Imagina que diriges una organización que ofrece una política de trabajo flexible, lo que significa que tu equipo podría conectarse desde cualquier lugar del mundo en un momento dado. Además, cada miembro del equipo tiene varios dispositivos y utiliza redes wifi con distintos niveles de conectividad y seguridad de Internet sobre los que tienes un control limitado. Hay hardware, software, entre otras muchas cosas. Además, estos miembros del equipo y los dispositivos pueden ser objeto de ciberataques de distinta intensidad y complejidad. ¿Qué puedes hacer para asegurarte de que tus equipos y tu organización están protegidos eficazmente frente a posibles vulnerabilidades cibernéticas?
La realidad es que organizaciones de todos los tamaños necesitan actualizar y adoptar nuevas medidas de seguridad para proteger sus sistemas e infraestructuras, dadas las recientes tendencias en torno a la transformación digital, el teletrabajo y los continuos avances tecnológicos.
Por desgracia, algunos carecen de la previsión y la orientación necesarias para adoptar eficazmente medidas de seguridad sólidas, lo que les deja expuestos. Es muy sencillo. No importa el tamaño o el tipo de organización, sin una protección de red fuerte y resistente como Zero Trust, es solo cuestión de tiempo que los sistemas se vean expuestos.
El cambio del modelo de trabajo presencial a un modelo híbrido ha contribuido a la distribución de los datos y los recursos, lo que crea complejidades a la hora de conectarse de forma instantánea y segura. Los departamentos de informática de las empresas han perdido el control, ya que ahora los usuarios trabajan en una serie de redes y dispositivos, lo que deja a las empresas expuestas a las amenazas de ciberseguridad. El déficit en la protección convencional de la infraestructura local y las configuraciones de trabajo desde casa han creado vulnerabilidades que amenazan las redes empresariales.
Zero Trust es un modelo de ciberseguridad en el que se mantiene un acceso estricto a los controles, ya que no confía en ningún usuario, ya sea remoto o dentro de la red. Así se verifica una a una cada solicitud a cada recurso. Con otras formas tradicionales de seguridad de la red, si una amenaza consigue traspasar las defensas y entrar en los sistemas de una organización, tendría vía libre para moverse a su antojo.
Con la adopción de un marco Zero Trust, no se confía automáticamente en ningún usuario, ya que se supone que hay amenazas dentro y fuera de la red. Funciona basándose en la verificación periódica de la identidad del usuario, sus privilegios, la identidad del dispositivo y la seguridad. El inicio de sesión y las conexiones expirarán continuamente, asegurando que los usuarios y los dispositivos se verifiquen de nuevo con regularidad.
Además, los que adoptan un marco Zero Trust pueden ofrecer supervisión y validación continuas para controlar y limitar el acceso a la red. Esto se consigue utilizando los principios fundamentales de la seguridad de Zero Trust, que son la limitación de los privilegios de acceso, la microsegmentación y la autenticación multifactor (MFA).
Los usuarios desean experiencias fáciles y rápidas, ya sea a la hora de iniciar sesión, compartir archivos o configurar sus dispositivos el primer día. Las medidas de seguridad obsoletas e ineficaces solo nos ralentizan, sea cual sea la función, y esto no lo quiere nadie.
La razón principal por la que utilizamos Zero Trust es proporcionar seguridad a cualquier persona, en cualquier lugar y en cualquier dispositivo. Zero Trust reduce significativamente el tiempo dedicado a tareas manuales de seguridad, reduce la superficie de ataque y, en última instancia, aumenta la productividad del equipo al devolverle el tiempo que dedicaría a medidas de seguridad obsoletas.
De ello se desprende que estamos asistiendo a un cambio en el protocolo de seguridad, el entorno perimetral ya no existe, la contraseña heredada está casi obsoleta y las VPN son cada vez más redundantes. ¿Por qué? Porque necesitamos poder conectarnos en cualquier lugar a gran velocidad, para permitir la libertad de movimiento de los usuarios y mejorar el flujo de los negocios.
El mundo cada vez más conectado conlleva un riesgo inherente de amenaza para la ciberseguridad. Esta realidad debería recalcar a los CISO, a los directores de seguridad y a todos los directivos de alto nivel que Zero Trust es necesario para proteger sus empresas y redes.
Atrás quedaron los días en que los expertos en informática y seguridad eran los únicos que necesitaban comprender la red y sus amenazas. Vivimos en una época en la que los empleados deben tener algo más que "conocimientos informáticos" para proteger su organización y sus redes.
Los empleados pueden ser tu primera y última línea de defensa frente a las ciberamenazas, por lo que es indispensable crear un cultura de ciberseguridad dentro de tu organización. ¿Y por qué no ibas a crear esta cultura, dada la naturaleza en constante evolución de la ciberseguridad en el lugar de trabajo? Las ventajas para la seguridad de Zero Trust son claras y están demostradas. Sin embargo, es necesario formar a los empleados sobre la finalidad de Zero Trust dentro de su red.
Para sacar provecho de ello, hay que priorizar la inversión y la formación de los empleados para que comprendan su red y la ciberseguridad, a fin de reforzar la red en general y eliminar las vulnerabilidades innecesarias. Hay que formar a los empleados periódicamente sobre el uso y la lógica de la seguridad Zero Trust, explicándoles, sobre todo, que las medidas adoptadas se utilizan para proteger, no para controlar.
El objetivo final de este planteamiento es crear un entorno en el que los usuarios comprendan las ventajas y se sientan capacitados para remar a favor de Zero Trust y no en contra.
El aumento del riesgo de ciberataques y fallos de seguridad obliga a las organizaciones a usar estrategias adecuadas para proteger sus activos y datos. La formación y la mejora de competencias en materia de ciberseguridad y la creación de una mentalidad Zero Trust ¡es un gran comienzo!
Si una organización no revisa, actualiza y mejora de forma periódica la seguridad de su red, simplemente se está exponiendo a un riesgo innecesario. Zero Trust puede parecer complicado y abrumador, sin embargo, la adopción del modelo de seguridad es evidente para quienes quieren garantizar una protección adecuada.
Cloudflare Zero Trust verifica, filtra, aísla e inspecciona todo el tráfico de red, todo en una plataforma uniforme y componible para facilitar la configuración y las operaciones. Su red troncal virtual segura, que utiliza una red global de 330 ciudades con más de 12.500 interconexiones, ofrece importantes ventajas de seguridad, rendimiento y fiabilidad en comparación con la red pública de Internet.
Este artículo forma parte de un conjunto de publicaciones sobre las últimas tendencias y temas que afectan a los responsables de la toma de decisiones sobre tecnología en la actualidad.
Este artículo se elaboró originalmente para Technology Decisions
Descubre más información sobre Zero Trust y cómo empezar con la Guía de implementación de la arquitectura Zero Trust.
Raymond Maisano — @rmaisano Director de SASE APJC, Cloudflare
Después de leer este artículo podrás entender:
Los empleados son a menudo la primera y la última línea de defensa frente a las ciberamenazas
La dificultad cada vez mayor de los equipos informáticos para mantener el control
Cómo un marco de seguridad Zero Trust facilita la supervisión y validación continuas