Ahora más que nunca, la digitalización está adquiriendo protagonismo en sectores como las finanzas, la sanidad, la fabricación y el transporte, entre otros. La integración de la tecnología, relevante para las necesidades empresariales, requiere un ecosistema de sistemas, procesos y profesionales cualificados. La diversificación de las empresas está aumentando cada vez más la complejidad de las necesidades informáticas, lo que exige diferentes tecnologías, experiencia y soluciones personalizadas. Más allá de facilitar estas necesidades, el ecosistema informático también debe hacer frente al desafío más importante, la seguridad.
En un momento en que la cultura del trabajo híbrido se impone en industrias de todo el mundo, el papel de la informática se ha vuelto más crucial que nunca. En el entorno empresarial actual, los usuarios de dispositivos móviles, los empleados híbridos y los asociados de terceros, necesitan acceder a redes de colaboración y datos compartidos. En consecuencia, las organizaciones son más propensas a sufrir ciberataques, robo de datos, ransomware y otras amenazas sofisticadas, que ponen en peligro los sistemas digitales y las operaciones informáticas.
Más allá de los sistemas, estas amenazas a la seguridad también afectan a los usuarios y a su productividad. Un sistema informático vulnerable puede poner en riesgo datos confidenciales relacionados con empleados y equipos que trabajan en colaboración, lo que afecta a la confianza de los empleados en la organización y, a su vez, crea mayores desafíos. También afecta a la experiencia del usuario final, lo que repercute en el negocio, ya que los clientes y asociados pierden la confianza en sus socios y proveedores.
La arquitectura de red tradicional se desarrolló sobre el principio de una red perimetral que otorgaba un nivel de confianza implícito a todo aquel que estaba en la red. La transformación hacia el alojamiento en la nube, el teletrabajo y otras innovaciones han planteado desafíos a la arquitectura de red perimetral tradicional. Estos problemas se pueden abordar mediante la implementación de un enfoque de seguridad Zero Trust, que garantiza la verificación y la autorización de todo el tráfico que entra y sale de una empresa. La implementación de una arquitectura Zero Trust se puede hacer sin interrumpir la productividad y la conectividad de los usuarios.
Un marco de seguridad Zero Trust permite a los equipos informáticos hacer frente a los desafíos actuales de las amenazas, ya que abarca aspectos clave de las operaciones de TI como aplicaciones, procesos de red, claves de acceso basadas en identidades y dispositivos. Limita el acceso a los ecosistemas informáticos concediendo a los usuarios menos privilegios, en función de sus funciones y responsabilidades, y genera alertas automatizadas, ya que detecta actividades inusuales. Estos accesos estrictos solo autorizan a las redes, las aplicaciones, los usuarios y los dispositivos que se hayan verificado y autorizado dentro de la red.
La verificación de la identidad es el nuevo perímetro de seguridad y establece controles basados en las credenciales, el contexto y el acceso de los dispositivos a las aplicaciones internas, los datos y la infraestructura. Junto con la aceleración de la transformación digital y la adopción de la nube, las organizaciones también están migrando a entornos de trabajo híbridos. Por tanto, los controles de seguridad deben ser exhaustivos para defenderse de la escala y el alcance cada vez mayores de los ciberataques y las amenazas a la seguridad.
Zero Trust permite a las organizaciones funcionar de forma segura y productiva incluso cuando las personas y los datos se expanden por distintos entornos y ubicaciones. Aunque no existe un método único para la adopción del marco, la mayoría de las empresas pueden empezar organizando el proceso de implementación en tres pasos principales:
Anticipación: para establecer un marco Zero Trust en una empresa, es importante visualizar primero todos sus aspectos e interconexiones. Este paso implica un análisis detallado de los riesgos asociados a los recursos, métodos de acceso y uso de la organización. Por ejemplo, es posible que el departamento jurídico tenga que acceder a una base de datos que almacena información confidencial de clientes, pero las deficiencias en este tipo de conexiones implican amenazas importantes. Así pues, el proceso de evaluación y valoración de los recursos y la necesidad de acceder a ellos seguirá desarrollándose inevitablemente a medida que la empresa se expanda. Del mismo modo, la importancia y el riesgo asociados a estos elementos evolucionarán. Por lo tanto, las empresas que deseen aplicar el marco Zero Trust deben empezar por las áreas que prevean más cruciales y vulnerables conforme avance la implementación.
Mitigación: el paso anterior permite a las empresas identificar todas las vulnerabilidades potenciales, las posibles amenazas y las rutas de ataque. En esta fase se priorizan los problemas y se abordan de uno en uno. A continuación, la empresa tendrá que desarrollar procesos y herramientas que detecten automáticamente las vulnerabilidades emergentes. Además, podrían existir métodos que impidan automáticamente los ataques o minimicen su impacto (por ejemplo, a través del control de los datos que se revelarían).
Ejecución: en esta fase, las empresas tendrán que ampliar las políticas y normas para cubrir todas las facetas de la informática. La evaluación del marco para verificar su eficacia y utilidad conforme se va ampliando es un paso esencial. A la hora de implementar marcos de seguridad como Zero Trust, las organizaciones deben hacer hincapié en la experiencia del usuario, ya que de lo contrario se produciría un incumplimiento y una menor productividad.
El marco Zero Trust añade la verificación de credenciales en todos los niveles, protegiendo así los datos confidenciales de las empresas y los usuarios. A medida que organizaciones de todos los sectores adoptan la transformación digital y migran sus operaciones a la nube, pueden implementar Zero Trust para ayudar a proporcionar una infraestructura de red sólida y segura. El desafío, sin embargo, es que en muchas organizaciones, la responsabilidad de las redes y la seguridad recae en distintos equipos, y estos grupos a menudo confían en diferentes proveedores en sus respectivas áreas. Desmontar la estructura tradicional entre los equipos de seguridad y de redes, y elegir las herramientas, productos y proveedores adecuados para alinearlos con los resultados empresariales deseados es fundamental para implementar un modelo Zero Trust. Ahora más que nunca, la colaboración de las organizaciones con el ecosistema informático adquiere aún mayor valor para liderar con éxito la adopción de Zero Trust.
Este artículo forma parte de un conjunto de publicaciones sobre las últimas tendencias y temas que afectan a los responsables de la toma de decisiones sobre tecnología en la actualidad.
Este artículo se elaboró originalmente para CXO Today
John Engates — @jengates, director técnico, Cloudflare
Después de leer este artículo podrás entender:
Cómo un marco de seguridad Zero Trustpermite a los equipos informáticos hacer frente a las amenazas actuales.
3 pasos para iniciar el proceso de adopción de un modelo de seguridad Zero Trust.