La Confianza Cero ya no vive en blanco y negro: es una escala adaptativa de grises

  • Opinión

Neil Thacker, Netskope

Para Neil Thacker, CISO para la región de EMEA de Netskope, lo que realmente se necesita en un entorno orientado principalmente a la nube, sin perímetro, es algo que se adapte continuamente.

Confianza Cero es una frase de moda hoy en día que se está utilizando libremente, y a menudo de forma imprecisa. Concebida originalmente cuando las empresas sólo tenían un pequeño porcentaje de trabajadores remotos que se conectaban a la red corporativa, el saber popular del momento dictaba que ya no se podía confiar implícitamente en la autenticación de esos usuarios remotos porque no estaban en la red de la empresa. La solución original de confianza cero se centraba en demostrar la identidad del usuario y del dispositivo.

Con el increíble aumento del teletrabajo, las cosas han cambiado notablemente, y hay muchos proveedores y fabricantes que hablan de Confianza Cero, y casi todos los profesionales de la seguridad informática estarían de acuerdo en que el principio fundamental de la confianza cero es pasar de “confiar, pero verificar” hacia “verificar y luego confiar”.

Esto puede parecer muy ingenioso, pero este planteamiento hace aguas en entornos no estáticos y es muy permisivo, a la par que inflexible, mientras que en verificar y luego confiar, si no se verifica, tenemos una justificación para un bloqueo permanente del acceso. En el primer caso tenemos un importante agujero de seguridad, en el segundo podemos tener un importante inhibidor de la productividad.

Adaptación continua de la confianza

Lo que realmente se necesita en un entorno orientado principalmente a la nube, sin perímetro, es algo que se adapte continuamente. La rotunda pablara "cero" no es adecuada en un entorno tan matizado. El contexto es clave y los juicios sobre la confianza requieren una introspección para determinar eficazmente los grados de permiso.

SASE es una arquitectura que ofrece muchas ventajas, en este caso una visibilidad e información del contexto muy detalladas. Esto es vital para conseguir una "confianza adaptativa continua" entre usuarios, dispositivos, redes, aplicaciones y datos. La riqueza de la visión contextual disponible dentro de una plataforma SASE elimina el requisito de aplicar confianza implícita o basar las decisiones de permiso en piezas individuales de información (una dirección IP, por ejemplo). 

Las decisiones pueden basarse en un conjunto personalizado de parámetros constantemente reevaluados, construidos utilizando varios elementos contextuales entrelazados (por ejemplo, la identidad del usuario + la identificación del dispositivo + la hora + la geolocalización + el rol empresarial + el tipo de datos). Y como con SASE la política de seguridad sigue a los datos, no al usuario o al dispositivo, el propio recurso está determinando efectivamente el nivel apropiado de confianza, sólo para una interacción específica, reevaluada cada vez que cambia un parámetro.

Buscar el equilibrio entre permisos y restricciones

Las ventajas de un enfoque de confianza adaptativa continua son múltiples, pero hay tres que destacan como convincentes a la hora de preparar un caso de negocio:

1. Más oportunidades para proporcionar cierto grado de acceso, para reorientar la mayoría de las decisiones de seguridad desde el "no" hacia el "sí, con condiciones..."

2. Se limita el acceso inapropiado, reduciendo el radio de afectación de las cuentas comprometidas

3. La visibilidad de los tipos de datos sensibles, las ubicaciones y los movimientos es mejorada y constante

Los profesionales de la seguridad TI tienen que reconocer que tanto dar acceso como bloquearlo y/o restringirlo forma parte de su trabajo, todo ello bajo la lupa de la reducción de riesgos. Pero si podemos tener una clara visibilidad e información de los usuarios y su entorno, y de todos los recursos y activos de nuestra organización, los cuales varían constantemente sus características con el tiempo, por qué seguir viviendo en un mundo en blanco y negro (todo o nada) cuando podemos y debemos vivir una realidad en constante evolución y con múltiples tonos de gris.

Neil Thacker, CISO EMEA de Netskope