A medida que más empresas aprovechan las fuerzas de trabajo remotas, móviles y temporales, los elementos de la planificación de la continuidad del negocio están evolucionando y requieren que los profesionales de TI analicen profundamente los aspectos prácticos de la conectividad.

Los CISO y los miembros de su equipo enfrentan nuevos desafíos todos los días, muchos de los cuales han sido impulsados ​​por la transformación digital, así como por la adopción de otras tecnologías que mejoran la productividad.

Un ejemplo de ello es la necesidad en rápida evolución de apoyar a los usuarios remotos y móviles a medida que las empresas cambian la forma en que interactúan con el personal.

Por ejemplo, la reciente crisis de COVID-19 ha obligado a la mayoría de las empresas en todo el mundo a apoyar a los empleados que trabajan desde casa u otras ubicaciones remotas.

Muchas empresas se enfrentan a numerosos problemas con la fiabilidad de la conexión, así como a los desafíos que presenta la rápida ampliación de la conectividad para atender a un número cada vez mayor de trabajadores remotos.

Agregue a eso los problemas de seguridad y privacidad, y se vuelve evidente que los CISO muy bien pueden enfrentar lo que pueden convertirse en desafíos insuperables para mantener las cosas funcionando y seguras.

Es el potencial de disrupción lo que está poniendo la Planificación de la Continuidad del Negocio (BCP) al frente de muchas conversaciones de TI. Es más, muchos profesionales de TI están llegando rápidamente a la conclusión de que la conectividad persistente a Internet y WAN demuestra ser la base de un plan eficaz de continuidad del negocio.

Las VPN no están funcionando

Las redes privadas virtuales (VPN) suelen ser la primera opción para crear conexiones seguras en una red corporativa desde el mundo exterior.

Sin embargo, las VPN se diseñaron inicialmente para permitir que un punto final remoto se conecte a una red de área local interna y le otorgue a ese sistema acceso a los datos y aplicaciones almacenados en la red.

Para conectividad ocasional, con un enfoque en la facilidad de uso.

Sin embargo, las VPN están comenzando a mostrar rápidamente sus limitaciones cuando se las exige para respaldar una fuerza de trabajo remota desplegada rápidamente.

Uno de los problemas más importantes en torno a las VPN surge en el contexto de la escalabilidad; en otras palabras, las VPN pueden ser complicadas de escalar rápidamente.

En su mayor parte, las VPN tienen licencia por conexión y son compatibles con un dispositivo en el lado de la red para cifrar y descifrar el tráfico. Cuantos más usuarios de VPN se agreguen, más licencias y potencia de procesamiento se necesitarán, lo que en última instancia agrega costos imprevistos, además de introducir latencia adicional en la red.

Eventualmente, las VPN pueden romperse bajo tensión y eso crea un problema en torno a la continuidad del negocio. En pocas palabras, si las VPN se ven abrumadas por el aumento del tráfico, la conectividad puede fallar y la capacidad de los empleados para acceder a la red puede verse afectada, como resultado, el concepto de continuidad del negocio se ve afectado.

Las VPN también se utilizan para conexiones de sitio a sitio, donde el ancho de banda puede compartirse no solo desde una sucursal a una oficina central, sino también con usuarios remotos. Una situación como esa puede descarrilar por completo la capacidad de una organización para hacer negocios si esas VPN fallan.

Quizás una preocupación aún mayor con las VPN se presenta en forma de ciberseguridad. Las VPN que se utilizan para dar acceso a los usuarios remotos a una red son tan confiables como las credenciales que se otorgan a esos usuarios remotos.

En algunos casos, los usuarios pueden compartir contraseñas e información de inicio de sesión con otros, o exponer sus sistemas a intrusiones o robos por descuido. En última instancia, las VPN pueden allanar el camino para los ataques a la red corporativa al permitir que los malos accedan a los sistemas.

ZTNA va más allá de las VPN

Dado que la tecnología VPN se vuelve sospechosa en la rápida expansión de las fuerzas de trabajo remotas, los CISO y los profesionales de TI están buscando alternativas para garantizar conexiones confiables y seguras a la red de los trabajadores remotos.

El deseo de unir la seguridad y la confiabilidad está impulsado por la continuidad, así como por cuestiones operativas. Los CISO buscan mantener los costos bajos, proporcionar un nivel de seguridad sin comprometer el rendimiento y aun así cumplir con el crecimiento proyectado.

Muchas empresas pensaron que la respuesta al dilema de las VPN se podía encontrar en SDP (perímetros definidos por software) o ZTNA (acceso a la red de confianza cero), dos acrónimos que se han vuelto intercambiables en el ámbito de la ciberseguridad.

ZTNA se creó para la nube como una solución que cambió la seguridad de la red a las aplicaciones. En otras palabras, ZTNA está centrado en la aplicación, lo que significa que los usuarios tienen acceso a las aplicaciones y no a la red completa.

Por supuesto, ZTNA hace mucho más que eso. ZTNA puede «ocultar» aplicaciones, al mismo tiempo que otorga acceso a usuarios autorizados. A diferencia de las VPN, la tecnología ZTNA no transmite ninguna información fuera de la red para la autenticación, por lo que los concentradores de VPN se ubican en el borde de la red para que todos los vean, lo que los convierte en un objetivo para los atacantes malintencionados.

Además, ZTNA utiliza conexiones de adentro hacia afuera, lo que significa que las direcciones IP nunca están expuestas a Internet. En lugar de otorgar acceso a la red como una VPN, la tecnología ZTNA utiliza un enfoque de microsegmentación, donde se crea un segmento seguro entre el usuario final y la aplicación nombrada.

ZTNA crea un entorno de acceso que brinda acceso privado a una aplicación para un usuario individual y solo otorga el nivel más bajo de privilegios a ese usuario.

La tecnología ZTNA desacopla el acceso a las aplicaciones del acceso a la red, creando un nuevo paradigma de conectividad. Las soluciones basadas en ZTNA también capturan mucha más información que una VPN, lo que ayuda con el análisis y la planificación de la seguridad.

Si bien una VPN solo puede rastrear la dirección IP, los datos del puerto y los protocolos de un dispositivo, las soluciones de ZTNA capturan datos sobre la identidad del usuario, la aplicación nombrada, la latencia, las ubicaciones y mucho más. Crea un entorno que permite a los administradores ser más proactivos y consumir y analizar la información con mayor facilidad.

Si bien ZTNA puede ser un paso monumental hacia adelante con respecto a los sistemas VPN heredados, las soluciones de ZTNA no están exentas de sus propias preocupaciones. Las soluciones ZTNA no abordan los problemas de rendimiento y escalabilidad y pueden carecer de los componentes básicos de continuidad, como la conmutación por error y el redireccionamiento automático del tráfico.

En otras palabras, ZTNA puede requerir que esas soluciones adicionales de terceros se agreguen a la combinación para admitir BCP.

Resolución de problemas de ZTNA y VPN con SASE

Una tecnología más nueva, que se conoce con el nombre de SASE (Secure Access Service Edge), muy bien puede tener la respuesta a los dilemas de seguridad, continuidad y escala que tanto ZTNA como las VPN introducen en la ecuación de la red.

El modelo Secure Access Service Edge (SASE) fue propuesto por los principales analistas de seguridad de Gartner, Neil MacDonald, Lawrence Orans y Joe Skorupa. Gartner presenta SASE como una forma de colapsar las pilas de redes y seguridad de SD-WAN en una oferta completamente integrada que es fácil de implementar y administrar.

Gartner ve a SASE como un punto de inflexión en el mundo de las redes de área amplia y la conectividad en la nube. La casa de investigación espera que el 40 % de las empresas adopten SASE para 2024. Sin embargo, sigue existiendo un desafío importante: los proveedores de redes y seguridad cibernética aún están desarrollando sus ofertas de SASE, y muy pocas están realmente disponibles en este momento.

Uno de estos proveedores es Cato Networks, que ofrece una solución SASE completamente integrada y ha sido identificado como uno de los líderes en el juego SASE por Gartner.

SASE se diferencia significativamente de los modelos VPN y ZTNA al aprovechar una arquitectura de nube nativa que se basa en los conceptos de SD-WAN (Red de área amplia definida por software). Según Gartner, SASE es una plataforma de conectividad impulsada por la identidad que utiliza una arquitectura de nube nativa para respaldar la conectividad segura en el borde de la red que se distribuye globalmente.

SASE brinda a las organizaciones acceso a lo que es esencialmente una red troncal privada que se ejecuta dentro de Internet global. Además, SASE incorpora conmutación por error automatizada, ajuste de rendimiento impulsado por IA y múltiples rutas seguras a la red troncal privada.

SASE se implementa en el borde de la red, donde la LAN se conecta a la Internet pública para acceder a la nube u otros servicios. Y al igual que con otras ofertas de SD-WAN, el perímetro debe conectarse a algo más allá de las cuatro paredes de la red privada.

En el caso de Cato, la empresa ha creado una red troncal privada global, que está conectada a través de múltiples proveedores de red. Cato ha creado una nube privada a la que se puede acceder a través de la Internet pública.

SASE también ofrece la capacidad de combinar los beneficios de SDP con la resiliencia de una SD-WAN, sin presentar ninguna de las deficiencias de una VPN.

Un ejemplo de ello es el acceso instantáneo de Cato, un modelo de conectividad sin cliente que utiliza una solución de perímetro definido por software (SDP) para otorgar acceso seguro a las aplicaciones entregadas en la nube para usuarios remotos autorizados.

El acceso instantáneo ofrece autenticación multifactor, inicio de sesión único, acceso con privilegios mínimos y se incorpora a las pilas combinadas de red y seguridad. Dado que se basa en SASE, la visibilidad completa del administrador es una realidad, así como la implementación simplificada, la escalabilidad instantánea, la gestión integrada del rendimiento y la conmutación por error automatizada.

En el caso de Cato, la protección continua contra amenazas mantiene a los trabajadores remotos, así como a la red, a salvo de las amenazas basadas en la red. La pila de seguridad de Cato incluye NGFW, SWG, IPS, antimalware avanzado y el servicio Managed Threat Detection and Response (MDR). Por supuesto, Cato no es el único jugador en el juego SASE; otros proveedores que ingresan al territorio SASE incluyen Cisco, Akamai, Palo Alto Networks, Symantec, VMWare y Netskope.

SASE aborda los problemas de las VPN, ZTNA y más

Dado que las VPN se están quedando cortas y ZTNA carece de funcionalidades críticas, como la facilidad de escala y la gestión del rendimiento, rápidamente se está volviendo evidente que los CISO pueden necesitar analizar detenidamente SASE.

SASE aborda los problemas demasiado comunes que las VPN están introduciendo en un paradigma de trabajo remoto en rápida evolución, al mismo tiempo que ofrece la seguridad centrada en la aplicación que ZTNA trae a la mesa.

Además, SASE trae consigo seguridad avanzada, visibilidad mejorada y confiabilidad que contribuirán en gran medida a mejorar la continuidad y, al mismo tiempo, a reducir los costos.