Se avecinan nuevas regulaciones: controle su cartera de aplicaciones



Oleoducto Colonial. Vientos solares. Cientos de millones desaparecieron del sistema de desempleo del estado de Washington. El año pasado ha traído un ajuste de cuentas sobre la tremenda importancia de la seguridad de las aplicaciones y la ciberseguridad en standard.

Estos ataques de alto perfil han elevado el tema en nuestro diálogo político nacional e internacional. Nos hemos acostumbrado a los ataques como un curso de negocios sujeto a un análisis de costo-beneficio y mitigación de riesgos. Pero ahora son objeto de una orden ejecutiva presidencial y, según se informa, fueron un tema planteado durante la cumbre entre Estados Unidos y Rusia de junio de 2021 en Ginebra.

Para aquellos de nosotros en la industria, esta creciente conciencia mundial sobre la gravedad y la amplitud de las amenazas a las que nos enfrentamos parece que ha tardado mucho en llegar. Y ahora parece que estamos en un punto de inflexión en el que los gobiernos se están involucrando mucho más.

Como parte de eso, veremos un aumento de las solicitudes de legislación y regulaciones sobre las medidas cibernéticas que las empresas deben tomar. Los gobiernos tendrán una mano más fuerte no solo para establecer, sino también para hacer cumplir el estándar de lo que las empresas públicas y privadas deben hacer para mantener la seguridad de sus entornos de aplicaciones.

Esto puede conducir a un progreso authentic. Considere las regulaciones que ayudan a garantizar la salud pública en muchas otras industrias. Si dirige un restaurante, por ejemplo, debe cumplir con un cierto estándar de higiene. De manera similar, estamos al borde de un mundo en el que las empresas con aplicaciones que realizan transacciones de valor o respaldan la infraestructura crítica estarán sujetas a un conjunto de requisitos de seguridad obligatorios para permanecer en el negocio.

En este entorno, las soluciones tecnológicas como firewalls de aplicaciones website, seguridad API, anti-bot y anti-denegación de servicio serán necesidades fundamentales para mantener un entorno limpio de ciberseguridad.

Y estas soluciones de seguridad no solo serán para las aplicaciones más importantes, sino para todas ellas. Después de todo, es tan seguro como su aplicación o API más débil. Si un atacante puede ingresar a una pink o infraestructura a través de algo que no está protegido, entonces todo lo demás en esa misma pink o infraestructura también está en riesgo. Los recientes ataques a la cadena de suministro de software package han demostrado cómo una vulnerabilidad en una organización o sistema puede afectar a muchas otras en sentido descendente.

Este proceso de creación de higiene cibernética en todo el panorama de aplicaciones planteará algunos desafíos distintos para los clientes, especialmente aquellos con carteras de aplicaciones grandes o heredadas. Una venta difícil será la necesidad de mantener los sistemas actualizados, y un gran desafío logístico será mapear ecosistemas de aplicaciones completos no solo en ubicaciones y sistemas dispares, sino a menudo a lo largo de décadas de inversiones en tecnología.

Después de realizar inversiones sustanciales en infraestructura física, las empresas quieren sacar el máximo partido posible de esos activos antes de retirarlos. Pueden ser reacios a actualizar el software package y los servicios porque esas versiones más nuevas se ejecutarán más lentamente en equipos más antiguos.

Esto se conoce comúnmente como «sudar los activos». Es como intentar conducir esos últimos kilómetros con un tanque de gasolina vacío. Pero como cualquier experto en informática puede decirle, si quiere hacer las cosas, no intente ejecutar Mac OS Catalina en una iMac 1998, o Home windows 11 en una Dell Latitude 2003.

Los clientes necesitarán ayuda para afrontar este desafío. Desde los albores de la tecnología empresarial, los avances se han vinculado a las innovaciones en las pilas de tecnología. Pasó de mainframes a un modelo cliente-servidor, de aplicaciones de tres niveles a microservicios, de sistemas locales a la nube pública. Cada innovación que se presenta introduce una nueva arquitectura vertical y una pila de tecnología para admitir y ejecutar aplicaciones.

Pero la desafortunada realidad es que la mayoría de los clientes nunca pueden mover completamente todas sus cosas a la siguiente pila nueva. La mayoría de las empresas se ocupan de múltiples pilas. Y, en última instancia, cada pila se convierte en un legado después de un tiempo.

Para solucionar esto, el paradigma debe cambiar. Necesitamos un nuevo modelo en el que las personas puedan gestionar un entorno de aplicaciones de forma eficaz sin importar la combinación de tecnologías que tengan.

El otro gran desafío al que se enfrentarán los clientes es obtener mucha más claridad sobre todas las aplicaciones que tienen en su ecosistema. ¿Dónde se alojan esas aplicaciones o API? ¿Qué usuarios finales, humanos o máquinas, tienen acceso? ¿Qué datos se pueden acceder o manipular? ¿Cómo están protegidos de los ataques a su confidencialidad, integridad y disponibilidad? Las empresas deben poder mapear todas sus aplicaciones y API, lo que están haciendo y cómo están protegidas.

En la orden ejecutiva de la administración Biden en mayo, la modernización de los sistemas fue expresamente señalada como un imperativo para las agencias federales. Puede que no pase mucho tiempo antes de que se emita un mandato identical para el sector privado, especialmente para las industrias que tocan la infraestructura crítica. Es posible que sudar los activos ya no sea una opción para muchas organizaciones. Para otros, es posible que pronto estén disponibles soluciones que envuelvan nuevas protecciones en sistemas más antiguos. Y al darse cuenta de que cualquier aplicación podría potencialmente ser una puerta de entrada para un ataque mayor, habrá más presión que nunca para que las empresas mapeen, comprendan y protejan por completo su panorama de aplicaciones.

Las empresas de todas las industrias deberían pensar en estos importantes temas ahora, antes de verse obligadas por la regulación y la legislación.



Enlace a la noticia unique