Tecnología Info Tecnología

La importancia de Zero Trust

Eloi Sarsanedas, CEO Madcoms Networks

14/12/2021
Zero Trust no es una tecnología. Se trata de un modelo de seguridad que aborda los desafíos modernos de las empresas actuales, incluida la protección de los trabajadores remotos, los entornos de nube híbrida y las amenazas de ransomware, y se ha convertido en una misión fundamental para cualquier estrategia de ciberseguridad.

Todo empezó en 2010, cuando el analista de Forrester, John Kindervag, acuñó el término Zero Trust o confianza cero. ¿El objetivo? Dejar atrás el modelo Trust but Verify en el que se da por bueno todo lo que se encuentre dentro del perímetro. Teniendo en cuenta que ese perímetro, tan cuidadosamente delimitado por los firewalls hace décadas, ha ido desapareciendo con la expansión de la movilidad empresarial, el cloud y los modelos as-a-service, cambiar el modelo bajo el que se sustenta la seguridad de una empresa parece obvio.

A medida que la plantilla moderna ha ganado movilidad y ha comenzado a acceder a las aplicaciones desde distintos dispositivos situados fuera del perímetro empresarial, las empresas han adoptado un modelo basado en comprobar la identidad en primer lugar y, a continuación, confiar. Esto implica que, si un individuo cuenta con las credenciales de usuario correctas, puede acceder a cualquier sitio, aplicación o dispositivo que desee. De forma que, en esta evolución, Zero Trust promueve la eliminación de la confianza como mecanismo para establecer políticas de seguridad adecuadas.

Eloi Sarsanedas, CEO Madcoms Networks

Eloi Sarsanedas, CEO Madcoms Networks.

Hay que tener en cuenta que la necesidad de Zero Trust coincide con el momento crítico que viven las empresas. Los ciberataques aumentan en número y sofisticación y ya no hay empresa o sector que esté a salvo, sobre todo desde que la pandemia sanitaria obligara a adoptar con demasiada premura hábitos y tecnologías, aumentando la superficie de ataque de las empresas. El dramático aumento del trabajo remoto, y la explosión de dispositivos conectados, hace que los enfoques de seguridad tradicionales se hayan quedado obsoletos.

Todo esto está llevando a un aumento significativo del uso de medidas de confianza cero en las que, como hemos dicho, el acceso a los recursos no se otorga de forma predeterminada. Aunque en realidad es más fácil decirlo que hacerlo, el concepto en sí es bastante simple: verificar a todos los usuarios, y entidades; validar a todos los dispositivos; y limitar el acceso de manera inteligente. Estos tres puntos permiten a las empresas garantizar que quien está conectado es quien dice ser, que lo hace con el dispositivo correcto y sólo a los recursos adecuados.

Asegurar que un usuario es quien dice ser parece obvio, pero con el robo de credenciales en todo su apogeo, confiar en un método de verificación como el inicio de sesión único (SSO) se queda corto. Aplicar el modelo Zero Trust conlleva adoptar otras soluciones, como la autenticación multifactorial, además de aplicar inteligencia de contexto y de comportamiento que detecte desviaciones y haga saltar las alarmas.

La validación del dispositivo pasa por determinar no sólo la propia identidad del dispositivo, sino su salud. Un dispositivo en el que no estén aplicados correctamente los parches de seguridad no es un dispositivo seguro y debe impedirse que se conecte a los recursos empresariales. También conviene aplicar políticas de contexto y de comportamiento que indiquen dónde se está utilizando y por quién, entre otras cosas. En este apartado es relevante el entorno de dispositivos móviles, con versiones y sistemas operativos diferentes. Validar un dispositivo en un entorno Zero Trust no es baladí.

El último elemento de Zero Trust tiene que ver con los accesos. Aquí entra en juego ZTNA, o Zero trust Network Access, que permite que el usuario, correctamente validado, realice el acceso solo a las aplicaciones específicas que necesita y a través de unos dispositivos que previamente ha sido verificado, lo que cierra el círculo de la seguridad. Entre otras cosas, ZTNA permite aislar los accesos de red y las aplicaciones, de forma que un usuario podrá acceder a la red empresarial, pero no a todos los recursos; además, los privilegios de acceso se van modificando conforme se modifica el rol del empleado y usuario en tiempo real, de forma que en todo momento sólo acceda a lo que debe. Por otra parte, ZTNA facilita los accesos a aplicaciones o recursos alojados en entornos híbridos gracias a un control centralizado de políticas de acceso.

Beneficios y retos de Zero Trust

Entre las ventajas que aporta la adopción de un modelo de confianza cero destaca una menor vulnerabilidad en tanto en cuanto impide las amenazas laterales. Además, reforzar las políticas de gestión de identidades y usuarios hace que las cuentas, y por tanto la red, sean más seguras, limitando el impacto del robo de credenciales. Por otra parte, se mejora la protección de los datos porque serán segmentados según el tipo y uso que se vayan a hacer de ellos. En general, que cada elemento funcione en conjunto y de manera efectiva y eficiente hace que haya menos huecos que un ciberdelincuente pueda explotar.

En contra, existen también algunos desafíos a tener en cuenta cuando se quiere adoptar una estrategia de seguridad Zero Trust. El primero es reorganizar las políticas para que se adapten al nuevo marco, algo que requerirá de tiempo y esfuerzo. Los datos por proteger y acceder están repartidos en diferentes sitios y entornos. Por otra parte, cuando hablamos de gestión de usuarios no sólo hablamos de empleados, sino de clientes y proveedores, cada uno de los cuales tiene que ser monitorizado. En los entornos actuales de teletrabajo y movilidad la cantidad de dispositivos a administrar se ha multiplicado; cada uno de ellos puede tener sus propias propiedades y protocolos de comunicación que deben ser monitorizados y asegurados específicamente.

Comentarios al artículo/noticia

Deja un comentario

Para poder hacer comentarios y participar en el debate debes identificarte o registrarte en nuestra web.

Suscríbase a nuestra Newsletter - Ver ejemplo

Contraseña

Marcar todos

Autorizo el envío de newsletters y avisos informativos personalizados de interempresas.net

Autorizo el envío de comunicaciones de terceros vía interempresas.net

He leído y acepto el Aviso Legal y la Política de Protección de Datos

Responsable: Interempresas Media, S.L.U. Finalidades: Suscripción a nuestra(s) newsletter(s). Gestión de cuenta de usuario. Envío de emails relacionados con la misma o relativos a intereses similares o asociados.Conservación: mientras dure la relación con Ud., o mientras sea necesario para llevar a cabo las finalidades especificadasCesión: Los datos pueden cederse a otras empresas del grupo por motivos de gestión interna.Derechos: Acceso, rectificación, oposición, supresión, portabilidad, limitación del tratatamiento y decisiones automatizadas: contacte con nuestro DPD. Si considera que el tratamiento no se ajusta a la normativa vigente, puede presentar reclamación ante la AEPD. Más información: Política de Protección de Datos