Zero Trust, la confianza no es binaria sino continua

Muchas personas piensan que la transformación digital es una mera tendencia, cuando la realidad es que se trata de una disrupción que afecta al ritmo de innovación y al desarrollo organizativo. Las empresas quieren seguir siendo relevantes, llevar productos y servicios al mercado más rápidamente, ser ágiles y tener la capacidad de reinventarse a sí mismas cuando se presente la oportunidad adecuada.

El crecimiento masivo de la computación en la nube y la explosión del uso de los dispositivos móviles ha generado un hábito en los usuarios que incesablemente buscan acceder a la información desde cualquier lugar, y sin importar el dispositivo o el momento.

No hay duda de que la mentalidad tradicional es un obstáculo para el desarrollo de los negocios actuales. Es por eso que las empresas de hoy despliegan nuevos modelos de negocio y mantienen miles de relaciones con terceros, lo que finalmente da lugar a una perspectiva diferente de cómo debemos construir el futuro. Hoy en día, la confianza es observante, contextual y adaptable, y no se basa en un simple blanco o negro (bloquear o permitir) como en el pasado. Ninguna entidad puede asumir una confianza implícita, y los componentes utilizados para establecer la confianza tienen que ser evaluados en todo momento. En última instancia, de esto se trata Zero Trust (Confianza Cero). Un enfoque más sistemático y seguro del acceso a la información.

Por tanto, asistimos, impávidos, a un cambio de rumbo. El actual ecosistema tecnológico tradicional se está disolviendo, por lo que la apertura de pensamiento es vital. La transformación digital no puede darse de la noche a la mañana, o por sí sola, requiere de una seguridad y de la evolución de los sistemas de información como mecanismo de apoyo. Por tanto, se hace necesario repensar la forma de proporcionar un acceso seguro a la información a través de la transparencia, porque es lo único que mantendrá a los usuarios serenos y potenciará su sentido de la lealtad. Los conceptos de Confianza Cero, cuando se aplican correctamente, pueden ofrecer exactamente esto.

Todo empezó con la nube…

Sin embargo, la nube fue "un habilitador de negocios" y expandió el panorama de amenazas en formas que casi hemos olvidado. Esta tendencia de "evolución de la nube" cambió la forma en que evaluamos la confianza en el contexto del riesgo para el negocio.

Zero Trust se centra en el acceso seguro a los recursos, independientemente de la ubicación de la red, el usuario o el dispositivo, aplicando rigurosos controles de acceso e inspeccionando, supervisando y registrando el tráfico de la red en todo momento. Adicionalmente, Zero Trust evalúa continuamente todos los aspectos del comportamiento de la entidad (persona) durante una conexión de red y proporciona controles de acceso adaptables basados en parámetros designados y niveles de riesgo aceptables para el negocio.

Las principales prácticas para implementar una estrategia de confianza cero incluyen entender el contexto de negocio, donde los activos del negocio (información) deben tener una criticidad definida (típicamente derivada del Plan de Continuidad de Negocio y los procesos de negocio que soporta) y no debe haber ninguna confianza implícita entre las entidades. Además, hay que entender que la confianza no es binaria sino continua y que el acceso se concede solamente al recurso corporativo individual. Finalmente, tenemos que asumir la idea de dar la misma relevancia a la intranet que a Internet.

Las organizaciones deben evaluar los riesgos para analizar cualquier tipo de acceso a los recursos, que depende en gran medida del contexto. La calidad del contexto se extrae de varios componentes que deben tenerse en cuenta al obtener información sobre la sesión, antes de conectar con su destino final. Estos componentes son: los datos, la identidad, el endpoint, el recurso (habitualmente la aplicación), la red, la visibilidad y el análisis, y, por último, la automatización y orquestación.

En conclusión, se requiere una nueva mentalidad para las nuevas formas de hacer funcionar los negocios. La arquitectura de seguridad tiene que centrarse en comprender claramente el riesgo del negocio, su contexto, y aplicar controles adaptables para hacer frente a un nuevo conjunto de desafíos, al tiempo que permite a los usuarios y a las empresas avanzar rápidamente.

Es imperativo aplicar un equilibrio adecuado entre la seguridad, la privacidad y la experiencia del usuario y, en definitiva, no puede existir transformación digital sin transformación de la seguridad de la información.

Samuel Bonete, Regional Sales Manager Netskope Iberia