Los entornos híbridos ya no son transitorios. Para las organizaciones reguladas, multinacionales y digitalmente maduras, son una elección arquitectónica deliberada.
La residencia de datos, la latencia, las dependencias heredadas y la diversificación del riesgo hacen que los modelos híbridos sean la opción más pragmática. Una reciente investigación de CISO respalda esta opinión: los entornos híbridos equilibran el control, la resiliencia y la agilidad empresarial. Sin embargo, sigue existiendo una exposición persistente a la seguridad.
La causa rara vez es el modelo híbrido en sí, sino los supuestos que no han evolucionado con él.
Los modelos de seguridad tradicionales vinculan el control a los límites físicos. Los entornos locales se tratan como controlados, mientras que la nube se considera externa.
Las arquitecturas híbridas eliminan esa distinción.
Las aplicaciones abarcan varias nubes. Las identidades se autentican en plataformas SaaS, IaaS y heredadas. Los datos se mueven continuamente entre entornos. Los controles basados en la ubicación tienen dificultades para seguir el ritmo.
El problema no son las herramientas, sino la continuidad del control.
Cuando las decisiones se centran en dónde se encuentran las cargas de trabajo en lugar de quién accede a qué y en qué condiciones, los entornos híbridos exponen brechas que son difíciles de detectar y fáciles de explotar.
El modelo de responsabilidad compartida es bien conocido, pero se aplica de forma inconsistente.
Los entornos híbridos amplifican la ambigüedad. Los proveedores de servicios en la nube definen la responsabilidad de forma diferente. Los equipos locales mantienen los modelos de propiedad heredados. Las plataformas SaaS abstraen los controles de los equipos centrales. La identidad, el registro y la supervisión se fragmentan entre las plataformas.
Como resultado, los incidentes suelen deberse a lagunas organizativas más que a controles deficientes. Existen políticas, pero la propiedad no está clara: quién las aplica, quién revisa el acceso y quién responde cuando la actividad abarca varios entornos.
Zero Trust se ha adoptado ampliamente, pero a menudo se implementa como controles aislados en lugar de como un modelo operativo.
Se implementan la autenticación multifactorial (MFA), la segmentación y las comprobaciones de dispositivos, mientras que la gobernanza de identidades y la gestión de privilegios siguen siendo desiguales.
En entornos híbridos, Zero Trust se debilita cuando la identidad se trata como una característica de acceso en lugar de como un plano de control.
Sin una gobernanza coherente entre las identidades de los empleados, las no humanas y las privilegiadas, las políticas se desvían, las excepciones se acumulan y el riesgo se vuelve más difícil de explicar tanto a los equipos técnicos como a los consejos de administración.
Los entornos híbridos generan una telemetría sin precedentes. La visibilidad ha aumentado. La calidad de las decisiones, a menudo, no.
Las señales se distribuyen entre herramientas alineadas con los dominios de la infraestructura, en lugar de con las cuestiones de riesgo. La correlación de la actividad de identidad entre entornos sigue siendo manual. Se pierde el contexto entre plataformas.
Muchos CISO describen ahora una brecha de visibilidad definida por la incapacidad de traducir la información en decisiones defendibles, especialmente a nivel directivo.
La seguridad híbrida fracasa cuando las organizaciones dan por sentado que los modelos existentes se adaptarán sin cambios.
Las organizaciones que gestionan eficazmente el riesgo híbrido suelen compartir rasgos comunes:
Se trata de decisiones de liderazgo y de modelo operativo antes que de decisiones técnicas.
También ponen de manifiesto las suposiciones de seguridad obsoletas más rápidamente que cualquier arquitectura anterior. Investigaciones recientes destacan que los resultados dependen cada vez más de la claridad del modelo operativo, la responsabilidad y la capacidad de actuar con decisión en entornos complejos.
Los CISO que tienen éxito replantean cómo funcionan la confianza, la identidad y la responsabilidad en los distintos entornos.
Los entornos híbridos no debilitan la seguridad.
Las suposiciones incuestionables sí lo hacen.