Por John Suffolk, Responsable de Seguridad de Huawei y antiguo CIO y CISO del Gobierno de Reino Unido.

¿Evitaría la entrada de ladrones poner una cerradura nueva en una puerta deteriorada? La respuesta es no y, especialmente, si el valor de lo que se quiere proteger es alto. Por desgracia, esta es la estrategia que muchas compañías emplean con demasiada frecuencia para combatir los ciberataques y amenazas: combinan avanzados sistemas de seguridad digital junto con infraestructuras de redes inseguras. Esta unión provoca un escenario que inquieta a los responsables de mantener los registros de riesgos y de garantizar la seguridad de los datos, y que frustra a quienes, en su intento de desarrollar ventajas competitivas, pretenden adoptar la próxima generación de tecnologías de movilidad y cloud.

La experiencia ha demostrado que multitud de CIO, incluidos muchos de compañías del Fortune 500, ven la ciberseguridad como un obstáculo para incorporar en su desarrollo nuevas tecnologías como BYOD, social networking o cloud. Aunque este hecho no es del todo sorprendente dado que la mayoría de las estrategias de ciberseguridad llevadas a cabo hoy día tienen una naturaleza defensiva o reactiva, en lugar de una metodología ofensiva o proactiva.

Uno de los CIO a los que hago referencia anteriormente me comentó una vez una frase que reflejaba a la perfección el problema existente dentro del sector. “La clave para el negocio reside el equilibrio. Durante mucho tiempo, nos hemos preocupado por el robo del portátil, por documentos olvidados en el tren o por memorias USB que contenían información delicada para nuestros clientes. Sin embargo, en la actualidad ubicar nuestro negocio en la nube, a la vez que se garantiza un acceso apropiado para los empleados, resulta una tarea sobrecogedora”.

Mientras los CIO estudian cómo conjugar seguridad con agilidad e innovación, los cibercriminales muestran una creciente sofisticación a la hora de infiltrarse en las redes empresariales, a través del despliegue de herramientas y técnicas de última generación. Pero no todo está perdido, la próxima generación de tecnología de redes definidas por software (SDN, por sus siglas en inglés) puede ofrecer a las empresas un auténtico cambio, un arsenal defensivo de nueva generación para los CIO.

El desafío que suponen las redes tradicionales es su propio legado, basado en el conjunto de protocolos TCP/IP, una arquitectura cuya naturaleza es insegura, ya que fue desarrollada en los días en los que la mayoría de los ‘hackers’ lo eran por desconocimiento. Para las empresas, el TCP/IP es la “puerta deteriorada” a la que hacía referencia al principio del artículo. Incluso con el uso de “cerraduras” cada vez más fuertes, la arquitectura global resulta insegura. Lo que debería ser un disuasorio se convierte, por el contrario, en todo un aliciente para los cibercriminales, quienes hallan la puerta prácticamente abierta. 

Redes defendidas mediante software

Gracias a las redes SDN, la prioridad de los CIO puede transformarse, por primera vez, en asegurar un acceso cuya característica principal sea la utilidad, en detrimento  de la naturaleza restrictiva de una estrategia basada en la reactividad y la creación de barreras.

Algunos se preguntarán por qué. Las redes SDN de hoy pueden ser integradas en el diseño, en lugar de ser desplegadas a posteriori, representando una revolución para la industria en cuanto a la ciberseguridad. El factor principal es que éstas pueden permitir a las compañías protegerse de manera proactiva contra lo que los equipos de seguridad llaman amenazas persistentes avanzadas (APT, por sus siglas en inglés), ataques de denegación de servicio, malware desconocido y ataques de día cero. Del mismo modo, pueden ser diseñadas para monitorizar y bloquear de manera continua vulnerabilidades a lo largo de todos los elementos de la red, desde dispositivos de acceso sencillos, a toda una serie de elementos conectados al centro de datos. La principal diferencia estriba en que en un diseño SDN, la capacidad puede ser virtualizada e integrada por completo. Además, el acceso de los empleados puede ser controlado activamente según el momento, localización, zona horaria y otros factores configurables dentro de la red mediante gestión centralizada y herramientas de control.

Sin embargo, no hay que olvidar que por el mero hecho de que exista la posibilidad, no significa que todas las SDN estén siendo desarrolladas con el mismo foco en la seguridad. Si la arquitectura basada en SDN no combina la seguridad, el Big Data, el sandboxing y otras tecnologías para prevenir amenazas desconocidas, se está remplazando una puerta débil y vieja por otra, aunque nueva, igual de delicada, cuya función, a pesar de las cerraduras sólidas, permanecerá sin cumplirse.

No obstante, no todo depende de la tecnología. La ciberseguridad es tanto un desafío técnico, como humano. Todo CIO conoce demasiado bien la interminable batalla que supone el hecho de mejorar el comportamiento de los empleados para que respeten los procedimientos de seguridad existentes. Para afrontar este reto, las SDN cuentan, por primera vez, con la habilidad de transformar materialmente las defensas técnicas y proporcionar capacidades de seguridad añadidas para protegerse contra los errores humanos.

Pero todo lo que he contado no sirve de nada si las compañías se dejan llevar por la “ilusión de la seguridad”. El momento para preguntar a un distribuidor acerca de la integridad y la seguridad de una red SDN es antes de la compra. Cualquier SDN u hoja de ruta que prometa “medidas de seguridad a seguir” está, en efecto, replicando los defectos de las puertas deterioradas con cerraduras sólidas del pasado.