Lo primero que debe entender un ejecutivo sobre Zero Trust es que no se trata de un producto, sino de un enfoque estratégico de la seguridad. Muchos CIO asumen, equivocadamente, que pueden utilizar su infraestructura de ciberseguridad existente para implementar medidas de protección del tipo Zero Trust. Sin embargo, es imprescindible que las organizaciones adapten un nuevo modelo si se quiere aprovechar todo el potencial que ofrece la confianza cero.
Impulsados por la transición hacia la nube y los modelos de trabajo híbridos, los datos y las aplicaciones ya no se alojan exclusivamente en los centros de datos, y los empleados ya no se mueven exclusivamente por las redes de la empresa; necesitan poder acceder a su trabajo desde cualquier lugar. Por eso, la confianza cero en las empresas empieza por no conectar a los usuarios a la red tradicional de la empresa. Su objetivo es proporcionar una conexión segura y de alto rendimiento a las aplicaciones que un empleado necesita, sin que el usuario tenga que conectarse a la red corporativa, e independientemente de dónde esté alojada la aplicación.
Estas son algunas de las principales cuestiones que debe tener en cuenta cualquier organización que inicie su proceso hacia la confianza cero:
Índice de temas
¿Simplificar o actualizar?
Del mismo modo que en la transición del motor de combustión a la electromovilidad, el pasar en la empresa a un enfoque totalmente basado en la confianza cero requiere de un cambio fundamental en la forma de pensar. Hace falta mucha valentía para abandonar gradualmente la infraestructura de seguridad centrada en la red que se ha ido construyendo a lo largo de muchos años. Muchos CIO intentan en primer lugar actualizar su infraestructura existente en respuesta a la evolución de las necesidades.
Sin embargo, intentar combinar la confianza cero con el hardware de seguridad tradicional no hace más que cambiar de lugar los problemas sin llegar a resolverlos de verdad. El hardware debe ser sustituido por un modelo basado en una plataforma que ofrezca servicios de seguridad y de gestión centralizada. Con ello la complejidad se reduce gracias a un enfoque de una seguridad fácil de gestionar que se centra en la administración de las reglas de acceso a las aplicaciones, la supervisión de los flujos de datos y la prevención del acceso no deseado o la divulgación de los datos.
¿Protección de la inversión o un cambio en el valor añadido?
Un cambio tan radical puede ser difícil de asumir en los equipos de redes y seguridad, hasta llegar incluso a la figura del director de tecnología, ya que proteger la inversión es siempre una de las prioridades. A menudo, hay que finalizar las amortizaciones y completar con éxito el análisis de los casos de negocio antes de evaluar nuevos planteamientos. El CIO también tiene que enfrentarse a la transformación del modelo de negocio que es inevitable cuando la infraestructura no está en manos de la empresa.
El modelo Zero Trust dota a los equipos de seguridad de una imagen de todos los flujos de datos en una única consola de gestión. De este modo, se allana el camino hacia una digitalización segura, ya que incluso los entornos tradicionales de OT o IIoT pueden protegerse mediante la confianza cero. Este enfoque integral no solo permite a los usuarios acceder de forma remota a las aplicaciones, sino que también proporciona una interfaz para conectar con terceros o tecnologías externas.
¿Infraestructura online expuesta o reducir la vulnerabilidad a los ataques?
Uno de los aspectos más importantes de la introducción del modelo de confianza cero es la eliminación efectiva de la superficie de ataque externa. Una infraestructura tradicional de cortafuegos, proxies y pasarelas VPN necesita quedar expuesta online para funcionar; sin embargo, este modo de operación también la hace vulnerable a los ataques. Una arquitectura de confianza cero proporciona una protección eficaz contra los ataques de ransomware porque también se ocupa de otras vulnerabilidades, que podrían ser explotadas por los hackers. En particular, impide eficazmente que los atacantes se desplacen lateralmente por los sistemas, saltando del sistema infectado al siguiente objetivo.
De responsable operativo a facilitador del negocio
Si se compara con aquellos tiempos anteriores a la digitalización y a la nube, el trabajo de los CIO actuales es totalmente diferente. Ya no se limitan a mantener la infraestructura de TI en funcionamiento, sino que tienen que alcanzar los objetivos de la empresa, y las TI suelen desempeñar el papel de facilitadoras. El desplazamiento de las aplicaciones a la nube y el uso de SaaS se han convertido en parte del día a día, pero la transformación de la seguridad se está quedando atrás.
Optar por un concepto de confianza cero basado en la plataforma es una forma de proteger de forma integral todos los activos digitales de una empresa y permitir una transformación segura de los procesos empresariales. La avanzada plataforma de confianza cero en la nube está en constante mejora, garantizando que todas las adaptaciones necesarias se realizan rápidamente, y proporcionando una solución sostenible a largo plazo que brinda toda una serie de beneficios a sus usuarios.