¿Qué es la seguridad Zero Trust?

La seguridad de cero confianza o “Zero Trust” es un modelo de seguridad de TI contextual regido por un único axioma: “no se confía en nadie”. Un modelo o arquitectura Zero Trust significa que ningún usuario ni dispositivo debería tener acceso predeterminado a la red, espacio de trabajo u otros recursos de una organización, incluso si son empleados de dicha organización. Los usuarios autorizados deben superar unos protocolos de seguridad antes de que se les conceda acceso basándose en criterios como su identidad, hora de acceso y el cumplimiento del dispositivo. Una arquitectura Zero Trust puede incluir control de acceso, verificación de la identidad del usuario y espacios de trabajo seguros para evitar el malware, la extracción de los datos debido a un acceso malicioso a la VPN y otros ataques a datos confidenciales.

¿Por qué es importante una seguridad Zero Trust?

La seguridad Zero Trust es importante porque los departamentos de TI de nuestros días tienen que proteger una superficie de ataque mayor a la vez que proporcionan una experiencia del usuario atractiva. Ahora que los empleados confían en sus dispositivos personales para un acceso remoto a los espacios de trabajo, aplicaciones en la nube y recursos corporativos, la probabilidad de una pérdida de datos es mayor que nunca. Para complicar aún más las cosas, el coste medio de una infracción de datos es de 3,92 millones de USD y de media, se roban 25 575 registros. Tan solo en las dos infracciones de datos más grandes de los últimos 20 años, se robó información de más de 3500 millones de personas.

Una arquitectura Zero Trust es un planteamiento serio para un problema grave. Reconoce que los modelos de seguridad de la información que exponen algunos datos confidenciales tienen el potencial de exponer todos los datos confidenciales. Es como poner todos sus activos en una única caja fuerte de un banco: una vez que un intruso tenga acceso, puede robarlo todo. Para afrontar este riesgo, el acceso a la red Zero Trust restringe aún más la seguridad de acceso a los terminales y usuarios. Para obtener una seguridad Zero Trust aún más completa, las organizaciones pueden proporcionar a los empleados un acceso seguro a un espacio de trabajo digital protegido. Esto reduce el riesgo general al proporcionar a los usuarios un acceso seguro a todas las aplicaciones, herramientas y datos que necesitan sin exponer a la organización a un riesgo innecesario.

¿Cuál es la diferencia entre una arquitectura Zero Trust y una arquitectura de seguridad de la información tradicional?

Los enfoques tradicionales para la seguridad de la información implican guardar los datos confidenciales en centros de datos protegidos por inicios de sesión y firewalls. Se suponía que todo el mundo dentro de la organización había pasado un filtro y era de confianza: siempre que alguien tuviera un nombre de usuario y una contraseña, podía acceder a toda la red de la organización sin ningún problema. Esto se denomina a veces como “planteamiento de castillo y foso”: el castillo representa a la empresa que aloja los datos y el foso representa las defensas y medidas disuasivas que rodean dichos datos.

Sin embargo, este planteamiento no se adapta a las amenazas modernas de ciberseguridad. Ahora que la mayoría de las organizaciones trabajan en la nube, un planteamiento de “confiar, pero comprobar” centralizado cada vez tiene menos sentido. Los usuarios ya no tienen acceso a los datos confidenciales desde un único punto o dispositivo, y dichos datos ya no están en un único lugar. Básicamente, ya no hay una única entrada al castillo, ya que los ciberataques podrían llegar desde cualquier lugar y en cualquier momento. Un foso no ofrece protección si los intrusos pueden tirarse en paracaídas desde aviones.

Una arquitectura Zero Trust evoluciona este planteamiento tradicional de ciberseguridad que mueven la responsabilidad de la protección de datos desde el interior de la organización a cada usuario, dispositivo y aplicación que intenta acceder a la red. Si se implementa correctamente, este planteamiento de Zero Trust es una arquitectura de seguridad consciente del contexto que puede reconocer los patrones en el comportamiento de los usuarios y los dispositivos para conceder o denegar de forma adaptativa el acceso basándose en factores como la identidad, la hora del día y la ubicación.

Cómo comenzar a implementar una arquitectura Zero Trust

La seguridad Zero Trust es una estrategia general en vez de una única solución tangible. La adopción de su mentalidad de “no confiar nunca, comprobar siempre” significa replantearse todo sobre la forma en que una organización aloja y accede a los datos confidenciales. Las organizaciones deben prepararse para invertir una gran cantidad de tiempo en la reestructuración de la seguridad de la red y el control de acceso en cada nivel. A continuación se muestran algunos pasos para comenzar a implementar una arquitectura Zero Trust en una organización:

  1. Audite la red de la organización para obtener una imagen clara de la infraestructura y los terminales de los que dispone. Esto muestra al departamento de TI lo que su política de seguridad de la red necesita tratar primero. 
  2. Realice una evaluación detallada de las amenazas y diseñe algunos escenarios que contemplen lo que sucedería si se perdieran datos confidenciales. Plantéese cuestiones como “¿Quién es más probable que acceda a esos datos?” y “Si se supera el primer nivel de seguridad, ¿cómo de fácil será penetrar en los siguientes?”. 
  3. Decida cómo confiar en usuarios, dispositivos y aplicaciones como entidades separadas pero relacionadas. Es importante conceder acceso solo a lo que es realmente necesario sobre la base de cada uso. La autenticación multifactor es un buen inicio, pero también puede ser útil adoptar herramientas de control de acceso contextual para desactivar la impresión, las operaciones de copiar y pegar, y la captura de pantalla en algunas situaciones. También puede hacer que todos los empleados accedan a sus aplicaciones y datos dentro de un espacio de trabajo seguro para entregar una seguridad empresarial más completa.
  4. Pruebe su arquitectura Zero Trust para ver su rendimiento. Ejecute escenarios en los que su equipo de TI intenta obtener acceso a datos confidenciales mediante un dispositivo perdido, una red wifi sin protección, URL maliciosas o malware. Esto puede mostrar vulnerabilidades potenciales en la seguridad de su red para adaptar la estrategia de ciberseguridad de forma acorde.

Preguntas frecuentes sobre la seguridad Zero Trust

¿Es la arquitectura Zero Trust un único producto?
La seguridad Zero Trust no es solo un producto o una solución. En su lugar, es una arquitectura o marco de trabajo que el departamento de TI puede utilizar para permitir un acceso seguro para todas las aplicaciones, desde cualquier dispositivo, evaluando continuamente la confianza en cada punto de contacto. Esto significa que un modelo de seguridad Zero Trust puede confiar en múltiples proveedores y productos para entregar una política de seguridad de acceso que sea individual, contextual y continua.

¿Significa Zero Trust que necesito sustituir toda mi infraestructura de TI?
Si bien la implementación de Zero Trust no es sencilla, no debería requerir eliminar y sustituir su infraestructura en la nube o en las instalaciones. Un proveedor de Zero Trust adecuado colaborará con usted para proteger su infraestructura existente, como las plataformas de identidades, SIEM/SOC y proxies web y soluciones SD-WAN. Por ejemplo, su proveedor Zero Trust debería ser capaz de integrarse con los directorios de usuarios de Microsoft Active Directory, Microsoft Azure AD y Okta, así como las políticas de gestión de identidades contextuales asociadas a estas plataformas.

¿Cómo encuentro la tecnología o servicios adecuados para implementar una red Zero Trust?
Debido a la naturaleza integral de un modelo de seguridad Zero Trust, el departamento de TI puede quedarse atascado en un bucle interminable de añadir productos puntuales como VPN con SSL, administración de terminales y autenticación multifactor para gestionar los nuevos casos de uso de seguridad. Esto puede dar lugar a una mayor complejidad y crear una experiencia fraccionada para los usuarios finales, todo ello mientras se dejan espacios vulnerables en la ciberseguridad que los atacantes pueden explotar.

Teniendo esto en cuenta, Forrester indica que hay importantes beneficios cuando se elige un único proveedor para implementar una arquitectura de seguridad Zero Trust. Esto ayuda a evitar espacios vulnerables que quedan al integrar varias soluciones puntuales. Una estrategia demostrada es proteger a los usuarios y sus aplicaciones dentro de un espacio de trabajo en el que se desarrollan las tareas, en vez de intentar proporcionar una protección fragmentada para los datos confidenciales y recursos desde cualquier lugar desde el que accedan los usuarios. Esto también ayuda a garantizar una buena experiencia de usuario.

Zero Trust frente a VPN: ¿Por qué las VPN no admiten la seguridad Zero Trust?

La diferencia más fundamental entre las VPN y los marcos de trabajo de seguridad Zero Trust es que las VPN tradicionales confían a ciegas. Con una VPN, una vez que se concede el acceso, un usuario remoto obtiene acceso total a la red. Como resumen de las principales vulnerabilidades de las VPN, destacan los siguientes atributos:

  1. Las VPN simplifican la autenticación en exceso: las soluciones VPN existentes no satisfacen los requisitos de una plantilla moderna y compleja que accede con un explorador a las aplicaciones. Además, estas están implementadas en el centro de datos y entornos de nube o se entregan como SaaS.
  2. Las VPN no se pueden escalar: están limitadas únicamente al acceso remoto, mientras que un marco de trabajo Zero Trust protege en tiempo real a la red corporativa tanto si los usuarios están en las instalaciones o fuera de ellas. 
  3. Las VPN no están optimizadas para la experiencia de los empleados: debido a que dirigen todo el tráfico (empresarial y personal) a través de la infraestructura de TI corporativa, pueden surgir dudas sobre la privacidad de los empleados. Además, las VPN no proporcionan el mejor rendimiento porque no hay ninguna optimización en el nivel de aplicaciones.

Resumiendo, las empresas necesitan una solución que se entregue en la nube, proporcione acceso en la capa de aplicaciones y, por tanto, reduzca la superficie de ataque de seguridad, proporcionando el mejor rendimiento sin interferir con la privacidad de los empleados.

Recursos adicionales

Siguiente paso