La seguridad de zero trust es un planteamiento que exige que los usuarios (o más bien los dispositivos), tanto los que están como los que no están en la red corporativa, demuestren su identidad para poder acceder a las aplicaciones, datos y recursos de la empresa. Por último se concede acceso a los usuarios, si esa es la intención. Así, el término zero trust o confianza cero significa que no se confía en ningún usuario cuya identidad aún no haya sido verificada.
En el enfoque de seguridad tradicional basado en el perímetro, los dispositivos conectados a la red corporativa se consideran de confianza desde el primer momento. Esta suposición de que los dispositivos situados dentro de la red de la empresa no pueden causar ningún daño es errónea.
El número de ciberamenazas y la complejidad y frecuencia de los ciberataques han aumentado en los últimos años. Si uno de los extremos de la red se infecta, el daño se propaga como un reguero de pólvora, y así el atacante puede desplazarse fácilmente de un segmento a otro. La seguridad basada en el perímetro está diseñada para defenderse de los ataques del exterior, mientras que las operaciones dentro del perímetro son difíciles de controlar.
Cualquier debilidad que se produzca internamente puede resultar devastadora. Ya se han producido varios ataques de este tipo en los que las empresas han sufrido enormes daños debido a vulnerabilidades internas.
Además, las empresas no pueden confiar exclusivamente en este enfoque, dado que también hay usuarios y dispositivos que se encuentran fuera de su red. Con tendencias como el trabajo remoto, el trabajo nómada, el cloud computing y muchas otras, es difícil para las empresas establecer un perímetro y aplicar las mismas medidas de seguridad fiables que en un entorno de oficina tradicional.
Por ello, muchas recurren a soluciones basadas en redes privadas virtuales (VPN). Las VPN llevan mucho tiempo en el mercado, pero no ofrecen suficiente seguridad. ¿Por qué?
En el pasado, la mayoría de las empresas utilizaban una VPN para acceder a sus propias redes. Hoy, en cambio, emprenden más iniciativas de transformación digital que nunca y trasladan al cloud recursos corporativos como los datos y las aplicaciones.
Por norma general, un usuario que accede a una red corporativa a través de una VPN tiene acceso a todos los recursos de la red. El riesgo de ataques de ransomware, infecciones de malware y fugas de datos es mayor en la actualidad, ya que puede que el usuario se salte el cortafuegos de la empresa para navegar por Internet. Otro escenario posible es que el dispositivo personal de un usuario sea vulnerado y exponga los recursos corporativos a aún más amenazas a través de un cliente de VPN disponible.
Otro problema de las VPN es la falta de información sobre el tráfico de usuarios. Se trata, pues, de un escenario de riesgo. Imaginemos a un empleado accediendo a una aplicación empresarial desde una cafetería a través de su portátil. Es probable que este portátil esté conectado a una red no segura y se convierta así en un blanco fácil para los hackers, que lo atacan con malware o lanzan un ataque de ingeniería social.
Las VPN tenían sentido cuando el panorama digital no era tan complejo como ahora y había menos amenazas, las cuales, además, eran más conocidas. En cambio, las amenazas actuales poseen una gran complejidad y no pueden gestionarse adecuadamente con una solución VPN.
También es importante recordar que una VPN dirige el tráfico a la sede de la empresa o a otra ubicación central donde se aplican las directrices de seguridad. Esto significa que el tráfico para la verificación de datos y otros procesos fluye hacia la ubicación central. Sin embargo, este es un punto débil del enfoque, ya que surgen latencias adicionales y se ocupa más ancho de banda. En pocas palabras: usar una VPN implica una experiencia de usuario más lenta.
Con el auge de las arquitecturas multicloud y la mayor movilidad de los empleados, el perímetro de la red parece ir perdiendo importancia día tras día.
Ante este panorama en rápida evolución, las empresas necesitan una solución de seguridad que permita:
Todas estas características están incluidas en la solución moderna de zero trust, pero veamos más de cerca en qué se diferencia de la seguridad basada en el perímetro.
Ya hemos abordado la necesidad de verificar la identidad antes del acceso, pero ¿es suficiente con identificar el dispositivo o al usuario? No, porque aquí el contexto también es un parámetro importante. En este caso, contexto significa fecha, hora, posición geográfica y estado de seguridad del dispositivo. Todos estos parámetros también se comprueban,
lo que permite acceder a las aplicaciones y datos empresariales en función del contexto. Pero recuerda que la autorización de acceso no se concede para siempre y la verificación no es un proceso único, sino que se realiza constantemente. Por tanto, si el usuario no supera la comprobación de seguridad o de contexto en la siguiente sesión, es probable que se le revoquen los derechos de acceso.
Menos riesgos
Confiar en todos los dispositivos de una red corporativa es un riesgo importante que el enfoque de zero trust elimina. Independientemente de la red o la ubicación del usuario, su identidad se verifica en cada sesión. Con una comprobación tan rigurosa y continua, la zero trust mitiga los riesgos y vulnerabilidades que de otro modo podrían pasarse por alto.
Más transparencia
Las empresas tienen una mejor visión de conjunto de los dispositivos conectados a la red y pueden supervisar las actividades de forma continua.
Seguridad más allá de la red
La zero trust está diseñada para proporcionar seguridad más allá de la capa de red e incluso a nivel de las aplicaciones.
Experiencia de usuario más rápida
Con zero trust, el usuario se conecta directamente a través de una conexión segura sin que el tráfico pase primero por una ubicación central de la empresa. Esto reduce la latencia y permite una experiencia de usuario más rápida y mejor.
Menor superficie de ataque
Zero trust oculta las aplicaciones empresariales y los recursos críticos para que Internet no los vea. Así, el hecho de poder acceder a una de las aplicaciones no implica que al mismo tiempo se pueda acceder a todas las demás. Los usuarios no autorizados no pueden encontrar las otras aplicaciones porque son «invisibles».
La tendencia a trabajar desde casa o estando de viaje ha aumentado desde la pandemia de Covid-19. Y la tendencia hacia el trabajo remoto seguirá en aumento.
Algunas estadísticas interesantes sobre el trabajo a distancia (datos de 2023):
Fuente: Estadísticas y tendencias del teletrabajo en 2023; 2023, www.forbes.com
La tendencia al trabajo remoto ha hecho aumentar el número de puntos finales, ya que los empleados utilizan múltiples dispositivos para acceder a los datos y a las herramientas empresariales. Por lo tanto, proteger esos puntos finales y supervisar el tráfico es importante para todas las empresas.
Gartner predice que el 10 % de las grandes empresas utilizarán el modelo zero trust en 2026. Para entonces, su modelo zero trust estará maduro y podrá evaluarse. En la actualidad, menos del 1 % de las empresas cuentan con un modelo zero trust plenamente desarrollado.
Fuente: Gartner predice que el 10 % de las grandes empresas dispondrán de un programa de zero trust maduro y mensurable en 2026; 2023, www.gartner.com
Sin embargo, estos son los datos para las grandes empresas: en general, alrededor del 60 % de las empresas utilizarán seguridad de zero trust en 2025. En su informe de diciembre de 2022, Gartner confirmaba que el enfoque de zero trust ha dejado atrás las exageraciones de marketing para convertirse en una realidad que hoy las organizaciones deben tener en cuenta como parte de su estrategia de seguridad. Zero trust es el avance de más rápido crecimiento en el área de la seguridad de redes.
¿Necesitas asesoramiento sobre cómo empezar a utilizar la seguridad de zero trust? Ponte en contacto con nosotros.
En septiembre presentaremos la siguiente parte del blog sobre la implantación de la seguridad de zerto trust.
T-Systems es uno de los principales proveedores de seguridad de Europa. En 2022 también fuimos galardonados por ISG en las áreas de Strategic Security Services, Managed Security Services y Technical Security Services para Alemania.