La Confianza cero y por qué no siempre se trata sólo de la identidad

Creer que la confianza cero se basa únicamente en la identidad del usuario es, en mi opinión, un malentendido fundamental del concepto. Esta idea errónea puede dar lugar a vulnerabilidades potenciales que, a su vez, pueden provocar graves incidentes de ciberseguridad, ese tipo de incidentes que la organización intentaba evitar al adoptar como primer paso la Confianza Cero.

La identidad importa, pero cada vez es menos fiable

La identidad es, en efecto, un factor fundamental de la Confianza Cero y, durante muchos años, las empresas han utilizado la autenticación multifactor (MFA) para garantizar la protección de sus datos sensibles. Sin embargo, el panorama de las amenazas está evolucionando y algunos expertos estiman ahora que hasta el 70% de las opciones de MFA son tan fáciles de vulnerar con ingeniería social y phishing.

Partiendo de la premisa de que la confianza – en cualquier ámbito – es un proceso polifacético y que debe construirse a lo largo del tiempo, también debe haber múltiples formas de verificación para lograr dicha Confianza Cero. La simplificación puede dar una falsa impresión de seguridad y abrir una posible brecha cibernética.

Múltiples medidas de seguridad, un único punto de control

La Confianza Cero debe partir del supuesto de que un sistema puede verse y se verá comprometido. Cuantas más medidas se apliquen para protegerlo, más confianza podremos depositar en él. Lo más importante es utilizar un único punto de aplicación de políticas (PEP) para controlar el tráfico de información procedente de estas diferentes medidas.

La autenticación de la identidad es una de las primeras medidas y más utilizadas para la confianza cero y que incluye elementos como la identidad descentralizada, marcos de MFA más avanzados y métodos biométricos sin contraseña. Sin embargo, no es suficiente por sí sola. Existen otros elementos que también deben incluirse para garantizar una infraestructura de Confianza Cero segura y robusta:

- El dispositivo: no es sólo quien eres sino qué dispositivo se usa. Un usuario totalmente autenticado en un dispositivo comprometido sigue siendo un riesgo para la seguridad. La Confianza Cero debe diferenciar los dispositivos corporativos de los personales, examinar su estado, los niveles de parches y las configuraciones de seguridad antes de permitir el acceso.

- Ubicación. A raíz del trabajo híbrido, las organizaciones deben anticiparse a los usuarios que intentan acceder a material desde distintas ubicaciones. Por lo tanto, debe existir un sistema que pueda detectar tendencias inusuales. Por ejemplo, si un usuario intenta conectarse un día desde Londres y a la hora siguiente lo hace desde el otro extremo del mundo, el sistema debe detectarlo. Del mismo modo, el sistema debe señalar si alguien se conecta al mismo tiempo desde dos lugares distintos.

- Aplicación. Con el aumento de los servicios en la nube, hay muchas aplicaciones que compiten y que realizan la misma función. Por lo tanto, los departamentos de seguridad deben examinar y aprobar las aplicaciones específicas para uso corporativo y, cuando sea necesario, establecer controles avanzados y/o restricciones sobre las aplicaciones no aprobadas para mitigar la posible pérdida de datos.

- Instancia. Dentro de cada aplicación en la nube, existen diferentes tipos de instancias de la misma aplicación. Por ejemplo, muchas organizaciones permiten a los empleados utilizar sus aplicaciones personales en la nube, como las instancias personales de Microsoft 365. Sin embargo, esto puede plantear problemas, especialmente si se comparten datos confidenciales de la empresa con una aplicación personal. Por lo tanto, cada instancia de cada aplicación también debe ser pensada.

- Actividad. La Confianza Cero se extiende a cómo las aplicaciones interactúan entre sí y cómo acceden a los datos. Incluso dentro de la sesión de un solo usuario, las acciones que una aplicación realiza en nombre de ese usuario están sujetas a escrutinio.

- Comportamiento. La identidad puede conceder a los usuarios el acceso inicial, pero el comportamiento posterior debe ser objeto de escrutinio continuo. Si un empleado (o entidad) empieza a acceder a grandes volúmenes de datos de repente o descarga archivos sensibles, deben sonar las alarmas, incluso si el usuario fue autenticado inicialmente.

- Datos. En el centro de la confianza cero están los datos: se trata de garantizar su integridad y confidencialidad. Esto significa cifrar los datos en reposo y en tránsito, y supervisar los patrones de acceso a los datos en busca de anomalías, independientemente de la identidad del usuario. Esto incluiría medidas para automatizar la categorización de los datos y la aplicación de controles específicos o mejorados en caso de que la categoría lo requiera.

Es innegable que la identidad es una piedra angular del modelo de confianza cero, pero sigue siendo sólo una pieza de una estructura compleja. Si una organización se concentra demasiado en la identidad, está abocada al fracaso y corre el riesgo de sufrir el tipo de brecha cibernética que la confianza cero pretende evitar.

La verdadera Confianza Cero sólo se consigue cuando una organización tiene un enfoque integrado y holístico que tiene en cuenta todos los puntos de contacto, usuarios y dispositivos.

Al incorporar todos los elementos mencionados en su enfoque de Confianza Cero (incluida la identidad), las organizaciones pueden operar con mucha más confianza y la seguridad puede convertirse en un verdadero habilitador, lo que permite innovar y adaptarse a lo que la empresa necesite, ya sea adoptar nuevas aplicaciones, integrar IA, expandirse a nuevos mercados o fomentar el trabajo híbrido.

Por Neil Thacker, CISO de Netskope para EMEA