Internet no fue diseñada para ser una red segura. Aunque esto suene perturbador, lo cierto es que cuando los funcionarios del Departamento de Defensa de EE.UU. sentaron las bases de ARPANET, el precursor de Internet, lo concibieron sencillamente como una forma de vincular un número relativamente pequeño de centros de investigación gubernamentales y académicos. No esperaban que los delincuentes, los estados nacionales o los hackers activistas trataran de robar la información enviada a través de las tuberías. La seguridad no se implantó en el sistema, y aun así Internet siguió creciendo.
Ahora, 21 años después de que el primer mensaje entre nodos de ARPANET fuera enviado, la World Wide Web, inventada por Sir Tim Berners Lee, ha conducido Internet hacia un nuevo camino, más convencional. A este respecto, Berners Lee recientemente reflexionaba: “Dado lo mucho que la web ha cambiado en los últimos 30 años, sería derrotista y poco imaginativo asumir que la web tal como la conocemos no puede ser transformada para mejor en los próximos 30“.
Hoy en día, el 85% de todo el tráfico de Internet corporativo viaja hacia y desde los servicios en la nube -algo que los inventores originales ciertamente nunca previeron- y la infraestructura subyacente es defectuosa; no fue construida pensando en las aplicaciones ni en las necesidades actuales de escalabilidad.
Estos fallos se manifiestan principalmente para los profesionales de la seguridad en forma de equilibrios, las compensaciones que deben realizar a diario para armonizar rendimiento y seguridad. A este respecto, señalar que existe una penalización por el despliegue de herramientas de seguridad en forma de aumento de latencia: el tráfico es retroalimentado para la inspección, ralentizándose los flujos de trabajo. Ante esto, muchas empresas deciden enterrar la cabeza bajo la arena y anteponer rendimiento a seguridad, una decisión que puede derivar en que los datos sensibles terminen filtrándose fuera de la organización, como el agua a través del tamiz.
Defectos de infraestructura y desafíos al cambio
¿Por qué las empresas han aceptado un sistema que no se adapta a sus necesidades? Una razón es la conveniencia. Algunas compañías están más que dispuestas a asumir el riesgo de un ciberataque a cambio de una menor fricción para los usuarios, sobre todo si no existe una alternativa obvia. A la contra, otros sectores más regulados, como los servicios financieros o el de defensa, no les queda más remedio que anteponer la “seguridad ante todo“, aunque afecte a la experiencia de usuario.
Durante años los fabricantes han defendido ante las empresas que las compensaciones entre seguridad y experiencia de usuario debían ser así. Pueden ofrecerte mejores neumáticos y nuevos frenos (¡tiempo de actualización de hardware!), pero no alterar el hecho de que estás conduciendo un coche anticuado, o que las carreteras están empedradas. Y como han construido y promocionado este sistema con vehemencia, no encuentran muchos incentivos para reemplazarlo por otro, que acabaría canibalizando las soluciones que han impulsado durante años.
A estas alturas, Internet se ha entretejido en todos los aspectos de nuestra vida cultural y económica. Innumerables empresas utilizan la Red para acceder a todo, desde aplicaciones de misión crítica hasta publicaciones en blogs, por lo que probablemente parezca impensable romperlo y reemplazarlo por algo nuevo.
No tendría sentido que, de forma individual, las empresas construyeran sus propias redes privadas a nivel de operador. Y en el ecosistema actual, los operadores de red tienen pocas razones para proporcionar tal alternativa. Un operador que provea acceso a Internet no va a ver incrementados sus ingresos si una determinada organización utiliza sus servicios más a menudo. Al revés, la descarga continuada de archivos y vídeos en tiempo real desbordará sus costes. Por ello, no encontrarán ningún aliciente para construir su infraestructura más allá del mínimo.
En cuanto a los proveedores de servicios en la nube, si bien estos buscan que sus redes internas funcionen sin fisuras, lo cierto es que no tienen motivo alguno para facilitar a sus clientes un rápido acceso de entrada y salida a sus redes. Es más, si ofrecieran este servicio, los clientes podrían decantarse por utilizar varios proveedores de servicios en la nube cloud a la vez, o incluso recurrir a centros de datos propios, ¡algo que ningún proveedor desea!
Por tanto, no hay duda de que ni los operadores ni los proveedores de servicios en la nube aprecian una motivación para resolver el dilema de equilibrio entre rendimiento y seguridad que todas las empresas enfrentan con la Internet actual.
Entonces, ¿Quién lo construirá?
Al igual que Netflix dejó a un lado los envíos de DVDs por correo e invirtió en la construcción de su propia plataforma de streaming, y Amazon superó su infraestructura subyacente y construyó AWS, quizás sea hora de que la industria de la seguridad aborde personalmente este asunto y construya las redes seguras necesarias para hacer el trabajo.
Con la explosión del “Shadow IT” y las aplicaciones a las que pueden acceder directamente los empleados y los clientes, la seguridad debe convertirse en la fuerza principal en la evolución de Internet. La industria de la seguridad no puede seguir vendiendo dispositivos que se instalan en la esquina de los centros de datos, y que exigen compromisos en la arquitectura de las redes.. La industria necesita dejar de ser el limitador y convertirse en el habilitador -construyendo una infraestructura que pueda implementar controles de seguridad en línea poderosos y dinámicos y al mismo tiempo ser capaz de conectar cada dirección IP en el mundo en 50 milisegundos o menos (suena ambicioso, pero se ha comprobado que esto es perfectamente posible).
Al igual que en los principales proyectos de conectividad del pasado, el objetivo debe ser a la vez simple y ambicioso: mantener una conectividad rápida y fiable con todas las regiones del mundo sin comprometer la seguridad. Porque la alternativa ya no es aceptable.
La seguridad puede resultar en ocasiones un trabajo ingrato. Aún ganando la batalla de la velocidad contra la seguridad, los responsables de seguridad terminan siendo los culpables por ralentizar las cosas y hacer más difícil el trabajo de sus colegas. No es de extrañar que la seguridad se haya convertido en una idea tardía para los directores ejecutivos y otros líderes empresariales de alto nivel. Tal vez prefieran ignorar el problema si eso significa que pueden evitar los bloqueos operativos. Pero en este nuevo paradigma que hemos explicado, los líderes de seguridad pueden convertirse en héroes. Si se transforman en defensores de este nuevo enfoque, ellos serán los que obtengan el crédito por fortalecer tanto la velocidad como la seguridad. Si no, se arriesgan a quedarse atrás.
