“El puesto de trabajo va a ser híbrido y la seguridad debe actuar tanto a nivel ‘ciber’ como físico”

Su experiencia profesional, de más de 25 años en el sector, le ha permitido conocer de primera mano este mercado desde diferentes perspectivas: la del partner, del mayorista, del operador o del fabricante. Inició la actividad de Aruba en España hace ya trece años, desarrollando el negocio de redes prácticamente desde cero, y desde hace algo más de dos años ha asumido la responsabilidad del sur de Europa.

¿Qué ha supuesto la explosión del teletrabajo en los relativo a la seguridad?

Nos ha pillado a todos por sorpresa. Seguramente, las grandes compañías estaban mejor preparadas, porque ya tenían cierta experiencia y contaban con las herramientas necesarias para el trabajo remoto, que se usaban de forma puntual por parte de comerciales, personal de TI o incluso de directivos. Pero estas soluciones no habían sido diseñadas para una situación como la que hemos atravesado, que cambia mucho todo lo referido a la seguridad.

Incluso estas grandes empresas han tenido problemas, porque han pasado de tener 20 o 30 trabajadores en remoto a 3000 o 4000. Los servidores, los terminadores de túneles o los firewalls que daban servicio se han caído en casi todas las grandes compañías y en todos los sectores, desde la banca hasta la construcción o el retail, pasando por los grandes proveedores cloud, que han tenido que incrementar la capacidad de su datacenter para poder soportar el acceso a las aplicaciones SaaS, de videoconferencia, etcétera. Al final, estos problemas se han solucionado y las empresas han podido seguir trabajando, pero ha sido una experiencia de la que todos hemos aprendido mucho.

En cuanto al resto de las organizaciones, especialmente las pymes, no estaban preparadas y han tenido que tomar decisiones de un día para otro, decantándose de forma mayoritaria por soluciones tipo VPN SSL.

¿Se ha “bajado la guardia” ante la urgencia del momento?

En cierto modo sí, porque se tomaron decisiones rápidas que, aunque con ciertas dificultades, han ido funcionando. Esto ha propiciado que ahora las empresas crean que con la solución VPN SSL ya está todo resuelto, pero no es así. No es lo mismo trabajar puntualmente en remoto que pasar a un modelo de teletrabajo, en el que los empleados pasan gran parte de su tiempo en casa. Esto cambia por completo el área de ataque de la empresa, que pasa de estar protegida por los firewalls perimetrales y por una serie de barreras a tener cientos o miles de “puertas abiertas”.

Cada domicilio de un empleado pasa a ser un potencial agujero de seguridad y esto no se resuelve con VPN SSL

Cada domicilio de un empleado que está teletrabajando pasa a ser un potencial agujero de seguridad y esto no se resuelve con VPN SSL. El usuario está en su casa, trabajando con una red wifi particular, que se la proporciona el operador a través de un router cuyas debilidades son conocidas por todos los atacantes. Estas redes domésticas no tienen mecanismos de seguridad de nivel enterprise y son muy vulnerables. Además, están compartidas por el resto de los dispositivos de los integrantes de la familia y cualquier ataque hacia ellos puede afectar también al ordenador del usuario (al estar en la misma red) y, a través de ahí, a la red corporativa.

Tu ordenador, o tu espacio de trabajo, no está protegido simplemente porque tengas una VPN con la empresa. Incluso aunque se trate de una VPN-SSL con protección del end-point. Esta es una buena solución de contingencia para aquellos que trabajan en movilidad de forma temporal, pero cuando conviertes tu casa en una oficina, tienes que ir a herramientas y modelos distintos.

En esta “nueva normalidad” la casa del empleado debe tener el mismo nivel de seguridad que el que ofrece la empresa

En muchos casos, lo que se ha puesto en casa de los teletrabajadores es simplemente una pequeña parte de la infraestructura de seguridad necesaria para proteger la empresa. En esta “nueva normalidad” hay que convertir la casa del empleado en una oficina, en una home office, que debe tener el mismo nivel de seguridad que el que ofrece la empresa. Esto no se consigue con una solución de protección del end-point.

¿Cómo debe ser el puesto de trabajo postpandemia?

Va a ser un puesto de trabajo híbrido. Aunque gran parte de nuestra actividad profesional se va a desarrollar en casa, nuestra visión es que las empresas van a evolucionar hacia sitios de reunión o de contacto, en los que intercambiar ideas entre los empleados, tener reuniones presenciales comerciales o técnicas, etc. De este modo, hay que dotar a las empresas de soluciones que aborden estas dos vertientes: el empleado debe estar protegido tanto en su casa como cuando está en la oficina.

Conseguir un entorno completamente seguro en la oficina es un tema que está despertando mucho interés

Conseguir un entorno completamente seguro en la oficina es un tema que está despertando mucho interés entre las empresas. Ahora, cuando el empleado va a las instalaciones de la empresa se va a encontrar con restricciones en cuanto al aforo o la necesidad de mantener distancias. Además, hay que asegurarse de que si alguien ha resultado positivo por COVID-19, se desinfecten todas las zonas en las que ha estado, se avise a aquellos con los que ha tenido contacto…

Configurar y desarrollar este puesto de trabajo híbrido es ya una realidad con la que debemos convivir, ya que, por desgracia, se prevé que las situaciones “tipo COVID” van a ser comunes todavía durante bastante tiempo.

Contact tracing y gestión de espacios

Dentro de este puesto de trabajo híbrido, la seguridad física en las oficinas desempeña un papel fundamental. Desde HPE Aruba respondemos a este escenario a través de soluciones de tipo contact tracing y de gestión de espacio, basadas en las infraestructuras wifi y puntos de acceso remoto que están “escuchando” continuamente y triangulando la señal de los smartphones de los empleados. Todo ello de forma anonimizada.

A través de un motor de localización se van almacenando las peticiones de conexión y, aplicando analítica, es posible conocer el estado de uso de un edificio, ofrecer información respecto al grado de congestión de determinadas áreas o guiar a los usuarios hacia zonas más desahogadas. Además, en el caso de que se informe de un positivo por COVID, esta trazabilidad de los movimientos facilita que se puedan aplicar las políticas que especifique la compañía: comunicar esta incidencia a aquellos usuarios que han estado en contacto, solicitar labores de limpieza en aquellas zonas por las que se ha movido, etc.

¿Y en cuanto a la protección del teletrabajador?

En este caso, lo que proponemos en Aruba son soluciones de tipo RAP (remote access point). Básicamente, se trata de dispositivos que se conectan al router del operador y que se encargan de generar el túnel VPN hacia el datacenter central, enviando la red corporativa, con todas las políticas de seguridad, a casa del empleado. La misma red wifi que hay en la empresa se presenta en casa del empleado, y se aplican al ordenador las mismas políticas de seguridad como si estuviera físicamente en la empresa. A todos los efectos, es exactamente lo mismo.

La misma red wifi que hay en la empresa se presenta en casa del empleado, como si estuviera físicamente allí

Es una solución completamente segura y el usuario no se ve impactado por la wifi familiar, se evitan así todas las amenazas derivadas de trabajar en este tipo de redes y, lo que es también importante, no se comparte el ancho de banda. Además, esto permite, por ejemplo, aplicar políticas para priorizar determinados tráficos (videoconferencia, etc.) y evitar cortes, o prohibir otros tráficos en función de las necesidades.

También hay que tener en cuenta que este tipo de soluciones se instalan de forma muy sencilla: lo único que hay que hacer es enchufarlo. No hay que instalar ni configurar nada. Él sabe dónde tiene que ir a buscar las credenciales, conectarse y establecer la comunicación.

También ayuda a separar la vida personal de la profesional

Efectivamente. Uno de los derechos que busca asegurar la nueva Ley del Teletrabajo es la desconexión digital y la necesidad de contabilizar todas las horas que está trabajando un empleado. Las soluciones de Aruba permiten controlar todo esto porque los dispositivos RAP están gestionados de forma centralizada. De esta forma, por ejemplo, se pueden configurar para desconectar a todos los empleados de la red corporativa a una hora determinada.

Además, esta nueva ley también indica que no se puede instalar software corporativo en los ordenadores personales de los empleados. No todas las empresas están comprando un ordenador corporativo para cada empleado. En muchos casos, les están pidiendo que utilicen sus propios dispositivos, simplemente porque no se pueden adquirir tal cantidad de portátiles en tan poco tiempo. En este nuevo contexto no es posible instalar soluciones VPN SSL en el ordenador personal del empleado, algo que se soluciona con nuestros puntos de acceso remotos.

No es posible instalar soluciones VPN SSL en el ordenador personal del empleado

Otro tema importante: ahora es cuando, de verdad, cobra sentido el BYOD (bring your own device) y aplicarlo de forma masiva. Ahora es cuando el empleado tiene que acceder a la empresa, y trabajar a través de todo tipo de dispositivos que no son corporativos. La definición de políticas BYOD, junto con la conexión segura a través de un AP remoto, permite identificar el dispositivo que trata de acceder a la red, realizar un chequeo previo para confirmar que no tiene ningún problema y aplicarle un certificado para convertirlo en un equipo “legalizado” por la corporación.

Una nueva sociedad digital

Desde las instituciones se está empezando a apoyar todo lo relativo a la ciberseguridad en la nueva sociedad digital. La prueba está en la nueva Ley de Teletrabajo que se ha aprobado recientemente, y en muy poco tiempo, que tiene en cuenta las condiciones en las que tienen que trabajar las personas o lo relativo a la desconexión digital y el registro de la jornada laboral.

Esto se está empezando a tomar muy en serio. De hecho, las empresas deben concienciarse acerca de la “nueva normalidad”, de que las cosas no van a ser como antes, que el puesto de trabajo va a ser híbrido y que la seguridad tiene que actuar a nivel “ciber” y también en el plano físico. A esto hay que añadir la explosión del IoT y la necesidad de prevenir los ataques de dispositivos que tienes dentro de la organización, que están infectados y que están atacando tus redes o te están robando información.

Viene una etapa de cambios importantes, y las inversiones no se pueden dejar de hacer, porque, de lo contrario, dejaremos de ser competitivos. Pero, si lo hacemos bien, esto es algo que nos va a beneficiar a todos.

¿Qué medios requiere la empresa?

Para instalar este tipo de herramientas las empresas deben contar con una solución bajo la norma IEEE 802.1X para el control de acceso a la red, la gestión de políticas sin agentes y la respuesta automatizada. Todo esto lo ofrecen soluciones como Aruba ClearPass, que ya está instalada en un gran número de empresas.

Lógicamente, esta estrategia para el trabajo en remoro y la gestión de políticas BYOD requiere un trabajo previo de planificación, pero es algo que podría ser relativamente rápido. Una vez que se cuenta con un sistema bajo la norma IEEE802.1X, y se tiene definida la estrategia de autenticación y de definición de roles para los usuarios, la puesta en marcha es prácticamente inmediata. Obviamente, si no se cuenta con un sistema de seguridad bajo esa norma, el problema es otro, y a una escala mucho más grande.

Las redes de comunicaciones son uno de los pilares principales en esta nueva realidad

Las soluciones cloud de comunicaciones ofrecen muchos beneficios, como una gestión de toda la red de forma centralizada y sencilla, y desde cualquier lugar; la posibilidad de aplicación de inteligencia artificial, muy importante; o la de hacer despliegues masivos de forma desatendida, sin tener que desplazar también personal capacitado para realizarlos: simplemente se envía una caja —con un firewall, un switch o un punto de acceso— que se engancha a la red y, “mágicamente”, todo empieza a funcionar de una forma segura.

Simplemente se envía una caja que se engancha a la red y, “mágicamente”, todo empieza a funcionar de una forma segura

Esta es la tendencia y por eso hemos lanzado el Aruba ESP (Edge Services Platform), que recientemente se ha reforzado con la adquisición de Silver Peak. Esto nos permite ofrecer una solución completa edge-to-cloud, que cubre todos los aspectos de las redes de área local (LAN) y de las redes de área amplia (WAN), también inalámbricas. De esta forma, a través de Aruba ESP podemos gestionar una red de oficinas repartidas por todo el mundo y aplicar, de forma centralizada, políticas de seguridad, o inteligencia artificial para prever posibles problemas y resolverlos antes de que afecten al funcionamiento…

Las infraestructuras inalámbricas van a ser clave en el futuro

Efectivamente, tanto en lo relativo a comunicaciones como a seguridad. Hay que tener en cuenta que, a corto plazo, va a existir un espacio radioeléctrico muy complejo. Por ejemplo, el nuevo estándar WiFi 6, en el ámbito de las redes empresariales, proporciona muchas ventajas en cuanto a ancho de banda, latencia o la posibilidad de tener hasta 72 canales bidireccionales simultáneos. Pero a estas redes empresariales hay que sumarles las de telefonía (5G, que también permitirán acceso a Internet y el control de IoT) o las de Bluetooth y Zigbee, específicas para redes de dispositivos sensorizados. Aunque hay mucho debate en torno a la convivencia o no entre 5G y WiFi 6, en mi opinión, son redes complementarias, teniendo en cuenta lo costoso que puede resultar hacer un despliegue de 5G en interiores.

Estos puntos de acceso actúan como concentradores de WiFi 6, 5G o Bluetooth y ZigBee. Es una red multiservicio, con una sola plataforma desde donde controlarlo todo

En este escenario tan complejo, nuestros puntos de acceso actúan como concentradores de estas redes (WiFi 6, 5G o Bluetooth y ZigBee): si un usuario entra con un dispositivo enganchado a 5G puede pasar a WiFi 6 de forma automática y transparente. Al mismo tiempo, estos puntos de acceso funcionan como gateways de distintas tecnologías inalámbricas y evitan la necesidad de hacer despliegues de redes paralelas porque ya soportan dispositivos ZigBee o Bluetooth. Es una red multiservicio, con una sola plataforma desde donde controlarlo todo.

¿Qué aporta la inteligencia artificial a este escenario?

En el ámbito de la gestión de la red, la IA nos permite anticiparnos y actuar antes de que se produzca un fallo en la red, reconfigurando su funcionamiento o incluso resolviéndolo directamente. Es una forma de ahorrar costes y actuar mucho más rápido ante los fallos, o incluso evitar muchos de ellos.

No basta con autenticar un usuario en la red y aplicarle una política determinada. Esto ya no sirve

Además, también aplicamos la IA al entorno de seguridad. Ya no basta con autenticar un usuario en la red y aplicarle una política determinada. Esto ya no sirve, y mucho menos teniendo en cuenta la explosión de dispositivos IoT con sistemas operativos muy limitados que pueden servir como vehículo de ataques.

En este ámbito, Aruba ClearPass Device Insigh es capaz de identificar cualquier tipo de dispositivo que se conecta a la red, en principio, atendiendo a una base de perfiles que están ya prefijados y que tienen definido un rol determinado. Pero el reto surge a la hora de trabajar con dispositivos nuevos, que entran en la red y que son desconocidos. A través de machine learning esta solución monitoriza estos equipos y, si van cambiando los patrones de comportamiento, podemos actuar sobre ellos, y hacerlo de forma desatendida y automatizada, sin intervención humana.