El trabajo híbrido impulsa la transición hacia una seguridad centrada en la identidad.
La pandemia de COVID-19 ha sido, sin lugar a dudas, uno de los eventos laborales más disruptivos del siglo. La disrupción comenzó cuando las organizaciones se vieron obligadas a lidiar con una fuerza laboral remota y descubrieron que no solo era posible, sino que podía ser productivo.
Los últimos dieciocho meses han cambiado significativamente las actitudes de las organizaciones sobre el trabajo remoto, pero no tanto como para adoptar plenamente ese modelo en el futuro. Sí, hay organizaciones que están operando y planean continuar operando en modo “totalmente remoto”. Pero un modelo más probable es un modelo híbrido: un modelo en el que algunos empleados trabajan desde casa, otros desde la oficina y otros en alguna combinación de los dos.
Los debates sobre quién debería decidir dónde trabajan los empleados en un día determinado, así como cuántos días deberían estar en la oficina, pero en general, la noción de una fuerza laboral totalmente híbrida ha sido aceptada en las industrias que pueden respaldarla.
Más de la mitad (55 por ciento) de los 1.200 trabajadores encuestados entre el 24 de noviembre y el 5 de diciembre dijeron que prefieren trabajar de forma remota tres días a la semana. Mientras tanto, el 68 por ciento de 133 ejecutivos estadounidenses dijeron que los trabajadores deberían estar en la oficina al menos tres días a la semana, citando preocupaciones de que la cultura de la empresa no sobrevivirá a un modelo de trabajo puramente remoto.
(Fuente: SHRM )
Personalmente, miro estas discusiones con un interés distante porque, bueno, nunca he estado en la oficina y, créanme, no lo voy a estar. El viaje desde la I94 hasta Seattle es muy, muy largo.
Para ser honestos, los detalles de implementación de un modelo de trabajo híbrido no son tan importantes como el resultado: habrá empleados trabajando desde casa y desde la oficina todos los días de la semana. El trabajo híbrido es la nueva opción predeterminada.
Esta afirmación aparentemente simple tiene un profundo impacto en el futuro de las estrategias de acceso.
Acceso basado en IP
Como puede ver, las tecnologías tradicionales basadas en IP dependen en gran medida de un conjunto fijo de rangos y direcciones de red. Las políticas niegan o permiten el acceso a los recursos de red y aplicação en función de IP.
Ese es el objetivo de una VPN: asignarle efectivamente una dirección IP "local" que sea parte del rango de direcciones IP que pueden circular libremente por la red corporativa.
Ahora, podríamos seguir haciendo eso. Pero no lo haremos, al menos no para la mayoría de la fuerza laboral. Siempre habrá operadores e ingenieros que necesiten el tipo de acceso a la red que proporciona una VPN, pero seamos honestos: no necesito una VPN para navegar por Confluence o SharePoint ni para molestar a los arquitectos en Slack. Si mis necesidades de productividad y comunicación están totalmente satisfechas por las aplicações, entonces realmente no necesito acceso a la red.
Y seamos francos, restringir el acceso a la red es probablemente el mejor cambio en la estrategia de seguridad que podríamos hacer ahora mismo dados los crecientes incidentes de malware, ransomware y otros programas maliciosos. Cuanto menos recursos puedan acceder estas construcciones destructivas, mejor.
Esta es una amenaza real porque la realidad es que una fuerza laboral híbrida (en gran medida transitoria) probablemente detecte algún software malicioso y un día inicie sesión en la VPN y, de repente, ¡BAM! Estás en problemas. Esa es parte de la razón por la que una buena solución VPN incluye análisis y controles de estado antes que cualquier otra cosa . Pero no todas las soluciones VPN son buenas y algunas organizaciones no requieren análisis incluso si la solución VPN puede proporcionarlos.
Esto tampoco significa que las soluciones de acceso a las aplicação sean todo sol y unicornios. Porque muchos de ellos se basan en IP y, en una empresa, hay muchas direcciones IP que administrar.
La cantidad de dispositivos de red que un solo NetOps debe administrar es significativa: más de la mitad administra entre 251 y 5000 dispositivos. ( Encuesta anual de NetDevOps )
Agregue a eso mi dirección IP personal, privada y doméstica y las direcciones IP personales, privadas y domésticas de todas las demás personas que puedan estar trabajando desde casa hoy. Ah, y no olvidemos el número cada vez mayor de comunicaciones de máquina a máquina que necesitan ser protegidas. El Informe Anual de Internet de Cisco predice que "para 2023, habrá más de tres veces más dispositivos en red en la Tierra que humanos". “Aproximadamente la mitad de las conexiones globales serán conexiones de máquina a máquina”.
El resultado es un modelo insostenible que abruma a los operadores, a los equipos de seguridad y, en última instancia, a los servicios y sistemas que deben hacer cumplir las políticas.
La identidad es el camino
Los desafíos de seguridad asociados con el trabajo híbrido se suman a los que surgen del rápido ritmo de la digitalización. En conjunto, estos desafíos impulsarán los modelos de seguridad hacia un enfoque centrado en la identidad. Este enfoque no solo considera a los usuarios humanos, sino también a los usuarios de máquinas en forma de cargas de trabajo, dispositivos y scripts. Al fin y al cabo, las cargas de trabajo son cada vez más transitorias como las personas. Y, en última instancia, la carga de trabajo A sigue siendo carga de trabajo A, sin importar qué IP pueda estar utilizando. Así como sigo siendo yo, ya sea que esté en mi oficina en casa, en el aeropuerto de Minneapolis o en la oficina de Seattle.
Si bien es cierto que la IP puede ser parte de una política de seguridad centrada en la identidad, no es el factor principal ni determinante para permitir el acceso a un recurso. Más bien, se convierte en un atributo que ayuda a determinar qué nivel de verificación de identidad debe requerirse.
Si estoy en la red VPN/corporativa, quizás mis credenciales sean suficientes. Pero si no lo soy, entonces tal vez se deberían exigir mis credenciales y un segundo factor. Y si estoy intentando acceder desde una dirección IP que no había visto antes, quizás haya un tercer factor.
Independientemente de cómo se utilice la dirección IP, ya no debe utilizarse sola. Ni siquiera para cargas de trabajo. Después de todo, el software malicioso puede estar "en" la red corporativa pero nunca se le debe permitir el acceso a aplicações y recursos.
Además, necesitamos ampliar nuestra comprensión de la identidad más allá de las personas a las cargas de trabajo, las aplicações y los dispositivos de los que dependemos cada vez más.
Estoy seguro de que no tengo que mencionar la debacle de SolarWinds. Pero, ¿sabía usted de amenazas como Siloscape , descrito como "malware que abre vulnerabilidades conocidas en servidores web y bases de datos para comprometer nodos de Kubernetes y crear puertas traseras en clústeres" y la amenaza de consolas de administración mal configuradas ? Muchas consolas de administración están protegidas principalmente por controles basados en IP que terminan deshabilitados porque interfieren con el acceso remoto, algo imprescindible en el modelo de trabajo híbrido actual. Un conjunto de control de acceso más sólido y basado en la identidad brindaría protección contra el secuestro y el uso no autorizado, sin importar la ubicación de origen. Además, una seguridad robusta centrada en la identidad brindaría protección contra sistemas comprometidos que intenten infectar, secuestrar o explotar de otro modo otros recursos de la seguridad de "la red corporativa".
Llevamos mucho tiempo avanzando lentamente hacia una seguridad basada en la identidad. Pero el crecimiento explosivo de la automatización y la digitalización, junto con una tendencia hacia modelos de trabajo híbridos, acelerarán ese movimiento hasta que finalmente abandonemos las direcciones IP como método principal de control de acceso.
La seguridad centrada en la identidad es el camino.