El modelo de seguridad de confianza cero semeja estar en boca de todos en estos días. La razón de esto es la evolución global de la forma en que pensamos sobre la ciberseguridad: nos estamos distanciando de la construcción de muros en torno a los activos clave y optamos por ser inteligentes y proactivos para resguardarlos. Esto es posible al centrarse en los datos como palanca de seguridad y esto ha estado en el corazón de todo el término de confianza cero.
Sin embargo, aún hay un aura de misterio en torno a la confianza cero, una imagen de (una suerte de) secreto desatendido que encaja a la perfección con su declaración de misión de "jamás confiar y siempre y en todo momento contrastar". En el próximo artículo, disiparemos cuando menos los 5 mitos más comunes sobre la arquitectura de confianza cero mientras que nos ajustamos a ciertas verdades menos conocidas sobre esta esencial pieza del rompecabezas de seguridad actual.
(*5*)1) La confianza cero no es un producto, sino más bien un modeloEs un fallo común que probablemente ha superado su bienvenida. La confianza cero no se puede adquirir en una tienda y, por servirnos de un ejemplo, no se puede conjuntar el control de acceso y una política de administración de identidad para transformarlos en una implementación de confianza cero en toda regla.
En base a esto, la confianza cero se puede describir como un conjunto de principios de seguridad incorporados bajo el paraguas de una arquitectura de red de confianza cero concreta. Estos han de estar apoyados por la implementación de políticas convenientes de confianza cero. Esto es más una "filosofía", siempre y cuando su modelo de seguridad implique disminuir al mínimo la superficie de ataque, contrastar cada caso y quitar la dependencia del modelo de seguridad sobre la marcha.
Para aprovechar al límite la implementación de la confianza cero, va a deber renovar su enfoque para organizar y clasificar datos, métodos de autorización de contratistas y distribuidores y mapeo de activos clave en la red. Esta es la razón por la que la confianza cero es un enfoque de abajo cara arriba en el que aun los sistemas que no guardan relación con la seguridad han de estar alineados con su principal objetivo.
2) La confianza cero sirve a organizaciones grandes y pequeñas
En ese instante, la historia de la confianza cero como nuevo modelo de seguridad se escuchó eminentemente de boca de grandes empresas, como Google. Esto sembró las semillas de las que brotó la idea equivocada de que la confianza cero es un modelo costoso, complejo y bastante difícil de incorporar, solo conveniente para grandes organizaciones. Realmente, esta aseveración solo funcionaría si las violaciones de datos se limitaran a las grandes empresas, lo que difícilmente refleja las estadísticas reales.
Por el contrario, hallamos que alrededor del cuarenta y tres% de los ciberataques se dirigen a las pequeñas empresas, el sesenta% de las que quebran a consecuencia de estos ataques. No, la confianza cero no es para las grandes empresas solo pues las pequeñas empresas están expuestas a exactamente las mismas amenazas cibernéticas. El hecho de que tiendan a cerrar sus puertas a resultas de estos ataques solo muestra que las pequeñas empresas carecen de recursos suficientes para recobrarse de los ciberataques de los primordiales actores.
Además, puesto que la confianza cero no es un producto (ver arriba), su implementación se puede introducir gradualmente, lo que es una bendición para las organizaciones pequeñas que no desean ir a la quiebra. Gracias a él, aun una inversión anual modesta en la implementación de un modelo de confianza cero puede eludir que su negocio padezca daños potenciales en el futuro.
3) La implementación de confianza cero daña la disponibilidad de la red
El modelo de seguridad de confianza cero brotó de la idea de que debemos quitar la presunción de que el tráfico de la red interna es seguro de manera predeterminada. Con este nuevo enfoque en la seguridad de toda la red que va alén del perímetro exterior, era simple aceptar (equivocadamente) que la confianza cero dañaría de alguna forma el tiempo de actividad de la red en toda la organización.
De hecho, sostener exactamente el mismo nivel de vigilancia sobre el componente interno de seguridad de la red le ofrece más información sobre de qué manera está operando el tráfico en su red. Además de esto, puede acrecentar la visibilidad de cada usuario en él.
Al mismo tiempo, la aplicación del modelo de confianza cero destaca la seguridad, que por definición asegura exactamente los mismos activos que existen en una red. En vez de tener que desplazar esos activos todo el tiempo y sobresaturar el sistema con controles internos auxiliares, el modelo de confianza cero le deja manipular activos clave de forma más libre y eficaz, sencillamente pues sabe que su seguridad no lo es. primer sitio.
4) La confianza cero ofrece una experiencia de usuario más pobre
Deje de lado sus temores, el modelo de confianza cero no abruma los recursos que precisa para interaccionar con sus empleados o bien clientes del servicio. En verdad, marcha de forma bastante transparente si se incorpora en toda la organización. Esto quiere decir que todo, desde una sola aplicación hasta un flujo de trabajo, deberá cumplirlo a fin de que funcione adecuadamente.
En primer sitio, sus empleados o bien contratistas ya no le presentarán una responsabilidad de seguridad en el momento en que decidan parar de hacer negocios con . Su acceso a activos clave se anulará inmediatamente, en vez de dejar puertas traseras y posibles puntos enclenques.
Otro punto clave es la supresión de la práctica de estar sobrecargado con peticiones de autentificación en niveles más bajos. Puesto que estas peticiones por norma general implican un acceso usual a los activos por la parte de perfiles de usuario de bajo peligro, suprimirlas verdaderamente va a mejorar su experiencia de usuario y su eficacia debido a la menor dificultad general de este nuevo modelo de seguridad.
5) ¿Zero Trust solo está libre en el lugar?
Una implementación de confianza cero existe como implementación local, sí, mas asimismo se puede aplicar sencillamente a la nube o bien sistemas híbridos. En verdad, la nube se ha transformado en una parte de una superficie de ataque virtual que puede estar expuesta a ciberataques peligrosos.
Nada le impide establecer los límites de su zona de confianza cero en la nube, siempre y cuando adapte los controles de su red a ese ambiente concreto. Uno de estos enfoques es decantarse por la seguridad basada en la nube como una parte de su estrategia de confianza cero. Asimismo puede disminuir al mínimo la superficie de ataque definiendo contextos en los que los usuarios tienen acceso a los recursos basados en la nube.
En conclusión
Entonces, ¿cero confianza quiere decir que no tiene la suficiente confianza? Volviendo a lo que afirmamos previamente, la confianza cero se comprende mejor como un viaje cara una mejor seguridad, no como una solución de la noche a la mañana para una pluralidad de inconvenientes. Sí, se fundamenta en la premisa de que todo debe examinarse, mas eso no quiere decir que su organización se haya vuelto súbitamente sospechosa o bien paranoide. Es sencillamente un reflejo de las duras realidades del planeta cibernético actual.
La confianza cero busca quitar el sistema basado en la confianza de la ecuación de seguridad sencillamente pues se ha explotado con demasiada frecuencia en accidentes de alto perfil. La confianza es una noción personal y humana, y como activo de seguridad brotan demasiadas variables impredecibles.
En cambio, el modelo de confianza cero reconoce que las redes de gran escala de el día de hoy son lugares hostiles, y pretender que las últimas 2 décadas de incidentes de seguridad jamás ocurrieron significa invitar a otra violación de datos como un tema costoso que daña la reputación y las finanzas.