En un momento de extrema incertidumbre, conocer y mejorar la postura de ciberseguridad se plantea como algo imprescindible para cualquier organización. Sobre este tema hemos hablado con Antonio Ortiz, que lidera el área de ciberseguridad en HPE Pointnext, la unidad de servicios que hace realidad esa visión as a service, desde el extremo hasta la nube, que se materializa en la plataforma HPE GreenLake.

La transformación tecnológica sigue su camino…

Efectivamente. El modo en el que están evolucionando las soluciones tecnológicas en las empresas, con este movimiento hacia diferentes clouds y modelos as a service, es una prueba de que la apuesta que hicimos hace años —por un modelo híbrido— es la que mejor se adapta a las necesidades de las organizaciones.

Antonio Ortiz. Security Solutions Lead, HPE.

Pero un aspecto muy importante en este recorrido es la necesidad de ofrecer una visión holística de la seguridad. Poder brindar a los clientes soluciones con garantías equiparables, o superiores, a las que se ofrecen en una infraestructura tradicional, pero con la ventaja de que la seguridad está actualizada de forma continua.

Nuestra propuesta es ofrecer soluciones que se basan en arquitecturas de seguridad adaptadas, fundamentadas en marcos de referencia que integran todos los beneficios de los diferentes estándares de cumplimiento, como ISO 27001, CSA-CCM, NIST CSF, etc. Pero, además de contar con las mejores prácticas y estándares del mercado, los controles también deben adaptarse a las diferentes especificaciones de seguridad de las empresas, algo que ofrecemos también como servicio.

¿Qué factores están impulsando todos estos cambios?

En la actualidad existen varios drivers que están haciendo evolucionar a todas las entidades en el ámbito de la ciberseguridad. Uno de ellos está relacionado con el contexto geopolítico, que puede afectar a ciertas entidades en el ámbito de infraestructuras críticas o intereses estratégicos, sectores en los que existe un mayor riesgo de ataques tipo DDoS, ransomware o de fuga de información. Estas entidades, y sus proveedores, han tenido que revisar su estado de preparación frente a posibles incidentes y están evolucionando en esta área.

Los controles deben adaptarse a las especificaciones de seguridad de las empresas, algo que ofrecemos como servicio

La transformación del TI de las compañías hacia infraestructuras y servicios en la nube pública es otro de los elementos que hace que las compañías se planteen si los controles de seguridad que tienen en esas plataformas son o no los adecuados para su nivel de riesgo permitido. Este planteamiento les hace evolucionar para proteger su infraestructura con una visión más amplia de la que tienen actualmente.

Lo mismo ocurre con la evolución hacia plataformas de nuevas redes 5G; o el aumento de la información intercambiada entre equipos en el ámbito de las plataformas IoT, que necesitan analizar gran cantidad de datos que se transmiten entre equipos, lo que multiplica las oportunidades para que se produzca algún incidente de seguridad.

¿Qué pasos hay que dar en ese camino hacia la nube?

En el viaje de servicios hacia la nube, el primer reto importante es definir la estrategia de migración, cómo distribuir las cargas entre el proveedor o proveedores que van a contener nuestros sistemas y si será en un modelo público, privado o híbrido. Además, hay que decidir cuál sería el modelo más adecuado (IaaS, PaaS o SaaS) dependiendo de las necesidades del negocio.

Una vez definida esa estrategia, hay que concretar cómo se transforman los controles de seguridad. El paso de una arquitectura tradicional a una en nube genera varios interrogantes, puesto que parte de los controles que antes realizaba y gestionaba la empresa pasa a realizarlos y gestionarlos el proveedor elegido. Además, este cambio impacta también en el cumplimiento normativo: aunque es el proveedor de nube el que debe respetar la normativa, la empresa cliente es la responsable de que se acate.

Por lo tanto, desde el punto de vista de seguridad se tiene que hacer una evaluación de estos riesgos, determinar qué controles cumplen los proveedores y qué cambios hay que incluir para obtener una postura de seguridad según las políticas de la empresa y su necesidad de cumplimiento.

Otros retos que se pueden destacar son los relacionados con el denominado time to market, que en ocasiones excede la capacidad del equipo de TI y de ciberseguridad para gestionar de manera eficiente los controles necesarios; o la escasez de recursos formados en tecnologías para la nube, algo que afecta también al ámbito de ciberseguridad.

En este escenario, HPE propone su plataforma GreenLake para ayudar a las empresas a cumplir con sus necesidades de recursos y servicios en la nube, ofreciendo una plataforma que va del extremo hacia la nube. En esta plataforma se pueden incluir los servicios y controles de seguridad necesarios, adaptados a las necesidades de cualquier empresa y modelo de negocio.

¿Ha cambiado mucho el modelo de seguridad?

A partir de la pandemia se ha producido una aceleración en la transformación digital de muchos negocios, que ha dado lugar a que muchas compañías trasladen sus activos y aplicaciones a la nube. Se han estado adoptando nuevos métodos de conexión a las redes de las compañías, así como el movimiento de soluciones hacia plataformas en la nube, facilitando modelos como el teletrabajo.

Este cambio ha llevado a que se amplíe la superficie de ataque de los activos y aplicaciones de las compañías, un mayor riesgo que ha incentivado a las empresas a mejorar su postura de ciberseguridad. El modelo basado en proteger solo el perímetro, que ya era obsoleto antes de la pandemia, ha pasado a ser insostenible cuando el teletrabajo se ha convertido en algo necesario.

Se juega como se entrena

La creciente dependencia de la tecnología por parte de los procesos de negocio implica que cada vez sea más importante que los gestores de la tecnología estén involucrados en los planes de continuidad de negocio, de recuperación ante desastres, de cumplimiento normativo, así como en la gestión de cualquier tipo de incidente derivado de la exposición de los procesos al mundo digital.

Es crucial que las compañías revisen el estado de estos planes de continuidad de negocio y de cumplimiento normativo de su sector, así como su resiliencia frente a incidentes de ciberseguridad. Estar preparado frente a estos tipos de adversidades hace que la respuesta de la empresa sea más ágil. Además, esto es algo que se valora positivamente por parte de clientes e inversores.

Igualmente, es importante realizar pruebas realistas, tanto de los planes de continuidad de negocio como de la resiliencia, para evitar que pierdan su utilidad con el tiempo. En el mundo del fútbol se utiliza la frase “se juega como se entrena”, esto aplica también cuando se produce un evento grave: si no lo has ‘entrenado’ difícilmente lo ‘jugarás’ bien.

Es más, el puesto de trabajo híbrido, aquel en el que el empleado tiene las mismas herramientas tanto en la oficina como en remoto, está cada vez más extendido. Esta tendencia implica una inversión por parte de las empresas para adaptar sus sistemas y ofrecer ciertos servicios que antes no estaban expuestos.

Desde el punto de vista de la ciberseguridad, esto requiere aplicar ciertos controles en los procesos, personas y tecnologías, para que la operativa se produzca con el menor riesgo para las compañías y para las personas.

El nivel de seguridad trabajando en la oficina, o de forma remota, ha de ser equivalente. El nivel de protección ha de llegar al propio dato.

¿En qué se basa vuestra propuesta de valor?

Desde HPE se ofrecen una serie de servicios y soluciones para ayudar a las compañías a enfrentar todos estos retos. De hecho, a través de la plataforma edge to cloud no solo planteamos ese viaje a la nube, sino que también tenemos muy en cuenta las arquitecturas de seguridad más adecuadas para cada entorno que proponemos.

El nivel de seguridad trabajando en la oficina, o de forma remota, ha de ser equivalente

HPE emplea un marco de referencia de seguridad basado en los diferentes estándares y normativas más reconocidas actualmente, como ISO 27001, CSA, NIST, etc. Con esta base se desarrollan unas arquitecturas de referencia que permiten que las propuestas ofrezcan un nivel de seguridad alineado con los requerimientos de cada compañía.

Estas arquitecturas de seguridad se pueden personalizar para dar respuesta a todo tipo de necesidades, incluyendo ámbitos como:

  • Zero Trust (edge to cloud).
  • Data Protection / Backup & Recovery.
  • Hybrid Cloud Security.
  • Data Center & Platform Security.
  • Cloud-Native and Container Security.
  • Application Security.

Todas estas arquitecturas tienen como objetivo establecer una serie de controles que permitan obtener una postura de seguridad lo más alineada posible a las necesidades de cada empresa.

¿Qué papel juega la IA en todo este contexto?

La inteligencia artificial (IA) se emplea en muchas de las soluciones que ofrecen controles de seguridad. Debido a la gran cantidad de datos que se manejan en todos los elementos de la infraestructura, desde los dispositivos a las aplicaciones, es importante realizar ciertas tareas de manera automática. Este tipo de tecnologías se emplean en ámbitos como la detección de incidentes, la correlación de eventos, la predicción de acciones, la protección de activos o incluso los procesos de recuperación.

Hay que tener en cuenta que muchos de los ataques hacen uso de la IA, con lo que es importante que los sistemas de defensa también empleen estas tecnologías para ayudar a la identificación, detección, protección, respuesta y recuperación de incidentes. Sin apoyarse en sistemas basados en IA, y en la automatización de procesos, es imposible que los recursos dedicados a seguridad sean capaces de responder con garantías.

HPE tiene un área específica en el ámbito de IA que permite mejorar aquellos procesos en los que se manejan una gran cantidad de datos. De hecho, el área de ciberseguridad es uno de los ámbitos en los que mejor se pueden explorar estas capacidades a la hora de extraer información relevante de los datos que se recogen.

El empleado juega también un rol fundamental

Los ciberdelicuentes intentan encontrar el elemento más vulnerable de las organizaciones para hallar una puerta de entrada que les permita avanzar hacia su objetivo. Si revisamos la matriz de la organización MITRE, en la que se describen los diferentes tipos de técnicas y tácticas que los atacantes emplean para entrar en una infraestructura TI, en el inicio suele estar involucrada una acción que realiza el usuario final, que es el elemento más vulnerable en la cadena.

El ataque suele iniciarse a través de una acción que realiza el usuario final, que es el elemento más vulnerable

De hecho, los ataques más conocidos son los que llegan a través del email (phishing, ficheros adjuntos, enlaces maliciosos, etc.), navegación a ciertos sites, intercambio de ficheros, robo de credenciales, etc.

Por ese motivo, es importante que los usuarios tengan una formación en ciberseguridad acorde a su rol dentro de la organización, que les permita estar alerta frente a posibles situaciones que puedan aprovechar los ciberdelincuentes.

En HPE tenemos proporcionamos planes y servicios de formación adecuados al nivel de madurez en seguridad de las compañías, de manera que aumente la concienciación y la cultura ciber de la empresa. Esto permite que estén mejor preparadas frente a los diferentes tipos de ataques que puedan sufrir a través de los empleados.

Estos procesos de capacitación ayudan a que utilice las herramientas disponibles de forma correcta y con el menor riesgo posible. También incluye programas para mejorar los conocimientos de ciberseguridad de los integrantes del equipo TI, ya sean operadores, administradores, expertos o incluso gestores de ciberseguridad, buscando obtener una mayor resiliencia frente a eventos de este tipo.

Hablamos de seguridad, pero también de compliance

Con la adopción de modelos de nube híbrida, incluido el movimiento de aplicaciones y datos a entornos de nube pública, las organizaciones amplían su exposición a una gran cantidad de regulaciones que rigen los controles técnicos, de procesos, la protección y privacidad de datos y más. Dentro de estas regulaciones están GDPR, ISO 27001, ENS, PCI-DSS y muchos otros.

El simple hecho de entender estas regulaciones y sus efectos es ya una tarea enorme; y otra muy diferente es la posterior evaluación de los procesos y comportamientos de la organización para identificar incumplimientos.

HPE Managed IT Compliance ayuda a garantizar que la empresa respeta los requisitos de cumplimiento, seguridad y control

En este escenario, HPE Managed IT Compliance ayuda a garantizar que la empresa respeta los requisitos de cumplimiento, seguridad y control para cargas de trabajo que se ejecutan en un entorno HPE GreenLake de nube híbrida. Accediendo a través de HPE GreenLake Central, esta herramienta proporciona una visión del cumplimiento normativo y de gobierno de toda la empresa, al tiempo que alerta cuando se detectan infracciones de reglas clave en el entorno de nube híbrida del cliente.

Además de esta herramienta, empleada en entornos HPE GreenLake, el área de servicios tiene capacidad para ofrecer diversas propuestas que ayuden a las empresas a adecuarse a los diferentes normativas y estándares de seguridad más conocidos, tanto de manera puntual como a través de un servicio continuado en el tiempo.

Artículo relacionadosMás del autor