¿Qué es Zero Trust y por qué es tan importante?

El concepto de Zero Trust se basa en una idea simple: los sujetos de la infraestructura, ya sean usuarios, dispositivos o aplicaciones, no pueden confiar entre sí solo por estar dentro del mismo perímetro. Los sujetos necesitan confirmar constantemente su derecho a acceder a los recursos corporativos. ¿Qué es Zero Trust y qué papel juega la autenticación en él? Echemos un vistazo más de cerca.

La visión tradicional de la seguridad de la información establece que los dispositivos corporativos, los usuarios y las aplicaciones están dentro de un circuito seguro y los datos se almacenan en una infraestructura local. Esto crea un entorno seguro en el que los sujetos pueden interactuar entre sí sin límites. Al mismo tiempo, el foco se desplaza a las «superficies de ataque», es decir, a las posibles vulnerabilidades externas de la infraestructura.

Este enfoque funcionó siempre que la zona de confianza se limitara a la red local y los empleados realizaran tareas de trabajo exclusivamente desde la oficina. Pero los tiempos han cambiado y exigieron una nueva mirada a la seguridad de la información de las organizaciones. En respuesta a los desafíos modernos, nació el concepto de Zero Trust en 2010.

Más información sobre Confianza Cero

El concepto de confianza cero cuestiona la existencia de una red interna confiable: ya no existe una división en recursos internos o externos y una libertad de acción ilimitada dentro de un entorno confiable. En cambio, Zero Trust verifica todas las actividades de las aplicaciones, los dispositivos y los usuarios. Antes de que pueda acceder a ciertos recursos, debe confirmar sus derechos.

Zero Trust parece crear límites artificiales. Pero en la práctica, este concepto abre nuevas oportunidades: ahora no solo los empleados de la empresa, sino también los socios, clientes y contratistas pueden conectarse a un perímetro seguro, mientras que es seguro para todas las partes. Todos obtienen los derechos necesarios para realizar sus tareas de manera efectiva, y si un atacante obtiene acceso a una cuenta, esto no comprometerá toda la infraestructura.

Por supuesto, el acceso de los diferentes grupos de usuarios variará según los derechos, los recursos y el contexto (p. ej., hora del día, dispositivo, ubicación geográfica). Todos obtienen los derechos suficientes para realizar sus tareas de manera efectiva. Si un atacante obtiene acceso a su cuenta, esto no comprometerá toda la infraestructura.

Al mismo tiempo, los derechos de acceso se revisan constantemente. Es fundamental que las políticas de seguridad sean dinámicas y se basen en tantas fuentes de datos como sea posible. Esto lo ayuda a mantenerse actualizado y administrar su protección de manera flexible a medida que cambia su infraestructura de TI.

Además, en el modelo Zero Trust, la red corporativa y otros recursos se dividen en nodos separados. Esto crea muchos perímetros separados con sus propias políticas y derechos de acceso; estos nodos son más fáciles de administrar y detectar una amenaza si surge repentinamente dentro de la red.

El papel de la autenticación en Zero Trust

Por desgracia, no existen herramientas universales que ayudarían a una organización a implementar Zero Trust. Sin embargo, es fácil señalar el principal elemento obligatorio del concepto: el proceso de autenticación. Es él quien ayuda a determinar de manera confiable qué tipo de usuario, dispositivo o aplicación está tratando de acceder a los datos. La confianza cero se basa en la presunción de culpabilidad: se asume que cualquier intento de obtener acceso a un recurso corporativo está en riesgo hasta que se demuestre lo contrario.

La autenticación debe llevarse a cabo absolutamente en todas las interacciones de los sujetos. Las interacciones pueden volverse más complejas, puede haber más de ellas, y es la confianza cero lo que ayuda a mantener el orden en los procesos complejos. Resulta que la autenticación le permite brindar seguridad sin sacrificar la comodidad para los usuarios. Sí, necesitan verificar su identidad, lo que a primera vista parece una complicación. Pero el proceso sigue siendo claro y transparente, porque Zero Trust se basa en criterios de confianza formulados.

El proceso de verificación es proporcionado por sistemas de autenticación únicos. Le permiten autenticar usuarios y cualquier elemento de la infraestructura. Esto puede suceder sin intervención humana, cuando los sistemas interactúan entre sí para intercambiar datos. La tarea principal es crear una plataforma de autenticación centralizada universal que proporcione reglas uniformes para ingresar a todas las aplicaciones, independientemente de su tecnología de ejecución. Así es como la infraestructura se vuelve más segura.

Nuevos desafíos de seguridad

¿Por qué el concepto de confianza cero está reemplazando el enfoque tradicional? Hay tres razones principales para esto.

En primer lugar, ni siquiera el perímetro más seguro puede proteger a la empresa de los riesgos internos. Un atacante puede conocer las vulnerabilidades y penetrar deliberadamente en la red corporativa, donde tendrá acceso ilimitado a los datos. Sucede que los propios empleados revelan accidentalmente recursos confidenciales, comprometen sus dispositivos o credenciales. Un informe de Symantec muestra que, en promedio, uno de cada 36 dispositivos utilizados en una organización está asociado con un alto nivel de riesgo. Y según Verizon, una de cada cuatro infracciones de ciberseguridad corporativa en todo el mundo implica el robo de credenciales.

En segundo lugar, hoy en día, la infraestructura en la nube y los formatos híbridos están ganando cada vez más popularidad, cuando parte de los datos se almacenan dentro del perímetro y parte en las nubes. En este caso, se borran los límites del perímetro seguro de la organización.

En tercer lugar, la transición a un formato de trabajo híbrido juega un papel importante. Ahora los usuarios y sus dispositivos de trabajo pueden estar en cualquier lugar, incluso en otras ciudades y países.

Hoy Zero Trust es uno de los enfoques más populares para proteger la infraestructura corporativa.

Pros y contras de la confianza cero

El concepto de confianza cero tiene que ver con fortalecer la seguridad. Después de todo, trabajar en un entorno de confianza crea una sensación de seguridad que puede resultar falsa. Los administradores ni siquiera pueden asumir que se ha producido una fuga y tomar las medidas necesarias para resolver la situación.

Otra ventaja es que gracias a Zero Trust, el negocio se vuelve más flexible. La empresa puede elegir cómo implementar la infraestructura: en centros de datos locales, nubes públicas o privadas. Esta es una oportunidad para reducir los costos de mantenimiento de la infraestructura. Además, migrar a la nube ofrece oportunidades prácticamente ilimitadas de crecimiento y escalabilidad. Y la seguridad del trabajo remoto permite fortalecer la contratación de trabajadores remotos, ampliar sus funciones y dotar de más recursos para un trabajo efectivo. Esto conduce a un aumento en la productividad del trabajo.

Por supuesto, el concepto también tiene sus desventajas. En primer lugar, la complejidad de la implementación. La transición a confianza cero en grandes corporaciones con una estructura compleja y un extenso sistema de recursos corporativos internos puede llevar años. Es necesario realizar un inventario de los dispositivos desde los cuales trabajan los empleados, para establecer políticas corporativas.

Además, Zero Trust no es para todos. Para las pequeñas empresas que despliegan su trabajo exclusivamente en una red local, no tiene sentido complicar sus políticas de ciberseguridad. Para ellos, el enfoque tradicional será suficiente.

Conclusión

Formatos de trabajo remoto e híbrido, la introducción de tecnologías y computación en la nube, BYOD: estas y muchas otras tendencias requieren una revisión de los enfoques tradicionales de ciberseguridad. Las formas de fideicomiso existentes y los derechos derivados de ellas ya no funcionan, las empresas están reconsiderando radicalmente las formas de interacción entre todos los objetos de infraestructura. Y en respuesta a esto, nació la idea de Zero Trust.

El modelo de confianza cero nació hace diez años, y durante este tiempo no ha hecho más que ganar más popularidad. Pero no todas las empresas están dispuestas a invertir tantos recursos para asegurar su entorno interno. Por lo tanto, quizás muy pronto se replantee este concepto y veamos estrategias de seguridad de la información completamente nuevas.