Una falta de confianza puede costar caro a organizaciones de cualquier tamaño y de todos los sectores. Para crear y mantener la confianza, las organizaciones deben reconocer que la seguridad no puede ser un aspecto secundario, sino un elemento fundamental que constituya el pilar de sus operaciones.
La transformación digital ha proporcionado a las organizaciones beneficios y oportunidades. Sin embargo, también ha hecho a las organizaciones más vulnerables a las amenazas y los ataques cibernéticos. El robo de datos, los ataques de ransomware, las fugas de la cadena de suministro y otras formas de amenaza no solo han provocado pérdidas económicas, sino que también han socavado la confianza de los clientes. Estos incidentes repercuten en las relaciones empresariales con los clientes, los usuarios, los socios y los proveedores, entre otras partes interesadas. Las organizaciones deben ser conscientes de que las fugas de seguridad no solo acarrean repercusiones financieras. También dañan su reputación y confianza, afectando a las oportunidades comerciales y con los clientes.
Informes recientes han puesto de relieve el impacto negativo de los ciberataques y amenazas en las organizaciones. Según el estudio de IBM y Ponemon Institute sobre el coste de una fuga de datos en 2023, el coste medio por fuga de datos a nivel mundial alcanzó la cifra récord de 4,45 millones de dólares, lo que subraya la necesidad urgente de que las organizaciones prioricen la seguridad y tomen medidas proactivas para mitigar los riesgos cibernéticos.
Una cultura que prioriza la seguridad es aquella en la que la seguridad es responsabilidad de todos.
Las organizaciones deben fomentar esta cultura en su organización si quieren abordar eficazmente el panorama de las amenazas, en constante cambio, y mejorar la confianza. Además, muchas organizaciones, tras ser víctimas de un ciberataque, dudan sobre si hacerlo público, por temor a que pueda suponer una pérdida de su buen nombre, sus ingresos y la confianza entre sus clientes.
El primer paso es formar a los empleados acerca de los principios de la ciberseguridad. Los empleados deben recibir formación para identificar los correos electrónicos de phishing, reconocer las técnicas de ingeniería social y comprender la importancia de las contraseñas seguras y de la protección de datos. Mediante la concienciación y la formación en ciberseguridad, las organizaciones pueden capacitar a sus empleados para que sean la primera línea de defensa contra las ciberamenazas. Las organizaciones deben incluir y emplear en todos los departamentos directores dedicados exclusivamente a la ciberseguridad, que puedan impulsar el cambio, garantizar el cumplimiento de las políticas de seguridad y mantener la transparencia en toda la organización.
Aunque una cultura que prioriza la seguridad puede resultar compleja al principio, a largo plazo es beneficiosa para tu organización.
Zero Trust desafía la arquitectura de seguridad tradicional basada en el perímetro. El término, acuñado originalmente por Forrester Research, se basa en el principio de "Nunca confíes, verifica siempre". Zero Trust es una arquitectura de seguridad informática que verifica estrictamente las identidades de cada persona y cada dispositivo que intenta acceder a los recursos de una red privada, tanto si están dentro como fuera del perímetro de red.
El acceso a la red Zero Trust (ZTNA) es la principal tecnología asociada a la arquitectura Zero Trust, pero Zero Trust es un enfoque integral de la seguridad de la red que incorpora diversos principios y tecnologías. Este método añade una capa de protección para limitar la posibilidad de movimiento lateral en una red, minimizando potencialmente los efectos de una fuga de seguridad.
Según los datos revelados por este informe de Gartner sobre ataques de ransomware, en 2025 el 60 % de las organizaciones habrán adoptado Zero Trust como punto de partida para la seguridad. Una encuesta reciente de IDC también reveló que el 77,8 % de las empresas del sector de servicios bancarios, financieros y seguros ya ha implementado soluciones y políticas que permiten un perímetro definido por software, mientras que el 52,2 % está considerando adoptar e invertir en componentes SD-Branch. El 54,4 % tiene previsto implementar una arquitectura Zero Trust e invertir en soluciones de seguridad relacionadas.
Las estrategias de seguridad tradicionales ya no son adecuadas para proteger a las organizaciones contra las complejas ciberamenazas en constante cambio. En un mundo en el que los ataques pueden surgir tanto de fuentes internas como externas, el enfoque de la seguridad basado en el perímetro, que depende de la confianza en las entidades de la red, ya no es viable. Un enfoque Zero Trust es idóneo para las organizaciones porque puede contribuir significativamente a fomentar una cultura que priorice la seguridad en el lugar de trabajo, y mejorar así la productividad, la transparencia y la autenticidad de los datos.
Cada empleado dentro del perímetro de red debe autenticar primero su identidad antes de que se le conceda acceso a información confidencial, por lo que está sujeto a condiciones de responsabilidad y rendición de cuentas.
Un modelo de seguridad Zero Trust ofrece numerosas ventajas más allá de las soluciones de seguridad tradicionales, entre ellas:
Mayor productividad: a diferencia de los modelos tradicionales, Zero Trust minimiza el daño potencial a los activos digitales y las credenciales limitando el acceso a la información crítica. Esto permite a los equipos trabajar a distancia, lo que aumenta la productividad.
Mayor fiabilidad: los marcos de seguridad tradicionales suelen tener dificultades para manejar los complejos algoritmos que utilizan los sitios web y navegadores actuales. En cambio, el sistema Zero Trust verifica minuciosamente los usuarios y dispositivos, lo que permite una navegación más fluida y una mejor experiencia del usuario.
Transparencia: Zero Trust permite a las organizaciones verificar a los usuarios en cada fase, por lo que es posible detectar los comportamientos inusuales y resolver con rapidez las posibles fugas de datos.
Protección y autenticidad de los datos: Zero Trust impide que los atacantes accedan sin autorización a los activos digitales e incorpora capas de verificación adicionales para combatir los intentos de phishing.
Reducción de riesgos: con una estricta verificación de la identidad y el acceso, Zero Trust reduce considerablemente el riesgo asociado al acceso no autorizado a los activos. Esto también simplifica el seguimiento y la evaluación de las fugas de seguridad.
En una era en la que las fugas de datos y los ciberataques son omnipresentes y prevalentes, las organizaciones necesitan una estrategia de seguridad proactiva e integral como Zero Trust para salvaguardar sus valiosos activos, proteger los datos de los clientes y mantener la confianza de las partes interesadas.
Para lograr una organización de confianza con Zero Trust, es necesario un cambio cultural hacia una mentalidad que priorice la seguridad, en la que la seguridad sea responsabilidad de todos. Con la aplicación de este enfoque de seguridad, las organizaciones pueden reforzar su postura de seguridad, establecer la confianza con sus partes interesadas y protegerse mejor contra los ciberataques y las amenazas. Zero Trust es un proceso continuo, y las organizaciones deben permanecer atentas a actualizar y evaluar sus controles de seguridad a fin de anticiparse a las nuevas amenazas.
Este artículo forma parte de un conjunto de publicaciones sobre las últimas tendencias y temas que afectan a los responsables de la toma de decisiones sobre tecnología en la actualidad.
Este artículo se elaboró originalmente para CIO Influence
Jonathon Dixon
Vicepresidente y director general de la región APJC, Cloudflare
Después de leer este artículo podrás entender:
El cambio necesario para lograr una organización de confianza con Zero Trust.
Una cultura que prioriza la seguridad es aquella en la que la seguridad es responsabilidad de todos.
Las estrategias de seguridad tradicionales ya no son adecuadas para proteger a las organizaciones contra las complejas ciberamenazas actuales, en constante cambio.