El principio rector de confianza cero—“nunca confíes, siempre verifica”—se ha convertido en una práctica esencial para asegurar las redes en la nube complejas y diversas de hoy en día. No hace mucho tiempo, podías cerrar con llave la puerta principal de tu empresa, confiado de que toda tu información valiosa estaba segura dentro de esas paredes. Luego llegaron las laptops, los discos y las memorias USB, y de vez en cuando se escuchaba una historia sobre alguien que dejaba secretos de estado en un tren en algún lugar. Hoy, los datos de su empresa están disponibles potencialmente en cualquier lugar donde haya conectividad. Y con el aumento sin precedentes de las fuerzas laborales remotas y distribuidas, ese "en cualquier lugar" puede literalmente ser "en cualquier lugar del mundo".

Hoy en día, las mejores soluciones de software funcionan en la nube, por no hablar de los millones de dispositivos y activos conectados en las redes industrial IoT del mundo. Y aunque las aplicaciones en la nube no suelen ser menos seguras que las locales, de hecho, todo lo contrario, existen nuevos riesgos en el mundo conectado de hoy. Las tecnologías digitales y en la nube han ampliado lo que los expertos en seguridad llaman la superficie de ataque de cada organización.

Los protocolos tradicionales de ciberseguridad se modelaron en la idea de que los usuarios pasaran por la seguridad en la puerta virtual de la empresa y luego tuvieran libertad de movimiento una vez dentro. En otras palabras, fueron desarrollados en un mundo anterior a la nube. Pero ahora hay más puntos de acceso: el teléfono personal de un empleado o una impresora IoT podrían ser un portal potencial, y las empresas han tenido que reforzar sus estrategias de seguridad. Con ciberataques en un nivel récord, la seguridad de la red debería estar en una posición prioritaria en la parte superior de su lista de tareas. La implementación de confianza cero requiere compromiso y colaboración en toda su empresa.

Confianza cero: Definición y estrategia

John Kindervag estaba trabajando como analista en Forrester Research en 2010, en un momento en que las aplicaciones en la nube y los dispositivos IoT comenzaban su rápido ascenso. Kindervag reconoció correctamente la enorme sensibilidad y valor de los datos y la propiedad intelectual que se encuentran dentro de los sistemas de Forrester. En respuesta a este creciente riesgo, acuñó el término confianza cero y lideró el desarrollo de muchos de sus principios fundamentales.

La confianza cero se puede definir como un modelo de seguridad de TI que requiere que cada usuario y dispositivo potencialmente conectado verifique estrictamente su identidad, ya sea que estén dentro o fuera de los perímetros de la empresa. La arquitectura de confianza cero (ZTA) se basa en un conjunto de procesos y protocolos, así como en soluciones y herramientas digitales dedicadas para lograr el éxito.

El acceso a la red de confianza cero (ZTNA) es la aplicación de la arquitectura de confianza cero que Gartner define como la creación de “un límite de acceso lógico basado en identidad y contexto alrededor de una aplicación o conjunto de aplicaciones.” Esto elimina estas aplicaciones de la vista pública y permite el acceso solo a aquellos usuarios que están verificados y que cumplen con las políticas de acceso preespecificadas.

Pero en realidad, la confianza cero comienza como una transformación cultural dentro de su organización. Tendemos a pensar en ciberseguridad en términos de actores malintencionados que se esfuerzan intencionalmente por causar daño, pero desafortunadamente, a menudo es la ignorancia más que la malevolencia lo que lleva al riesgo y la pérdida. De hecho, un informe reciente muestra un aumento del 48% en los ataques de correo electrónico solo en la primera mitad de 2022, en los que los empleados fueron atraídos a estafas o divulgaron detalles como resultado de phishing. Esto ilustra por qué la educación y la aceptación cultural son componentes tan críticos de la implementación de confianza cero.

¿Por qué son tan necesarios los principios de confianza cero en este momento?

Hay pocas dudas de que los ciberataques están en aumento. En 2022, se realizó una encuesta importante que involucró a 1,200 grandes organizaciones en 14 sectores diferentes y 16 países. A pesar de priorizar la ciberseguridad, muchos de los encuestados admitieron tener una seguridad inadecuada. De hecho, los hallazgos mostraron un alarmante aumento del 20.5% en el número de incumplimientos materiales en los meses entre 2020 y 2021.

Los siguientes son algunos de los otros desafíos de seguridad que enfrentan las empresas hoy en día:

• Cortafuegos heredados. Muchas empresas dependen excesivamente de los cortafuegos que preceden a la proliferación de la conectividad en la nube. Las VPN son un parche viable para aumentar los cortafuegos, pero no son una solución efectiva a largo plazo debido a su alcance limitado y su tendencia a ralentizar el rendimiento de las aplicaciones empresariales, lo que a su vez afecta la productividad de los empleados.
• Complejidad de verificación. El software independiente del dispositivo es excelente para los usuarios, pero agrega una capa compleja a los protocolos de seguridad. Incluso cuando los usuarios tienen teléfonos y portátiles de la empresa, solo están tan seguros como los protocolos de verificación y seguridad que están en su lugar para protegerlos.
• Dispositivos de terceros. Con la pandemia, fuerzas laborales enteras fueron enviadas a trabajar desde casa, casi de la noche a la mañana. Muchas empresas no tuvieron más remedio que dejar que los empleados usaran sus propias computadoras y dispositivos. En muchos casos, se establecieron soluciones alternativas de seguridad para mantener el negocio en funcionamiento y las luces encendidas. Pero para muchas empresas, aún tienen que desentrañar estas medidas temporales e implementar medidas de confianza cero más a prueba de balas para sus trabajadores remotos.
• Aplicaciones no autorizadas. El uso de aplicaciones empresariales SaaS está en una trayectoria ascendente constante. Desafortunadamente, muchos equipos de TI están muy ocupados, lo que a menudo lleva a los usuarios a comprar sus propias aplicaciones y usarlas dentro de la red de la empresa, sin informar a sus equipos de TI. No solo estas aplicaciones no están sujetas a estrictas prácticas de confianza cero, sino que también pueden haber eludido las medidas de seguridad por completo.

• Conectividad IoT. Un dispositivo IoT industrial puede ser tan simple como un ventilador o una máquina de soldadura. Debido a que estos dispositivos no se consideran un "computador" de ningún tipo, los usuarios pueden olvidar fácilmente que son un posible punto de acceso a la red de la empresa. La arquitectura de confianza cero implementa automatizaciones y procesos que garantizan la seguridad de todos los puntos finales, máquinas y activos de IoT.
• Portales omnicanal. Los empleados no son los únicos en la nube de tu negocio. Cada vez más, estamos viendo dispositivos conectados como estantes inteligentes en las tiendas y aplicaciones móviles de "pago en cualquier lugar". Cualquiera de estos portales omnicanal representa un riesgo. La confianza cero ayuda a asegurar esos riesgos sin inconvenientes indebidos ni retrasos para sus clientes.
• Desafíos de seguridad del ERP. En años pasados, los sistemas ERP estaban limitados a ciertas tareas de planificación y finanzas y tenían un conjunto limitado de usuarios dentro del negocio. Los mejores sistemas ERP en la nube de hoy, sin embargo, están impulsados por IA, análisis avanzados y bases de datos potentes y escalables. Tienen la capacidad de integrarse con aplicaciones y sistemas dispares en toda la empresa y cada vez se utilizan más para optimizar y agilizar cada área operativa. Los sistemas ERP modernos tienen sistemas de seguridad avanzados integrados, pero como cualquier sistema, tienen vulnerabilidades que solo se agravan con un mayor alcance y accesibilidad. Los principios de confianza cero, cuando se aplican a una fuerte seguridad ERP en la nube, ayudan a proteger su negocio en cada etapa.

¿Cómo funciona la confianza cero?

La confianza cero combina un conjunto de tecnologías y protocolos como la autenticación multifactor, soluciones de seguridad de puntos finales y herramientas basadas en la nube para monitorear y verificar una variedad de atributos e identidades, desde usuarios hasta puntos finales. La confianza cero también requiere la encriptación de datos, correos electrónicos y cargas de trabajo para garantizar su seguridad. Esencialmente, los protocolos de confianza cero:

• Controle y limite el acceso a la red desde cualquier persona, en cualquier lugar, a través de cualquier dispositivo o activo
• Verifique cualquier usuario o activo que tenga o pueda tener acceso a cualquier nivel de la red
• Registrar e inspeccionar todo el tráfico de red en tiempo real

Un modelo de seguridad de confianza cero utiliza una política de necesidad de saber. Esencialmente, esto significa que los usuarios solo tienen acceso a los datos y aplicaciones que necesitan para realizar sus trabajos. Y una vez más, la tecnología es la espada de doble filo en la carrera por una mejor ciberseguridad. A medida que las soluciones digitales y la conectividad mejoran, crean una superficie de ataque más grande, por lo que se requieren tecnologías de seguridad mejores y más rápidas para mantenerse al día. Y no solo mantenerse al día, sino también causar inconvenientes y interrupciones mínimas para el usuario. Esto requiere políticas de seguridad altamente ágiles y dinámicas, respaldadas por información contextual y la máxima cantidad de puntos de datos disponibles, y en tiempo real. ¿Quién es esta persona? ¿Dónde están? ¿Qué están tratando de acceder? ¿Por qué necesitan ese acceso? ¿En qué dispositivo o punto final están entrando?

Beneficios de las soluciones de confianza cero

En su forma más grave, las violaciones de datos pueden ser catastróficas. Los datos privados de sus clientes están en riesgo, al igual que sus finanzas, su propiedad intelectual y, por supuesto, su buena reputación. Al igual que el seguro, las inversiones en seguridad pueden parecer un gran gasto… hasta que las necesitas. Y luego parecen un pequeño precio a pagar para proteger su negocio.

Algunos de los muchos beneficios de las soluciones de confianza cero incluyen:

• Protegiendo fuerzas laborales híbridas y remotas. Hemos discutido cómo los trabajadores remotos y los dispositivos personales han elevado el nivel de ciberseguridad. Pero no es solo su empresa la que está en riesgo. Los ciberdelincuentes pueden atacar a sus empleados personalmente, por lo que es importante asegurarse de que se implementen medidas estrictas para reducir su riesgo y el suyo.
• Apoyando la agilidad y nuevos modelos de negocio. Para competir y gestionar la disrupción, las empresas deben ser capaces de cambiar de dirección y explorar nuevos modelos de negocio. Esto significa incorporar nuevas aplicaciones, software y activos conectados. Garantizar la seguridad bajo estas circunstancias es una tarea desalentadora si se maneja manualmente. Afortunadamente, las mejores herramientas de software de confianza cero pueden acelerar las cosas con automatización inteligente y soluciones personalizables que aseguran que se tomen todos los pasos cruciales.
• Reducción de gastos en recursos de TI. Pregunte a cualquier profesional de TI cuánto tiempo dedican a tareas de seguridad manuales: la respuesta probablemente sea "demasiado". A medida que las empresas trasladan sus sistemas empresariales centrales a la nube, los parches de seguridad y las actualizaciones pueden automatizarse y realizarse en segundo plano. Esto también se aplica a los protocolos de seguridad de confianza cero. Desde los usuarios hasta los puntos finales, muchas de las tareas principales de cifrado y verificación asociadas con la confianza cero pueden ser automatizadas y programadas.
• Proporcionando un inventario preciso. Los principios de confianza cero requieren que la empresa mantenga un inventario preciso de todos los activos, usuarios, dispositivos, aplicaciones y recursos conectados. Con las soluciones adecuadas en su lugar, las actualizaciones de inventario se pueden configurar para actualizarse automáticamente, asegurando precisión en tiempo real. En caso de un intento de violación, esta es una herramienta de investigación invaluable. Además, las empresas a menudo tienen millones invertidos en activos desviados, por lo que un inventario preciso también es un beneficio financiero.
• Ofreciendo una mejor experiencia de usuario. Los procesos de verificación tradicionales podrían ser lentos y difíciles de gestionar. Esto llevó a los usuarios a intentar eludir los protocolos de seguridad, o incluso evitar el uso de herramientas y aplicaciones esenciales debido a que eran difíciles de usar. Las mejores soluciones de confianza cero están diseñadas para ser no intrusivas y receptivas, liberando a los empleados de la molestia de inventar (y luego olvidar) contraseñas, y procesos de verificación lentos para responder.

Mejores prácticas de confianza cero: Cómo empezar

Hay varias tareas que necesitarás realizar una vez que tu transformación de confianza cero haya comenzado. Esto incluye catalogar sus activos, definir segmentos dentro de su organización y clasificar sus datos para una transición más fluida.

La confianza cero comienza con un compromiso y los siguientes pasos pueden ayudarte a comenzar:

• Delegar. Tu equipo de TI ya está demasiado ocupado. Considere traer o nombrar a un profesional dedicado a la gestión del cambio en ciberseguridad que pueda ayudarle a mitigar riesgos, identificar oportunidades de mejora y construir una hoja de ruta viable.
• Comunicar. Seamos realistas, sus empleados no van a estar inmediatamente emocionados por las noticias de medidas de seguridad más estrictas. A medida que invierte en una mejor seguridad, también debe invertir en mensajes y comunicación más atractivos en torno a esta transformación. Hay muchos ejemplos del mundo real sobre los peligros del cibercrimen. Ayude a sus equipos a entender que no solo la alta dirección se ve afectada por una violación de datos: cuesta empleos, afecta a individuos y amenaza la supervivencia de la empresa.
• Auditoría. Trabajando con un especialista en seguridad, establezca una lista de verificación de riesgos de seguridad y audite cada área del negocio. Rompe barreras y conéctate con especialistas en la materia de todo tu equipo. Ellos saben mejor que nadie dónde están las debilidades y vulnerabilidades en sus áreas, especialmente en operaciones complejas y globales como las cadenas de suministro y la logística.
• Priorizar. Determine la importancia relativa y la urgencia de todas sus operaciones y tareas empresariales y asigne una calificación. Determine una evaluación basada en roles de quién necesita críticamente acceso a las cosas y quién menos. Esta priorización inicial también te ayudará a prepararte para la microsegmentación, que es un componente fundamental de la confianza cero, previniendo el movimiento lateral y su exposición asociada a las violaciones de datos.

En el mundo actual de eufemismos y lenguaje cuidadoso, la confianza cero puede parecerle a sus empleados un término algo cínico. Así que, anticípate a eso cuando introduzcas confianza cero a tus equipos. Diles desde el principio que esto de ninguna manera significa que no confías en ellos. Son los ciberdelincuentes en quienes nadie debería confiar—porque pueden hacer que las cosas parezcan algo que no son. Pueden colarse por los huecos más pequeños y una vez que están dentro, no les importa a quién dañen.