Por Jimmy Nilsson
Hoy día, una conversación sobre ciberseguridad se convierte, en la mayoría de los casos, en una conversación sobre confianza cero. Lo que impulsa esta tendencia son los numerosos desafíos que implica adaptarse a la nueva normalidad, desde una fuerza laboral cada vez más descentralizada hasta la creciente amenaza que entrañan las filtraciones de datos.
Aunque la confianza cero pueda parecer solo otra palabra de moda, cuando la estrategia se implementa correctamente, puede equipar a su empresa con una estrategia defensiva extraordinaria que brinda protección adaptativa según los riesgos en toda su operación. También conocido como «denegación por defecto» o «nunca confiar, siempre verificar», la confianza cero desconfía sistemáticamente de cualquier tráfico.
Más allá de los beneficios obvios de este enfoque, como la reducción del riesgo de ciberataques, mejor protección de los datos, aumento de la conformidad y otros, la confianza cero puede cambiar y mejorar cómo aborda su empresa la seguridad en su conjunto. También puede generar nuevas oportunidades de negocio y beneficios.
Actualmente, existe una amplia implementación de modelos de confianza cero tanto en los gobiernos como en la industria, así como una amplia intención de adopción. La aceptación general de la confianza cero como una nueva práctica líder se deriva del entendimiento de que las violaciones de seguridad son inevitables, una cuestión de cuándo sucederán y no de si sucederán.
Las razones para la adopción generalizada de la confianza cero no son ningún misterio. La confianza cero es un modelo potente para ayudar a evitar pérdidas económicas. Todos somos conscientes de lo costosa que resulta una sola brecha de seguridad, con un coste promedio de 9,4 millones de USD en los EE. UU. y de 4,4 millones de USD en todo el mundo tan solo en 2022.1
Kyndryl está convencida de que, si se implementa correctamente, la confianza cero puede ayudar a las empresas a mejorar la ciberseguridad, la experiencia del usuario y la productividad, al tiempo que reduce el riesgo de daños y pérdidas. Hay tres ideas clave que cualquier empresa debe tener en cuenta en relación con la confianza cero.
1. Cambia de perspectiva
El mejor lugar para empezar es aclarar a todos los interesados qué no es la confianza cero. No es, por ejemplo, una directiva ni un producto fijo. Y tampoco es una herramienta dedicada al posicionamiento de un stack tecnológico. Las soluciones tecnológicas, de hecho, solo representan una pequeña parte de la confianza cero.
¿Qué sí es la confianza cero? Se trata de un cambio del esquema mental. Históricamente, las operaciones de seguridad estaban muy fragmentadas, con un departamento encargado de la verificación de la identidad, otro de la seguridad de los terminales, otro de los cortafuegos, etc. Sin embargo, la confianza cero es un modelo para toda la empresa que se basa en cinco pilares:
- Identidad
- Dispositivo
- Red
- Aplicación
- Datos
Para que una política de confianza cero funcione, los departamentos que gestionan estos pilares deben colaborar entre ellos y tejer una red de defensa cohesiva y colaborativa. Si bien a lo largo de los años hemos perfeccionado un enfoque basado en arquitecturas de seguridad mediante defensa en profundidad compartimentadas, la confianza cero requiere ahora centrarse en arquitecturas de seguridad mediante defensa en profundidad interconectadas.
Para realizar este cambio, debemos revisar detenidamente:
- Cómo abordamos la seguridad
- Cómo invertimos en seguridad
- Cómo implementamos un enfoque colaborativo a través de los cinco pilares de la confianza cero
Ejemplo de acceso remoto
Veamos un caso de uso sobre el acceso remoto. Es un lunes por la mañana y un empleado remoto está conectándose a la red de su empresa de Nueva York desde la mesa de la cocina en Denver. Una vez iniciada la sesión, su primera tarea del día es echar un vistazo a los archivos en una carpeta almacenada en nube de su organización.
En un sistema perimetral tradicional, la ubicación del empleado o una simple autenticación de dos factores a menudo resulta suficiente para entrar y obtener acceso significativo a la red de la empresa. Como este empleado no está en la oficina, puede realizarse una sencilla autenticación de dos factores, en lugar de una verificación basada en la ubicación.
El problema es que, si intenta iniciar sesión de nuevo con esas mismas credenciales solo una hora después desde Dublín (Irlanda), volverá a obtener acceso, siempre que se reproduzcan con precisión las condiciones de la autenticación de dos factores. Pero con la confianza cero, el acceso no se otorgaría automáticamente.
Cómo mejoraría el escenario la confianza cero
Con la confianza cero, cada intento de acceso remoto se analiza más allá de las simples credenciales o la ubicación. El modelo de confianza cero requiere que se diseñen e implementen varias tecnologías de defensa en conjunto a través de esos pilares de seguridad, para tomar decisiones no basadas en una política de seguridad estática, sino en la información obtenida de tantas fuentes como sea posible.
En nuestro ejemplo del acceso remoto, cuando el empleado hace clic en su usuario y navega hasta una carpeta específica, la arquitectura de confianza cero podría empezar por analizar la identidad del empleado, así como la seguridad de su dispositivo. La arquitectura de confianza cero pregunta:
- ¿Es un dispositivo corporativo?
- ¿Tiene todos los parches y actualizaciones?
- ¿Tiene los controles de seguridad adecuados, desde el punto de vista de la identidad?
- ¿Esta identidad se ha utilizado en otro lugar al mismo tiempo o recientemente?
- ¿Cómo puede optimizar los análisis de datos para determinar si tráfico de este usuario es típico o no?
Este ecosistema de confianza cero también analizará la propia carga de trabajo:
- ¿El recurso al que el usuario intenta acceder tiene alguna vulnerabilidad conocida?
- Si efectivamente se detecta una amenaza, ¿cómo está programado el sistema para responder?
- ¿Debe cerrarse el tráfico totalmente o puede reducirse simplemente el acceso, sin correr el riesgo de que se propague la amenaza?
Incluso si no se detectan amenazas activas, la confianza cero exige vigilancia continua. Pregunta: ¿Existen amenazas de seguridad generalizadas que la organización deba conocer y vigilar? Y además: ¿Todos estos procesos cumplen con los últimos requisitos y regulaciones del sector?
Solo después de la tecnología y los procesos en vigor hayan formulado y verificado todas estas preguntas, en todos los pilares de seguridad, el empleado obtiene acceso al archivo que necesita. Eso es la confianza cero en acción.
2. Aborde la confianza cero en fases
Honestamente, creemos que las empresas que saltan de cabeza a las estrategias de confianza cero en toda la empresa están destinadas al fracaso. La implementación del modelo de confianza cero debe ser un proceso continuo abordado en fases. Por este motivo, el lugar óptimo para empezar a implementar la confianza cero es diferente para cada empresa.
Sin embargo, en términos del proceso, el primer paso sigue siendo el mismo: determinar sus prioridades. Defina qué es lo más importante para su compañía, desde el punto de vista del riesgo. Este es un punto de inicio fundamental y clave para el éxito de cualquier estrategia de confianza cero.
Por ejemplo, ¿su empresa está a punto de abordar una transformación tecnológica significativa? ¿Tiene un sistema de TI repleto de procesos de negocio críticos y datos confidenciales que pueden ser vulnerables a una violación de seguridad? Después, aplique ese conocimiento y disfrute de los beneficios. A partir de ahí, puede tomar impulso y seguir desarrollando un plan de implementación personalizado que tenga sentido solo para su empresa.
La confianza cero es un proceso sin un punto final específico. La implementación es una cuestión de años, no de meses, por lo que es importante mantenerse centrado en los beneficios reales y tangibles de esta estrategia. Por eso, también animamos a nuestros clientes a aprovechar las oportunidades de nuevo negocio.
3. Aprovechar las oportunidades de nuevo negocio
Cuando haya ayudado a su empresa a comprender la confianza cero e iniciado un enfoque de implementación estratégica, habrá concluido las partes más difíciles. Ahora, es el momento de disfrutar lo que ofrece esta estrategia.
En primer lugar, la confianza cero abre nuevas oportunidades. Permite a su equipo hacer negocios de formas nuevas y más seguras, y preparar las operaciones para el futuro a fin de protegerse mejor contra métodos de piratería cada vez más sofisticados.
Aquí tiene un ejemplo: la computación perimetral. Muchas empresas han adoptado soluciones de última generación para desarrollar nuevas fuentes de ingresos en sus negocios. Sin embargo, debido a la naturaleza del perímetro, los datos están cada vez más descentralizados. Es algo emocionante, pues crea oportunidades para desarrollar soluciones novedosas e innovadoras. Pero también requiere un nuevo enfoque de la seguridad. Aquí es donde la confianza cero entra en juego.
Mediante la aplicación de controles y procesos de verificación más amplios, la confianza cero permite que los trabajadores distribuidos y sus sistemas informáticos distribuidos trabajen con datos confidenciales desde cualquier lugar, de manera más eficiente y segura.
Jimmy Nilsson es el Director Gerente y Responsable de Dominio Global para Confianza Cero en Kyndryl Consult.
