Derribando los tres mitos de la Confianza Cero
- Opinión
Para Ilona Simpson, CIO EMEA en Netskope, un enfoque de confianza cero bien ejecutado conduce a una mejora tangible de la postura de seguridad y a agilizar los procesos de negocio.
La confianza cero es una cuestión recurrente en la actualidad. Pero bajo su atractivo enunciado se oculta una gran confusión acerca de su significado exacto. Vamos a derribar los tres principales mitos sobre la confianza cero, y con ello, esclarecer cualquier duda sobre el tema.
Mito 1: La confianza cero es una tecnología
La confianza cero no es una tecnología que se pueda adquirir. Los proveedores y fabricantes de seguridad informática no pueden comercializar un dispositivo o servicio de confianza cero. Se trata de un principio que sustenta las políticas y arquitecturas de seguridad, y en el que el servicio de acceso seguro en el borde (SASE) es la arquitectura lógica para darle forma y el servicio de seguridad en el borde (SSE) lo que puede comprarse para proporcionarla.
Por tanto, la confianza cero es una estrategia; SASE, una arquitectura; y SSE, los servicios proporcionados basados en un stack de tecnología.
Entonces ¿en qué consiste el principio de confianza cero? Cuando se toman decisiones sobre el acceso a los datos, se debe partir de una premisa inicial: “de entrada, no hay que fiarse de nada ni de nadie”. A partir de aquí, el acceso se concederá sobre la base de decisiones continuas, adaptables y conscientes del contexto. Este enfoque se centró inicialmente en ámbitos muy básicos (identidad/dispositivo y credenciales de destino de una aplicación privada) y en opciones binarias de políticas de "permitir/denegar", pero con los avances en los conocimientos granulares que pueden derivarse de los sistemas de seguridad, se ha desarrollado más allá. Como norma, ahora debería utilizar información sobre: el comportamiento del usuario, la identidad, el riesgo de la aplicación, los datos, el dispositivo y el riesgo.
Mito 2: El acceso a la red basado en confianza cero es el final de la historia
El acceso a la red basado en confianza cero (ZTNA) es un excelente proyecto inicial, y una importante piedra angular en el camino hacia una arquitectura segura de confianza cero. Pero hay cinco fases obvias que vemos en una estrategia de confianza cero.
• Fase 1: Establecer la línea base de acceso de confianza cero (es decir, empezar con un acceso de confianza cero - sin confianza inicial)
• Fase 2: Enriquecer el punto de referencia de confianza para la autorización dentro de las actividades de la aplicación (es decir, pasar al "acceso adaptativo a la aplicación")
• Fase 3: Aplicar controles de confianza explícitos a los destinos de riesgo (por ejemplo, hacer uso de tecnologías de aislamiento bajo demanda)
• Fase 4: Investigar continuamente y eliminar el exceso de confianza. Adoptar y aplicar un modelo de mínimos privilegios en todas partes (esto es la protección continua de los datos)
• Fase 5: Reforzar la postura de seguridad y confianza con un perfeccionamiento de las políticas en un bucle cerrado (los análisis en tiempo real son indispensables aquí)
En pocas palabras, el acceso a la red es sólo el comienzo de una estrategia de confianza cero, y hay muchos más beneficios cuando se amplía el principio para centrarse en los datos, en lugar de intentar alinearse con los modelos tradicionales de seguridad del perímetro.
Mito 3: La confianza cero es una cuestión puramente de seguridad
Aunque a menudo lo inician los departamentos de seguridad, y el principal motor al comienzo puede ser una mejora de la postura de seguridad de una organización, el principio de confianza cero es relevante más allá del departamento de seguridad, cuando se reconoce que la seguridad es un facilitador de la agilidad y los objetivos de negocio. En términos prácticos, si se diseñan e implementan correctamente, las iniciativas de confianza cero ayudan a los CIOs a consolidar a proveedores y fabricantes, a mejorar la transparencia en la integración de los servicios y a conseguir una mayor eficiencia operativa. Y dado que estas iniciativas abarcan a los departamentos de seguridad, nube y redes, pueden utilizarse como catalizadores para fomentar la colaboración entre funciones del negocio.
Una postura de seguridad robusta, informada por los principios de confianza cero, significa que:
1. El usuario y la ubicación de los datos ya no son factores limitantes, por lo que las empresas pueden realizar ajustes geográficos de manera ágil
2. Los departamentos de la empresa tienen la flexibilidad de incorporar nuevos socios, cambiar de ubicación y explorar nuevos modelos de negocio sin que sus acciones aumenten el perfil de riesgo de la organización
3. Las organizaciones pueden poner a prueba nuevas soluciones digitales y encontrar ganancias de productividad sin tener que pasar siempre por autorizaciones de seguridad que requieren mucho tiempo y que pueden llevar meses antes de que una aplicación pueda ser útil.
En conclusión, aunque se habla mucho de la confianza cero, no es sólo una palabra de moda. Un enfoque de confianza cero bien ejecutado conduce a una mejora tangible de la postura de seguridad y a agilizar los procesos de negocio.
Ilona Simpson, CIO EMEA en Netskope