La popularización del trabajo en remoto, impulsado por las medidas de protección y confinamiento consecuencia de la COVID-19, ha consolidado la idea de que el perímetro de seguridad se ha trasladado fuera de la empresa. Para que la actividad de la empresa continuara durante este tiempo, organizaciones de todo tipo han tenido que reaccionar con rapidez, creando entornos de trabajo remotos y desplegando nuevas herramientas de seguridad.
Construir una fuerza laboral en remoto hoy, segura y pensada para permanecer, requiere de un marco de seguridad que pueda ser utilizado hoy y en el futuro, manteniendo protegidos personas, datos e infraestructura. Y ahí es donde entra la confianza cero.
Las organizaciones deben garantizar que, en todo momento, las personas adecuadas disfrutan del nivel de acceso, recursos y contextos adecuados, sin preocuparse de si están en sus casas o preparándose para regresar a la oficina.
Mucho antes del comienzo de la pandemia, organizaciones de todo tipo y de todas las partes del globo, ya habían comenzado su viaje hacia una seguridad de confianza cero, dando los primeros pasos en el campo de la identidad, adoptando herramientas y mejores prácticas como el inicio de sesión único y la autenticación multifactorial para usuarios internos y externos, y el acceso a APIs (interfaz de programación de aplicaciones, por sus siglas en inglés).
Para disponer de una imagen más precisa de la situación mundial de la confianza cero, hace unos meses en Okta entrevistamos a 500 responsables de seguridad de América del Norte, EMEA, Australia y Nueva Zelanda (ANZ), sobre sus iniciativas en este terreno. Estos resultados se han utilizado para elaborar nuestro estudio titulado “El estado de confianza cero en la seguridad en las organizaciones globales“.
Índice de temas
Entre otras, el estudio revela interesantes conclusiones:
La moderna seguridad de confianza cero se ha afianzado.
Al analizar los resultados, una de las primeras tendencias que identificamos es que la adopción de la confianza cero crece. A nivel mundial, el 40% de las empresas ya están implementando proyectos alineados con este enfoque moderno de seguridad cero. Pero si detallamos por territorios, encontraremos que en Norteamérica las empresas superan ya el 60%, el 50% en ANZ, pero en EMEA la situación es preocupante, pues apenas llegan al 18%. En Norteamérica hemos podido ver un impresionante aumento del 275% en el número de organizaciones que tienen, o que planean, poner en marcha políticas de confianza cero en los próximos 12 a 18 meses. Es evidente que la confianza cero ha llegado para quedarse.
Las API están impulsando en todo el mundo un cambio en la seguridad.
La economía de las API permite a las empresas aprovechar las tecnologías existentes, compartir datos y optimizar la producción. Pero también es importante recordar que las API son hoy un gran vector de amenazas, tanto que para 2021 Gartner predice que el 90% de las aplicaciones web se verán amenazadas por API desprotegidas en lugar de por interfaces de usuario.
Aunque las empresas fuera de América del Norte pueden ser más lentas a la hora de adoptar herramientas de identidad para el acceso a aplicaciones por parte de los empleados, son sin embargo las que lideran la construcción de soluciones basadas en API, como la banca electrónica y, como resultado, son líderes en seguridad API. En la región EMEA, el 41% de las empresas, y el 30% en ANZ, han ejecutado proyectos para proteger el acceso a las API, frente al 26% en América del Norte.
Las decisiones de acceso priorizan dispositivo sobre red
Otro dato interesante es el relativo a las señales de peligro utilizadas en las decisiones de acceso. El panorama para las decisiones de acceso basadas en el contexto también está cambiando a nivel mundial: el año pasado, el 55% de los encuestados mencionaron la red como el elemento principal para determinar el acceso basado en contexto; mientras que este año sólo lo ha hecho el 20%.
Sin embargo, en todas las regiones e industrias, las organizaciones se centran cada vez más en la postura del dispositivo, ya sea que el dispositivo se reconozca, se administre o se verifique, y la ubicación física. En 2019, vimos que el 37% de los encuestados quería que los dispositivos se reconociesen, el 52% que se gestionasen y el 51% que se verificasen. Este año, esos números han crecido al 58%, 56% y 58% respectivamente. Todo esto consolida la idea de que las personas (y sus dispositivos) son el nuevo perímetro.
Estamos todos juntos en esto
Las empresas con perspectiva están recurriendo a los sistemas de gestión de identidades y acceso (IAM) para servir de base en la construcción de su pila tecnológica de confianza cero.
La integración con sistemas SIEM (Gestión de Eventos e Información de Seguridad) encabeza la lista de prioridades de muchas empresas hoy, y en EMEA y ANZ el 76% de las empresas participantes en el estudio tienen planes para adoptar SIEM en los próximos 12 a 18 meses, cifra que baja al 41% en América del Norte. Y más aún, en este año, sólo el 11% de las empresas dicen que no están priorizando ninguna nueva integración de seguridad con el sistemas de gestión de identidad y acceso, frente al 36% del año pasado.
Poco a poco nos estamos acostumbrando a formar parte de una fuerza de trabajo a distancia, y eso significa que nuestras empresas necesitan dotarse de herramientas seguras que lo faciliten. Y mientras averiguamos cuál es nuestra nueva normalidad, en lo único que realmente podemos “confiar” es en la confianza cero.