manera centralizada es el problema de la informática en la sombra, pues los usuarios se buscan la vida para conseguir lo que necesitan sin el visto bueno del departamento de TI.
¿Y qué mejor ocasión para intentar salir de las sombras que ahora que nos estamos replanteando el modelo de seguridad? Ha llegado el momento de trabajar de cerca con nuestros usuarios para saber qué aplicaciones utilizan y quieren utilizar (aquellas que contribuyan a su productividad) apoyándonos en los propios usuarios, hablando con ellos y pidiéndoles su opinión. ¿Por qué? Porque a veces no obtenemos todas las respuestas hasta que preguntamos.
La gente recurre a la informática en la sombra con la esperanza de mejorar su productividad. Adoptar un modelo de seguridad que ayude a los usuarios a trabajar como a ellos les gusta, con las aplicaciones que necesitan, les permitirá hacer mejor su trabajo.
Sobrevivir. Crecer. Optimizar.
En un primer momento, la adopción del teletrabajo fue una mera cuestión de supervivencia para garantizar que las organizaciones pudieran seguir funcionando durante la pandemia. Más adelante, se puso todo el empeño en sacar lo mejor de la situación para crecer. Ahora, toca optimizar y definir el modelo de seguridad del futuro para que se adecue a la realidad del teletrabajo.
Proporcionar un modelo de seguridad que proteja el trabajo híbrido requiere agilidad y escalabilidad. Ya han quedado atrás los días en que la seguridad y el trabajo remoto se basaban en dispositivos físicos y licencias fijas que limitaban la capacidad de las organizaciones de ofrecer un espacio de trabajo híbrido con garantías.
Lo que se necesita es un modelo en la nube que funcione de manera ininterrumpida y que esté disponible tanto en entornos locales como en el perímetro. Además, este modelo debería ser capaz de adaptar sus recursos a las necesidades de cada momento.
Una propuesta interesante para el trabajo híbrido es la tecnología de servidor perimetral de acceso seguro (SASE, por sus siglas en inglés), pues ofrece distintas posibilidades basadas en software. Esta tecnología, combinada con el modelo Zero Trust (confianza cero), ayuda a proteger un perímetro ubicuo y los distintos conjuntos de aplicaciones y datos a los que los usuarios acceden cada día.
No sabemos lo que nos depara el futuro, pero sí podemos tener la certeza de que vamos a necesitar ser hábiles y ágiles. La seguridad tiene que ser flexible y elástica para cubrir las necesidades de los usuarios, estén donde estén y al margen de cómo accedan a las aplicaciones.