2019: Llegó el momento de deshacerse de la VPN
- El uso de VPN (red privada virtual) en una era de TI sin perímetros es un problema, dado que no brindan seguridad.
“La seguridad basada en un perímetro no tiene cabida en una empresa de hoy en día. Somos una fuerza laboral moderna, que trabaja donde sea y cuando sea, y los días en que se usaba un perímetro fijo y fácilmente identificable han quedado en el pasado. Entonces, ¿por qué todavía pretendemos que la tecnología de VPN puede ser eficaz para proteger las empresas de la actualidad?”, comenta Jason Garbis, Vicepresidente de productos de Cyxtera Technologies.
La VPN fue creada en 1996, cuando Microsoft desarrolló el PPTP (protocolo de túnel punto a punto). Fue inventada en una época donde la Blackberry acababa de lanzar los buscapersonas bidireccionales y cuando el término “computación en nube” se acuñaba por primera vez. El uso de tecnología VPN para proteger la forma en que trabajamos hoy simplemente representa una resistencia al progreso.
El panorama de las redes actuales es increíblemente complejo con aplicaciones, personas y datos distribuidos. Las compañías adoptaron el método estándar de protección: la red privada, y usaron cientos o miles de VPN y reglas de cortafuegos con topologías complejas para manejar el caos. Nuestros crecientes ecosistemas móviles y de nube han hecho que los perímetros se vuelvan permeables e irrelevantes.
Mientras tanto, nuestras redes están plagadas con dispositivos inseguros y no autorizados. Para complicar el asunto, en un creciente ambiente de trabajo distribuido, resulta muy probable que las ciberamenazas provengan tanto desde dentro como desde fuera de la organización.
Las VPN tienen cuatro defectos críticos
- Las VPN autentican todo. Una vez autorizados, los usuarios usualmente pueden tener acceso completo a la red autenticada.
- Las VPN son muy simplistas. En un mundo en el que el perímetro físico ya no es relevante, estas no son capaces de seguir el ritmo.
- Las VPN brindan una seguridad estática basada en perímetros. Esto no resulta efectivo cuando el contexto del usuario y las amenazas de seguridad están en constante cambio.
- Las VPN son una solución incompatible. En definitiva, las VPN solo son útiles para que usuarios remotos tengan acceso remoto. Estas no contribuyen a que las organizaciones protejan a los usuarios y redes dentro de sus instalaciones.
¿Qué debe hacer una empresa?
Gartner recomienda un nuevo enfoque estratégico en cuanto la seguridad de la información: Continuous Adaptive Risk and Trust Assessment – CARTA (evaluación continua y adaptativa de riesgo y confianza). La idea detrás de esto es que las empresas puedan evaluar continuamente y en tiempo real si se debería confiar en un usuario o no. Esta refleja opiniones similares a las de Forrester con respecto al modelo Zero Trust, la noción de que no debemos confiar en nadie a menos de que haya sido verificado. Ambos conceptos (CARTA y Zero Trust) son fundamentales para que una empresa esté protegida en la actualidad.
[adrotate banner=»47″]
[adrotate banner=»48″]
El Perímetro Definido por Software (SDP, por sus siglas en inglés), un modelo Zero Trust de ciberseguridad, apoya ambos principios. Una SDP es un modelo de seguridad de red que crea de forma dinámica conexiones de red 1:1 entre los usuarios y los datos a los cuales tienen acceso. La SDP reduce la superficie de ataque en tiempo real mediante la creación de un segmento individual de red encriptado y discreto, lo cual hace que todo lo demás sea invisible e inaccesible.
Un segmento individual de red es una red micro-segmentada, individualizada y adaptada a cada usuario, dispositivo y sesión. Además, esta solución es holística, puesto que proporciona una plataforma de control de acceso de seguridad única tanto para los usuarios remotos como para los que se encuentren en las instalaciones de la empresa que accedan a recursos remotos y en sitio.
La SDP está diseñada con base en el usuario y maneja las fallas de la VPN.
Se centra en el usuario
La SDP se asegura de que conozcamos tanto como podamos del usuario ANTES de permitirle que se conecte a la red, por ejemplo:
- ¿Cuál es el contexto del usuario?
- ¿Qué dispositivo se encuentra usando y cuál es su actitud de seguridad?
- ¿En dónde se encuentra ubicado?
Se adapta y expande
Maneja el acceso y se adapta con base en el contexto del usuario, el dispositivo y las condiciones de seguridad. Se integra con los sistemas operativos y brinda un perímetro individualizado para cada usuario, otorgándole acceso y visibilidad específicos.
“En 2019, las empresas tienen una elección: seguir empleando tecnología obsoleta en un intento por proteger un mundo sin perímetros o darse cuenta de que la tecnología VPN está muerta. Es momento de utilizar las últimas innovaciones de ciberseguridad para proteger la tecnología de hoy”, concluye el ejecutivo.