Nataraj Nagaratnam, miembro de IBM y CTO de seguridad en la nube, ha sido con el proveedor durante casi 25 años. La seguridad ha sido su fuerte durante todo este tiempo, ya sea seguridad en la nube, seguridad en la nube híbrida o estrategia tecnológica.
El interés de Nataraj por la seguridad comenzó cuando estaba estudiando para obtener su maestría y doctorado. “Un buen, buen día, mi profesor entra y dice que habrá algo nuevo, llamado Java”, recuerda. “Él ya estaba trabajando con el equipo central de ingeniería de Java, que creó Java en ese momento. Intrigado, comencé a trabajar en los aspectos de seguridad de Java y luego mi doctorado fue en seguridad en sistemas distribuidos”.
Después de sus estudios, cuando Nataraj buscaba nuevos desafíos, IBM se acercó a él con la oportunidad de ayudar a dar forma al futuro de la seguridad. Justo cuando Internet iba a cambiar el mundo y la forma en que se realizaban los negocios, IBM le ofreció la oportunidad de desarrollar sistemas para que las empresas pudieran operar de forma segura a través de Internet.
La oferta de IBM de liderar la seguridad web empresarial para los productos de IBM atrajo al joven Nataraj, ya que las nuevas tecnologías prometían ser disruptivas para los mercados y habilitantes para el mundo. “Aproveché la oportunidad. Y, como dicen, el resto es historia”, dice. “Tuve la suerte de ser parte del camino, con WebSphere dando forma a la industria y trabajando con la industria en las especificaciones de seguridad estándar, como la seguridad de los servicios web”.
El ascenso de la nube
La tecnología, especialmente la TI empresarial, se ha expandido enormemente a lo largo de la carrera de Nataraj. Si bien esto ha creado oportunidades para soluciones empresariales, también conlleva ciertos riesgos. “En la historia de la informática, hay tres capítulos principales: los mainframes, luego la web y ahora está la nube”, dice Nataraj. “Este es un momento decisivo en todo el espacio de TI, y tengo la suerte de definir y liderar el trabajo de seguridad de la web a la nube”.
Confiar en datos y servicios en la nube puede ser un desafío, ya que las organizaciones deben asegurarse de que los datos sigan siendo compartibles entre redes, al tiempo que cuentan con suficientes protecciones para garantizar que los datos sean confidenciales y estén protegidos. Este es especialmente el caso de las industrias fuertemente reguladas, como los sectores de defensa, salud y finanzas. Este se ha convertido en un momento decisivo para dichas industrias, que están preocupadas por el riesgo, la seguridad y el cumplimiento.
En lugar de confiar en el término subjetivo de “confianza”, que implica que uno puede tener fe o confiar en alguien o algo, Nataraj prefiere usar “seguridad técnica”. La garantía técnica demuestra que se han puesto en marcha procesos tecnológicos y humanos para garantizar la protección de los datos.
Parte de esto es garantizar que la administración de identidades y accesos (IAM) se aborde de manera uniforme en todas las plataformas en la nube de la organización, desde sus capacidades de almacenamiento en la nube hasta sus servicios locales. Dado que nunca hay dos plataformas en la nube iguales, esto puede complicar las cosas, ya que normalmente se usa más de una plataforma.
Desafíos en la nube
La rápida expansión del sector tecnológico significa que existe una creciente brecha en las habilidades de seguridad, que debe abordarse. Esto ha dejado a las organizaciones luchando por cumplir roles de vital importancia y en su lugar dependen de contratistas externos. Esto agrega costos adicionales, especialmente si se requiere una cantidad significativa de trabajo, ya que los contratistas son costosos para proyectos a largo plazo.
Para abordar estas preocupaciones, las organizaciones recurren a las herramientas de IAM para que actúen como una superposición en su infraestructura de nube existente. “Si estandarizamos la gestión de acceso y la superposición de seguridad, y los habilitamos con automatización y monitoreo continuo, podemos resolver problemas complejos”, dice Nataraj. “Adoptar un enfoque de multinube híbrida con automatización de la seguridad y el cumplimiento aborda esto con consistencia y monitoreo continuo”.
Protección de datos e intercambio de información
La política gubernamental también está evolucionando, ya que los reguladores se vuelven cada vez más conscientes de la tecnología, con demandas adicionales sobre la protección de datos cuando se comparten datos entre regiones. Sin embargo, ha habido una mayor colaboración entre los países a este respecto. Por ejemplo, el Reglamento General de Protección de Datos (GDPR) de la Unión Europea (UE) se ha convertido efectivamente en un estándar global de facto para la protección de datos, ya que los países se dan cuenta de que el comercio depende de un flujo de datos sin obstáculos.
“Los legisladores y los reguladores están comenzando a comprender el impacto de la tecnología y que las políticas y los estándares deben evolucionar de manera que se adapten a esas tecnologías, al mismo tiempo que brindan un nivel de riesgo y cumplimiento normativo. La estandarización debe suceder”
Nataraj Nagaratnam, IBM
“Las leyes, los reglamentos y las políticas se están volviendo mucho más conscientes de la tecnología”, dice Nataraj. “Los legisladores y los reguladores están comenzando a comprender el impacto de la tecnología y que las políticas y los estándares deben evolucionar de manera que se adapten a esas tecnologías, al mismo tiempo que brindan un nivel de riesgo y cumplimiento normativo. La estandarización debe ocurrir, en lugar de que cada país tenga sus propios requisitos reglamentarios, porque eso tendrá su propia complejidad”.
Dado que el intercambio de información entre diferentes países depende de los acuerdos de intercambio de datos, las organizaciones están buscando enfoques que les permitan cumplir con los requisitos normativos y técnicos.
“Hace unas semanas, cuando estaba en India, hablamos sobre esta noción de embajadas de datos: el concepto fundamental es que si ejecuta servicios dentro de estos centros de datos y proveedores de servicios, obtiene inmunidad de ciertas leyes”, dice Nataraj. “Un país puede tener una embajada de datos en un país y, en reciprocidad, puede tener una embajada de datos en su país. Están surgiendo ideas innovadoras y creativas en diferentes partes del mundo. Eso es un reflejo de una política y un enfoque práctico para resolver este problema de intercambio de datos, y eso va a evolucionar”.
Estas embajadas de datos son similares al Proyecto Texas propuesto por TikTok, en el que la plataforma de redes sociales almacenaría todos los datos en los EE. UU. bajo la supervisión de la firma estadounidense Oracle. Estas embajadas de datos podrían convertirse en organizaciones independientes de terceros.
El riesgo de la computación cuántica
Una de las preocupaciones futuras más importantes que enfrentan las organizaciones que dependen de los servicios en la nube será el riesgo que representa la computación cuántica, que podría alterar la seguridad del cifrado. Confiar en las tecnologías de cifrado existentes no es una opción, ya que las velocidades de procesamiento que ofrecen las computadoras cuánticas les permitirían descifrar rápidamente, especialmente porque ciertos algoritmos de clave pública han demostrado ser susceptibles a los ataques de computadoras cuánticas.
La tecnología de infraestructura de clave pública (PKI) más común utilizada en todo el mundo es la seguridad de la capa de transporte (TLS), que protege los datos en tránsito. Como tal, ese debe considerarse el mayor riesgo, porque si los datos se capturan en tránsito hoy, el cifrado podría romperse dentro de cinco años, si la computación cuántica está disponible comercialmente. Como tal, debemos repensar la forma en que abordamos la nube híbrida, la conectividad segura y TLS.
“Cuando se trata de seguridad cuántica, creo que lo primero que hay que arreglar es la conectividad. Hace dos años, introdujimos soporte para algoritmos seguros cuánticos en la nube de IBM”, dice Nataraj. “Cuando realiza transacciones de aplicaciones por cable, ese enlace puede ser cuántico seguro. Te preparas para la amenaza. Esa tiene que ser una de las primeras cosas, cuando se trata de seguridad en la nube, en lo que uno debe trabajar”.
Con los crecientes niveles de funcionalidad que ofrecen la inteligencia artificial (AI) y el aprendizaje automático (ML), la automatización se convertirá en una parte cada vez mayor de la postura de seguridad de una organización. El monitoreo automatizado de la postura de seguridad y cumplimiento permite una seguridad continua.
Además, la implementación de la seguridad se automatizará, cerrando así la brecha entre los CISO y los CIO y los equipos de TI. Esto garantizará que todos sean coherentes entre sí y estén alineados con los requisitos globales de seguridad y cumplimiento de la organización.
“Hay más por hacer en seguridad y cumplimiento continuos infundidos con automatización, y cómo cambiamos de una arquitectura de referencia que puede estar en un diagrama de Visio a algo prescriptivo, implementable y automatizado”, dice Nataraj.
Preparándonos para el futuro
Es probable que aumenten las preocupaciones en torno a la soberanía de los datos y la residencia de la privacidad de los datos, dado el cumplimiento normativo y los aspectos geopolíticos del manejo de los datos. Como tal, habrá una necesidad de controles y tecnologías más demostrables que puedan ayudar a proteger los datos y la privacidad, que se infundirán con la informática confidencial.
“Las aplicaciones de la informática confidencial todavía están en pañales y queda mucho por hacer, porque no es solo una tecnología, sino sus casos de uso en la IA confidencial”, dice Nataraj. “IBM ha aprovechado la tecnología informática confidencial para permitir casos de uso de enfoque único en torno a la gestión de claves de cifrado llamados Keep Your Own Key, donde un cliente tiene la garantía técnica de que solo él tiene acceso a las claves, donde las claves están protegidas dentro del hardware y dentro de enclaves seguros. . Esto ahora se extiende a la gestión de claves de múltiples nubes híbridas a través de Unified Key”.
El sector de TI está experimentando un cambio fundamental, ya que se transforma de un modelo basado en la web a uno que depende de los servicios en la nube. Esto se ve agravado por los problemas tecnológicos y regulatorios que están saliendo a la luz. Un sistema multinube puede mejorar la adaptabilidad a las tendencias cambiantes del mercado, pero esto presenta ciertos desafíos. La automatización de las políticas de gestión de red permite compartir información de forma rápida y eficaz dentro de las redes, independientemente de la ubicación, al tiempo que garantiza que se mantenga el cumplimiento normativo cambiante.
“Podemos ayudar a la industria, los gobiernos y otros a avanzar”, concluye Nataraj. “Colaboraremos con los gobiernos y sus políticas para que eso suceda”.