Lo digital por defecto: Cómo afrontar las consecuencias imprevistas
El destino de la transformación digital siempre ha sido un modelo operativo “digital por defecto”. No recuerdo la última vez que alguien dejó una guía telefónica en mi porche o me dio un DVD de una película nueva para ver. Cuando quiero jugar un juego nuevo, uso la tienda de mi consola. Ciertamente, ya no me levanto y conduzco hasta una tienda de juegos física para buscar cartuchos. ¿Y las actualizaciones? Se entregan automáticamente. En serio, incluso mis juegos de rol de mesa favoritos son digitales hoy en día. No tengo que arrastrar trece libros y varios kilos de dados a la casa de alguien para jugar. Solo necesito mi computadora portátil.
No es que vaya a renunciar a mis dados. Porque eso es simplemente una locura.
Pero estoy usando más lo digital porque las empresas nos están dando más lo digital.
En el último año, todas las industrias han progresado rápidamente, motivadas por la necesidad, hacia la segunda y tercera fase de la transformación digital.
Fase 1
Automatización de tareas
En esta etapa, la digitalización lleva a las empresas a convertir las tareas comerciales orientadas a los humanos en diversas formas de "automatización", lo que significa que se introducen o crean más aplicações como parte del flujo comercial. Esto comenzó con la automatización de tareas individuales bien definidas para mejorar la eficiencia. Un ejemplo común son los sistemas IVR que responden preguntas comunes sobre un producto o servicio, pero que pueden necesitar pasar la respuesta a un representante humano. En esta fase se automatizan las tareas individuales, pero no se integran de forma consistente.
La consecuencia no deseada: Más código
No se trata simplemente de más código resultante de más aplicações, sino también de más código como resultado de nuevas arquitecturas de aplicação . La aplicación promedio de iPhone requiere menos de 50.000 líneas de código. ¿Google? Más de 2 millones. La mayoría de las aplicaciones se encuentran en algún punto intermedio. Todo ese código necesita mantenimiento, actualización y protección, y las organizaciones han estado ampliando su base de código en distintas arquitecturas durante años. Actualmente operan cinco arquitecturas distintas y entre tres y cuatro bases de código diferentes, desde COBOL hasta C, JS y Go.
Y eso no cuenta el uso creciente de JSON, YAML y Python a medida que las organizaciones adoptan "infraestructura como código". Eso es más de la mitad (52%) según nuestra investigación anual , y seguirá creciendo a medida que las organizaciones que incursionan en la IA y el ML comiencen a adoptar prácticas operativas que también incluyan "modelos y algoritmos" como código.
Fase 2
Expansión digital
A medida que las empresas comienzan a aprovechar las infraestructuras nativas de la nube e impulsan la automatización a través de su propio desarrollo de software, surge una nueva generación de aplicações para respaldar el escalamiento y una mayor expansión de su modelo digital. El impulsor de esta fase son los líderes empresariales que se involucran en decisiones de aplicação diseñadas para diferenciar o brindar una interacción única con el cliente. Por ejemplo, los proveedores de atención médica están integrando cada vez más los registros y la facturación de los pacientes con los sistemas de admisión, alta y programación. Los recordatorios automáticos de citas pueden entonces eliminar los procesos manuales. Centrarse en la mejora del proceso empresarial de extremo a extremo es el tema común en esta fase.
La consecuencia no deseada: Más conexiones
Pero espera, hay más. Lo digital como estándar y la modernización de las TI implican más conexiones: entre aplicações, sistemas, dispositivos, consumidores, socios y API. Cada uno de ellos es un punto de entrada potencial que, en última instancia, podría provocar una vulneración importante o comprometer los sistemas.
Aquí lo que está en juego es alto. Software malicioso. Ransomware. Fraude. Pérdida de ingresos. Los costos de no proteger todo lo que podría ser atacado son abrumadores, y también lo es la forma en que lo hará.
Fase 3
Negocios asistidos por IA
A medida que las empresas avancen en su recorrido digital y aprovechen capacidades más avanzadas en plataformas de aplicação , telemetría empresarial y análisis de datos, y tecnologías ML/IA, las empresas pasarán a estar asistidas por IA. Esta fase abre nuevas áreas de ganancias de productividad empresarial que antes no estaban disponibles. Por ejemplo, un minorista descubrió que entre el 10% y el 20% de sus intentos fallidos de inicio de sesión eran usuarios legítimos que tenían dificultades con el proceso de validación. Negar el acceso por defecto representaba una pérdida de ingresos potencialmente significativa. El análisis del comportamiento se puede utilizar para distinguir a los usuarios legítimos de los bots que intentan obtener acceso. La tecnología y el análisis han permitido la identificación asistida por IA de aquellos usuarios para permitirles el ingreso, lo que aumenta los ingresos y mejora la retención de clientes.
Las consecuencias no deseadas: Más datos
Por último, la configuración digital por defecto implica necesariamente más datos. No solo datos de clientes (pedidos, productos, direcciones, detalles de pago), sino también datos operativos como métricas y registros. Una empresa digital necesita telemetría para comprender a los visitantes, los patrones de participación, el rendimiento, los flujos inusuales y el comportamiento anómalo. Esa telemetría no es algo que pueda analizarse y desecharse, al menos no de inmediato. Se pueden necesitar días, o incluso semanas o meses, de telemetría para establecer adecuadamente las líneas de base operativas y luego descubrir patrones que alimenten las decisiones comerciales, así como anomalías que indiquen un ataque.
Todos esos datos necesitan atención. Es necesario normalizarlo, almacenarlo, procesarlo, analizarlo y conservarlo. Y necesita seguridad, porque algunos de esos datos pueden contener información protegida de clientes que requiera cumplimiento y supervisión regulatoria.
El resultado no deseado de la transformación digital: Más complejidad
No importa qué tan rápido o lentamente una organización progrese a través de estas fases, el resultado es el mismo: más complejidad.
Y todos sabemos que la complejidad es el enemigo de la seguridad.
Por lo tanto, para los profesionales de la seguridad, lo digital por defecto implica nuevos desafíos. Una de las formas de abordar este conjunto de desafíos de seguridad es dividirlo en categorías más manejables.
Simplifica para mantener la cordura
La mayoría de los desafíos de seguridad se pueden agrupar en tres categorías: aplicação, infraestructura y negocios. Estas categorías de nivel superior son útiles para gestionar hacia arriba cuando se necesita financiación o apoyo ejecutivo. También son útiles para el triaje a la hora de determinar el mejor enfoque para mitigarlos.
Capa de aplicación → DevSecOps
Las vulnerabilidades de la capa de aplicación se pueden abordar con un enfoque de desplazamiento a la izquierda, es decir, haciendo que la seguridad sea parte de cada proceso, desde el desarrollo hasta la implementación y la operación. Se trata casi siempre de vulnerabilidades involuntarias, es decir, que generalmente son causadas por una acción humana, ya sea intencional o accidental. Abarcan toda la pila, desde secretos compartidos a través de repositorios de desarrolladores personales hasta configuraciones incorrectas de buckets S3. Las herramientas pueden identificar vulnerabilidades en componentes de terceros y otras dependencias para garantizar que esté utilizando la última, mejor y, con suerte, la versión más segura de ese script.
Desde WAF hasta DAST, RASP y SAST, abundan las herramientas que ayudan a escanear y proteger el código. La mayoría de ellos son totalmente capaces de integrarse con el flujo de desarrollo. Al automatizar los escaneos, elimina de manera efectiva la transferencia de tareas y la pérdida de tiempo asociada. La industria lo llama DevSecOps, pero también podría llamarse procesamiento paralelo o multitarea. Esto significa que el cronograma no se detiene cuando un equipo o un individuo no está disponible o tiene overbooking. Significa un análisis más exhaustivo y la capacidad de detectar errores en una etapa más temprana del proceso.
Vulnerabilidades de infraestructura → Defensa distribuida
Las vulnerabilidades más tradicionales, como los ataques DDoS volumétricos y la amplificación de DNS, residen en la capa de infraestructura. En realidad, no puedes desplazarte hacia la izquierda para mitigarlos y definitivamente no puedes eliminarlos, porque no controlas a los atacantes. Sólo puedes controlar tu respuesta.
Las vulnerabilidades de la capa de infraestructura necesitan un enfoque más adecuado, donde los servicios de seguridad se defiendan contra ataques en vivo, porque hay formas de "procesarlos".
Hoy en día, la aplicación es el perímetro y las organizaciones tienen aplicaciones en todo el mundo. Si ignoramos SaaS, las organizaciones utilizan, en promedio, 2,7 nubes públicas diferentes que amplían los centros de datos existentes. Eso es plural.
También tienen muchos puntos finales distribuidos, como mi computadora portátil corporativa. Incluso antes de que el trabajo desde casa se convirtiera en algo más o menos permanente, la gente viajaba, y eso significaba puntos finales móviles distribuidos.
Esto impulsa la necesidad de soluciones distribuidas, centradas en la identidad y en aplicaciones para defender la infraestructura y las aplicações. Esto significa SASE y Zero Trust, y el uso del edge para acercar los servicios defensivos de infraestructura al origen de los ataques. SASE y ZTNA cambian la política de direcciones IP y redes a usuarios y dispositivos, y requieren prueba de identidad para acceder a aplicações y recursos.
Vulnerabilidades empresariales → Asistencia con IA
Por último, están las vulnerabilidades de la capa empresarial. Al igual que las vulnerabilidades de la capa de infraestructura, son inherentes y no se pueden procesar. Realmente no puedes eliminar una página de inicio de sesión o un proceso de restablecimiento de contraseña, por lo que deberás defenderte contra ataques que invariablemente atacarán tus defensas.
Y los golpearán. Un estudio de F5 Labs señala que el tamaño promedio de un ataque DDoS aumentó un 55 % durante el último año, siendo la educación una de las industrias más atacadas a principios de 2021. En 2020 se lanzaron ataques de credential stuffing contra jugadores de videojuegos a un ritmo de más de 500.000 por hora. Estos problemas deben abordarse en tiempo real.
Por eso no sorprende que la seguridad asistida por IA se esté adoptando a un ritmo frenético, para mantenerse al día con el ritmo loco en el que se desarrollan y lanzan nuevos ataques y nuevas formas de ejecutar ataques antiguos.
Recuerde, la ciencia nos dice que los seres humanos sólo pueden procesar unos 50-60 bits por segundo. Por eso es tan difícil realizar varias tareas a la vez. Los datos fluyen desde los sistemas, dispositivos, aplicações, clientes y la red a una velocidad mucho mayor que la que nosotros, como seres humanos, podemos procesar. Por eso tenemos paneles de control y visualizaciones, pero estos no nos informan realmente sobre lo que está sucediendo. Son instantáneas de un momento en el tiempo y, demasiado a menudo, se basan únicamente en métricas binarias: arriba, abajo, rápido, lento. El 45% de los encuestados en nuestra investigación anual mencionó que la capacidad de procesar y predecir con precisión posibles ataques "falta" en sus soluciones de monitoreo actuales. La IA es una respuesta a eso, con la promesa de un análisis de datos en tiempo real a través de modelos entrenados que pueden detectar y alertarnos sobre un posible ataque.
Lo digital como estándar es la nueva normalidad
En última instancia, toda esta digitalización está creando un mundo distribuido e impulsado por datos. Es digital por defecto. Y eso significa más formas para que los atacantes obtengan acceso, filtren datos y, en general, causen problemas. En un mundo digital por defecto, la seguridad necesita una pila digital y eso significa DevSecOps, un modelo de defensa distribuido y seguridad asistida por IA.
