Seguridad Zero Trust: Una guía completa
«Zero Trust es un conjunto de conceptos e ideas diseñados para minimizar la incertidumbre a la hora de tomar decisiones de acceso precisas y con menos privilegios por solicitud en sistemas y servicios de información frente a una red que se considerada comprometida».
Imagine un mundo sin amenazas cibernéticas.Sin piratas informáticos, infiltrados maliciosos o fugas de datos, no hay razón para preocuparse en absoluto. Es posible que ni siquiera tenga un equipo de seguridad en primer lugar.
Pero eso ni siquiera se acerca a la realidad actual, donde los vectores de amenazas son numerosos, su superficie de ataque se está expandiendo, sus datos sensibles están siendo objetivo y la próxima filtración de datos está a la vuelta de la esquina.
La buena noticia es que el acceso seguro no es solo una quimera. Al implementar los principios de Zero Trust, puede proteger con confianza sus activos corporativos y mitigar los obstáculos del entorno empresarial actual en rápida evolución.
Siga leyendo para conocer la importancia de Zero Trust, cómo beneficia la seguridad empresarial y qué puede hacer su organización para realizar una transición exitosa a una arquitectura Zero Trust.
¿Qué es Zero Trust?
El exanalista de Forrester, John Kindervag, desarrolló el concepto de seguridad Zero Trust en 2010. Lo definió como un modelo de seguridad que supone que cada conexión, dispositivo y usuario es una amenaza potencial y debe ser tratado como tal.
A diferencia de la mayoría de las otras estrategias de seguridad cibernética, elimina la confianza implícita y requiere que todos los usuarios, ya sea dentro o fuera de la organización, se autentiquen continuamente antes de que se les otorgue acceso a la red. En pocas palabras, Zero Trust es tal como suena: una política de seguridad bajo la cual nadie, independientemente de su rol o responsabilidad, se asume inherentemente que está a salvo.
Además, el modelo Zero Trust rechaza la suposición de un borde de red. En el panorama actual, el perímetro tradicional ha pasado a ser una serie de microperímetros. Las redes, por ejemplo, pueden ser locales, en la nube o una combinación de ambas. Además, con el auge del acceso remoto, casi no se sabe dónde se puede ubicar un recurso.
Por lo tanto, el enfoque Zero Trust está diseñado específicamente para abordar los desafíos modernos de seguridad de datos, lo que garantiza el acceso seguro a los activos críticos en cualquier momento y lugar. En términos generales, una red Zero Trust hará lo siguiente:
- Registrar e inspeccionar todo el tráfico para identificar actividades sospechosas y posibles vectores de amenazas
- Limitar y controlar el acceso de los usuarios, autorizando solicitudes solo después de que se haya confirmado la identidad del usuario
- Verificar y asegurar los activos corporativos para evitar el acceso no autorizado y la exposición
Por qué es importante Zero Trust
Las empresas se enfrentan a un volumen sin precedentes de ciberamenazas, tanto internas como externas. Los ciberdelincuentes han incrementado significativamente sus esfuerzos y ahora se enfocan en datos confidenciales a un ritmo implacable.
De hecho, a fines de 2023, había un promedio de más de 1000 ataques por organización cada semana. En 2023, 1 de cada 10 organizaciones de todo el mundo sufrió intentos de ataques de ransomware, un aumento del 33 % respecto al año anterior.
Como era de esperar, los ciberdelincuentes no han cedido ni un poco. Según datos de PwC, el 43 % de los ejecutivos consideran la mitigación de los riesgos cibernéticos como su segunda mayor prioridad de mitigación de riesgos, por detrás de los riesgos digitales y tecnológicos.
Para complicar aún más las cosas, las organizaciones han adoptado rápidamente políticas de trabajo remoto e híbrido en los últimos años. Esto ha llevado a una explosión de dispositivos personales no administrados que se conectan a la red corporativa, aumentando así la superficie de ataque de la empresa.
Sin la capacidad de proteger o monitorear los datos confidenciales almacenados y accedidos por estos puntos finales, las organizaciones corren un mayor riesgo de violación de datos que nunca. Esto es especialmente significativo si se tiene en cuenta el precio asombroso de una protección contra amenazas deficiente. Como informa IBM, el costo promedio de una sola violación de datos es de 4,5 millones de dólares. Sin embargo, aquellos que implementan un modelo de seguridad Zero Trust ahorran más de $1 millón por incidente.
Las empresas también deben considerar los riesgos asociados con la transformación digital. Con una mayor dependencia de las aplicaciones basadas en la nube fuera de las instalaciones, las empresas deben implementar estrategias nuevas y sofisticadas para el control de acceso y la aplicación de políticas de seguridad.
¿Cómo se compara Zero Trust con la ciberseguridad tradicional?
Las estrategias tradicionales adoptan un enfoque de "confiar, pero verificar". En otras palabras, asumen que todo lo que está detrás del firewall corporativo es intrínsecamente seguro y protegido.
La seguridad de Zero Trust (Confianza cero), como su nombre lo indica, hace lo contrario. Enmarca las políticas de acceso a través de una lente de «Nunca confíes, siempre verifica». Independientemente de dónde se origine una solicitud o qué recurso pretenda utilizar, los entornos Zero Trust se autenticarán, autorizarán y cifrarán por completo antes de otorgar acceso a la red, nunca después.
Por lo tanto, los recursos corporativos son inaccesibles de forma predeterminada. Sus empleados solo pueden usarlos en las circunstancias adecuadas, según lo determinado por una serie de factores contextuales. Estos pueden incluir la identidad del usuario, el rol en la organización, la confidencialidad del recurso solicitado, el dispositivo en uso, etc.
Componentes clave del marco Zero Trust
Tal como lo describe el Instituto Nacional de Estándares y Tecnología (NIST) e en la Publicación especial 800-207, el enfoque Zero Trust se basa en varias filosofías fundamentales. Fundamentalmente, hay tres principios de Zero Trust integrales para esta política de seguridad única:
- Autenticación continua: Esto se refiere a los medios para otorgar un acceso seguro basado en niveles aceptables de riesgo. De acuerdo con el enfoque Zero Trust, debe autorizar a los usuarios en función de su identidad, ubicación, dispositivo, servicio, carga de trabajo, clasificación de datos, etc. Después de este análisis contextual, simplemente se le puede permitir o solicitar al usuario que proporcione información adicional mediante otro desafío de autenticación o, si el riesgo es muy alto, se lo bloquea.
- Asumir la filtración: Las organizaciones siempre deben asumir una violación de datos. Eso significa que deben segmentar continuamente la red a un nivel granular para reducir o limitar su superficie de ataque, verificar el tráfico de extremo a extremo y maximizar la visibilidad de la actividad del usuario/dispositivo. Esto les permite impulsar la detección de amenazas, detectar anomalías y mejorar siempre sus defensas.
- Acceso menos privilegiado: El acceso debe limitarse en función de las políticas de control de acceso «justo a tiempo» y «solo lo suficiente». En otras palabras, los usuarios o dispositivos solo deben tener permiso para usar los recursos que necesitan para hacer su trabajo y completar tareas críticas.
Cinco pilares o áreas de riesgo de Zero Trust
En 2021, la Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA) creó una hoja de ruta para ofrecer orientación a las agencias federales en la implementación de Zero Trust. Este documento se conoce como Zero Trust Maturity Model y puede ser aprovechado por las organizaciones como uno de los numerosos caminos para diseñar e implementar su propia práctica Zero Trust en torno a las siguientes áreas de riesgo:
- Identidad: Esta área se enfoca en verificar y autorizar usuarios y dispositivos antes de otorgar acceso a la red. Puede incluir la implementación de una solución de gestión de acceso e identidad (IAM) o autenticación multifactor (MFA).
- Dispositivos: Cualquier dispositivo, desde dispositivos IoT a dispositivos móviles personales, conectado a la red corporativa puede explotarse para comprometer datos confidenciales. Este pilar implica crear un inventario de todas las conexiones y monitorear su integridad para una detección rápida de amenazas.
- Redes: Una red Zero Trust asegura todo el tráfico independientemente de la ubicación o el recurso y se segmenta para limitar el movimiento lateral.
- Aplicaciones y cargas de trabajo: Este pilar implica proteger las cargas de trabajo locales y basadas en la nube a través de políticas de acceso a nivel de la aplicación y otros mecanismos.
- Datos: Todos los datos en reposo, en uso o en movimiento se cifran, supervisan y protegen para evitar la divulgación no autorizada.
Es importante tener en cuenta que no existe un proveedor o una solución Zero Trust de una sola vez. Zero Trust es un cambio cultural y de mentalidad, además de tecnológico. Y en lo que respecta a la tecnología, las empresas necesitarán diversas herramientas, a menudo superpuestas para formar una arquitectura Zero Trust (ZTA).
A un alto nivel, algunas de estas tecnologías incluyen:
- Biometría del comportamiento
- Autenticación adaptativa basada en riesgos
- Microsegmentación
- Conciencia contextual
- Inicio de sesión único (SSO)
- Inicio de sesión sin contraseña
Beneficios de una arquitectura Zero Trust
Aunque el término Zero Trust ha existido durante bastante tiempo, la orientación real sobre cómo debe implementarse aún es relativamente nueva. Sin embargo, muchas organizaciones se están preparando para lanzarse de cabeza a sus principios. De hecho, el Estudio del estado de Zero Trust y el cifrado en 2024 mostró que el 61 % de las organizaciones encuestadas por el Ponemon Institute han comenzado su propio viaje hacia Zero Trust. Además, Gartner predice que para 2026 al menos el 10 % de las grandes empresas tendrán una arquitectura Zero Trust madura y medible.
Una vez que considera las ventajas, es claro ver por qué este es el caso. Una sólida política de seguridad Zero Trust le permite:
- Reduzca el riesgo organizacional minimizando la confianza implícita y yendo más allá de la seguridad de red tradicional
- Respalde el cumplimiento protegiendo los datos confidenciales y mitigando los vectores de amenazas
- Proteja implementaciones de nubes múltiples e híbridas con control de acceso a nivel de aplicación
- Reemplace o aumente una VPN para fortalecer el acceso remoto y el cifrado
- Incorpore empleados rápidamente y escale su negocio con la confianza de que la superficie de ataque está bien defendida
¿Cómo se implementa Zero Trust?
En términos generales, el proceso de implementación se puede dividir en unos pocos pasos básicos:
- Identificar la superficie de protección: En otras palabras, evaluar todos los activos críticos, incluidos los puntos finales, los usuarios, las aplicaciones, los servidores y los centros de datos, a los que podrían apuntar los piratas informáticos.
- Mapear dónde residen sus datos y sus flujos: Esto le permite inspeccionar y verificar las transacciones de la red para asegurarse de que solo los usuarios y las aplicaciones correctos tengan acceso a los activos correctos.
- Adoptar un enfoque centrado en la identidad: Sin el perímetro de seguridad tradicional, la identidad es el nuevo perímetro y ahora está a la vanguardia de la seguridad de los datos. Por lo tanto, las tecnologías de gestión de identidad y acceso y la tecnología basada en certificados son clave para evitar que las credenciales caigan en manos equivocadas.
- Monitorear, mantener, mejorar: El monitoreo continuo de su entorno no solo agiliza la detección de riesgos, sino que también le permite detectar vulnerabilidades de manera proactiva y mitigarlas en tiempo real. Para credenciales como claves, certificados y secretos, la gestión del ciclo de vida y la automatización son una necesidad.
Hay que tener en cuenta que la implementación de Zero Trust lleva tiempo y no está exenta de obstáculos. Con una amplia gama de políticas, procedimientos y tecnologías requeridas, el proceso suele ser un esfuerzo de varios años.
Además, los sistemas heredados plantean otro desafío abrumador, ya que muchas herramientas antiguas no pueden funcionar ni respaldar algunos principios de Zero Trust. Reemplazar los controles de seguridad existentes y modernizar la tecnología puede ser un proceso costoso, y las restricciones financieras podrían introducir barreras adicionales.
Teniendo en cuenta estos factores, lo mejor es adoptar un enfoque por etapas e iterativo. Si se toma su tiempo y realiza cambios graduales, su postura de seguridad mejorará y se reforzará con el tiempo.
Consulte esta guía para obtener más información sobre cómo implementar Zero Trust.
Cómo Entrust puede apoyar su proceso de Zero Trust
En Entrust, sabemos que Zero Trust es la mejor práctica para la ciberseguridad empresarial. Es por eso que hemos desarrollado una cartera de soluciones que pueden proporcionar una base sólida para desarrollar su arquitectura de Zero Trust.
En conjunto, nuestra solución está diseñada para cubrir las bases y mantenerlo protegido en tres componentes críticos:
- Identidades resistentes al phishing: Las credenciales robadas y comprometidas son dos de las causas raíz más comunes de las filtraciones de datos. Combinamos MFA, seguridad sin contraseña, políticas de control adaptativo, biometría y otras herramientas para mitigar el riesgo de ataques basados en la identidad.
- Salvaguarda la infraestructura crítica: Con los datos moviéndose constantemente a través de redes públicas y privadas, y un número cada vez mayor de usuarios y máquinas intentando acceder, estas conexiones y entidades necesitan estar protegidas. Los certificados digitales son un componente clave para alcanzar una práctica de seguridad madura y resistente proporcionando identidad, cifrado y firma sólidos, al tiempo que aplica el control de acceso.
- Datos seguros: Nuestra cartera cifra los datos en reposo, en uso y en movimiento, al mismo tiempo que mantiene una infraestructura clave descentralizada. Esto garantiza la confidencialidad, la integridad y el acceso seguro, al mismo tiempo que cumple con los estrictos requisitos de cumplimiento.
Más que un simple proveedor, somos su socio en cada paso del camino.