¿Qué es la seguridad de confianza cero? Guía de introducción

La confianza cero es una estrategia de defensa proactiva, razón por la cual las tecnologías que la apoyan están observando una mayor adopción en estos días en respuesta a las crecientes preocupaciones por la seguridad.

Dicho esto, la confianza ha adquirido protagonismo cuando se habla de ciberseguridad. Los elementos fundamentales de la ciberseguridad son la infraestructura de red «de confianza», los usuarios, los dispositivos o puntos finales, los proveedores y otros.

Sin duda, este enfoque ha desempeñado un papel decisivo en la protección de las empresas, sus datos e incluso las personas. Pero a medida que nos adentramos en el mundo técnicamente más avanzado, este enfoque está siendo explotado por los ciberatacantes desde hace mucho tiempo debido a:

Un modelo de seguridad débil o el concepto de «castillo y cabaña», en el que el control de seguridad tiene lugar fuera del perímetro del edificio donde funciona una empresa. Si un pirata informático o un programa malicioso consigue romper ese perímetro de algún modo y entra en él, se producen daños.
Controles de acceso obsoletos, como un cortafuegos de red sin visibilidad ni control sobre las aplicaciones de los usuarios y/o los servicios que utilizan. Si los piratas informáticos comprometen la red, pueden acceder fácilmente a esas aplicaciones.
LastecnologíasVPN son estupendas para asegurar la comunicación de datos y mantener el secreto y la privacidad, pero la autorización y la autenticación aún no se consiguen a la perfección.
Cambios en los flujos de trabajo, como las políticas BYOD y los trabajadores remotos que utilizan sus dispositivos. Si no se implementa un sistema de seguridad adecuado, se producen fugas de datos.

Todos estos retos de seguridad a los que se enfrentan las organizaciones condujeron a la creación de un sistema de este tipo que es flexible, dinámico, sencillo y proporciona una seguridad de alto nivel desde arriba y más allá.

Zero Trust Security es el modelo del que estamos hablando.

En este artículo, aprenderá sobre la Seguridad de Confianza Cero, sus principios, cómo implementarla y algunas cosas más interesantes sobre ella.

¡Exploremos!

¿Qué es la Confianza Cero?

La Confianza Cero es un enfoque de seguridad avanzado en el que todos los usuarios, dentro y fuera de la red de una organización, deben ser autorizados, autentificados y validados continuamente en su postura y configuración de seguridad antes de que se les conceda acceso a la red, los datos y las aplicaciones.

Este enfoque utiliza tecnologías de seguridad de alta gama, como la autenticación multifactor, la seguridad de puntos finales de nueva generación y la gestión de identidades y accesos (IAM) para verificar la identidad de un usuario y mantener al mismo tiempo una estricta seguridad.

Además de ofrecer una estricta verificación de la identidad del usuario, Zero Trust protege a los usuarios y las aplicaciones de las sofisticadas amenazas de Internet.

La frase «Confianza Cero» fue popularizada por John Kindervag, de Forrester, pero en realidad fue acuñada por Stephen Paul Marsh en abril de 1994 tras su tesis en la Universidad de Stirling sobre seguridad computacional.

En realidad, la mayoría de los conceptos de «confianza cero» no son nuevos. Según el estudio de Marsh, la confianza es algo finito que trasciende aspectos humanos como la ética, la moral, la justicia, los juicios y la legalidad. Según él, la confianza puede ilustrarse como una construcción matemática.

Zero Trust pretende difundir la idea de que las organizaciones no deben confiar por defecto en los dispositivos ni en los usuarios aunque estén conectados a su LAN corporativa o hayan sido verificados previamente. Se basa en una clara visibilidad en tiempo real de los atributos de los usuarios, como su identidad, las versiones de firmware, el tipo de hardware de los terminales, las versiones de los sistemas operativos, las vulnerabilidades, los niveles de parches, los inicios de sesión de los usuarios, las aplicaciones instaladas, la detección de incidentes, etc.

Como resultado de sus sólidas capacidades de seguridad, Zero Trust se está haciendo más famoso y las organizaciones han empezado a adoptarlo, entre ellas Google con su proyecto BeyondCorp.

Los principales impulsores de esta adopción son la creciente frecuencia de los ciberataques, dirigidos contra puntos finales, dispositivos locales, redes, datos, aplicaciones en la nube y otras infraestructuras de TI. Además, la pandemia del covid-19, que obligó a la gente a trabajar desde casa, incrementó aún más el número de ataques en línea en todo el mundo.

De ahí que prácticas de seguridad como la Confianza Cero parezcan una opción viable.

Según un informe, se prevé que el tamaño del mercado mundial de la seguridad de Confianza Cero crezca a un ritmo constante del 17,4% y alcance los 51.600 millones de dólares en 2026, frente a los 19.600 millones de dólares en 2020.

Algunas de las terminologías populares de acceso de confianza cero son el acceso a aplicaciones de confianza cero (ZTAA), el acceso a redes de confianza cero (ZTNA), la protección de identidades de confianza cero (ZTIP), etc.

¿Cuáles son los principios básicos de la confianza cero?

El concepto de seguridad de confianza cero se basa en los principios que se mencionan a continuación, mediante los cuales ayuda a proteger la red de una organización.

Acceso con mínimo privilegio 🔐

Se trata de un concepto fundamental por el que a los usuarios sólo se les debe conceder el nivel de acceso que necesiten cuando sea necesario para trabajar y desempeñar su función. Reduce la exposición de un usuario a los componentes sensibles de su red.

Identificación de usuarios ✔️

Debe saber quiénes son todos aquellos a los que se ha concedido acceso a su red, aplicaciones, datos, etc. Compruebe siempre la autenticación y la autorización en cada solicitud de acceso para mantener una mayor seguridad en su organización.

Microsegmentación 🍱

Se trata de una práctica importante que consiste en dividir el perímetro de seguridad en zonas más pequeñas. Este proceso también se conoce como zonificación, y se realiza para garantizar que se proporciona un acceso separado a las distintas partes de su red.

También necesita gestionar y supervisar continuamente los datos entre estas zonas, y ofrece un control de acceso granular para eliminar el exceso de privilegios.

Aprovechamiento de técnicas preventivas avanzadas 🛑

Zero Trust le sugiere que adopte técnicas preventivas avanzadas que puedan detener las infracciones en línea y reducir los daños.

La autenticación multifactor (MFA) es una técnica de este tipo para confirmar la identidad del usuario y fortificar la seguridad de la red. Funciona formulando preguntas de seguridad al usuario, enviando mensajes de texto/correo electrónico de confirmación o evaluando a los usuarios mediante ejercicios basados en la lógica. Cuantos más puntos de autenticación incorpore en su red, más fuerte será la seguridad de su organización.

Supervisión del acceso a los dispositivos en tiempo real 👁️

Aparte de controlar el acceso de los usuarios, necesita supervisar y controlar el acceso de los dispositivos en tiempo real con respecto a cuántos de ellos están intentando acceder a su red. Todos estos dispositivos deben estar autorizados para minimizar la posibilidad de ataques.

¿Cuáles son sus ventajas?

La confianza cero le proporciona una estrategia sólida para la seguridad de la organización y la resistencia de la red. Le proporciona varios beneficios para su empresa, como:

Protección frente a amenazas tanto externas como internas

Zero Trust ofrece políticas estrictas para detener las amenazas externas, proteger su negocio y salvaguardarle de los agentes internos dañinos. De hecho, las amenazas internas son aún más graves y se aprovechan de la confianza que usted deposita en ellas.

Este informe de Verizon afirma que aproximadamente el 30% de todas las violaciones de datos implican a agentes internos.

De ahí que Confianza Cero se centre en este concepto «nunca confíes, verifica siempre».

Y cuando implante una autenticación ampliada y explícita y controle y verifique cada acceso a sus datos, dispositivos, servidores y aplicaciones, ningún agente interno será capaz de hacer un uso indebido de sus privilegios.

Protección de datos

Zero Trust ayuda a evitar que el malware o sus empleados accedan a las partes más importantes de su red. Por lo tanto, limitar su acceso y la duración del mismo ayuda a reducir los ataques, e incluso si se produce una brecha, se puede reducir el impacto para evitar más daños.

Como resultado de esto, puede asegurar los datos de su empresa para que no sean pirateados. Y cuando el malware penetre en su cortafuegos, sólo podrá acceder a determinadas partes de sus datos de forma limitada en el tiempo.

Zero Trust no sólo protege sus datos, sino también su propiedad intelectual y los datos de sus clientes. Y cuando puede prevenir los ataques, está preservando la reputación de su empresa y manteniendo la confianza de sus clientes. Además, también se ahorra perder una gran cantidad de dinero y otras repercusiones financieras.

Mayor visibilidad de su red

Como Zero Trust no le permite confiar en nada ni en nadie, usted puede decidir las actividades y los recursos que desea vigilar. Con una supervisión intensiva en toda su organización, incluidas las fuentes informáticas y los datos, puede obtener una visibilidad completa de los dispositivos y usuarios que tienen acceso a su red.

Por lo tanto, será plenamente consciente de las aplicaciones, los usuarios, la ubicación y la hora asociadas a cada solicitud de acceso. En caso de cualquier comportamiento inusual, su infraestructura de seguridad lo señalará inmediatamente y rastreará toda la actividad que se produzca en tiempo real para una seguridad integral.

Proteger a los trabajadores remotos

Eltrabajo a distancia está siendo muy aceptado en todas las industrias y empresas, especialmente tras la pandemia del covid-19. También ha aumentado los riesgos cibernéticos y las vulnerabilidades debido a las débiles prácticas de seguridad en los dispositivos y redes de los empleados que trabajan desde cualquier parte del mundo. Incluso los cortafuegos se están volviendo ineficaces ahora y provocan riesgos para los datos que se almacenan en la nube.

Al utilizar la Confianza Cero, la identificación y verificación de los usuarios en cada nivel sustituye al concepto de perímetro o al enfoque de castillo y muralla. La identidad se adjunta a cada dispositivo, usuario y aplicación que quiera entrar en la red.

De este modo, Zero Trust proporciona una sólida protección a todos sus trabajadores, independientemente del lugar del mundo en el que se encuentren o se almacenen sus datos.

Facilita la gestión de TI

La seguridad de Confianza Cero se basa en la supervisión, el control y el análisis continuos; por ello, el uso de la automatización puede facilitar el proceso de evaluación de las solicitudes de acceso. Porque si todo se hace manualmente, consumirá mucho tiempo aprobar cada solicitud, y el flujo de trabajo se ralentizaría drásticamente, afectando a los objetivos empresariales y a los ingresos.

Pero si utiliza una automatización como la Gestión de Acceso Privilegiado (PAM), ésta puede juzgar las solicitudes de acceso basándose en determinados identificadores de seguridad para conceder el acceso automáticamente. De este modo, no tiene que implicar necesariamente a su equipo de TI en la aprobación de cada solicitud, incluidos algunos errores humanos.

Y cuando el sistema señale una solicitud como sospechosa, los administradores podrán hacerse cargo. De este modo, puede aprovechar el poder de la automatización y permitir que su personal se dedique a mejorar e innovar en lugar de realizar tareas mundanas.

Garantiza el cumplimiento

Como cada solicitud de acceso se evalúa primero y luego se registra con detalles, Zero Trust le ayuda a cumplir siempre las normas. El sistema realiza un seguimiento de la hora, las aplicaciones y la ubicación de cada solicitud para crear una pista de auditoría impecable que forma una cadena de pruebas.

Como resultado, no tiene que esforzarse por mantener o presentar pruebas, lo que hace que la gobernanza sea eficaz y más rápida. Al mismo tiempo, estará alejado de los riesgos de cumplimiento.

¿Cómo implantar la confianza cero?

Cada organización tiene necesidades y retos únicos, pero ciertos aspectos siguen siendo comunes a todas ellas. Por ello, la Confianza Cero puede implantarse en todas las organizaciones, independientemente del tipo de empresa o sector.

Así pues, a continuación le explicamos cómo puede implantar la seguridad de Confianza Cero en su organización.

Identifique los datos sensibles

Cuando sepa qué tipo de datos sensibles tiene y por dónde y cómo circulan, le ayudará a determinar la mejor estrategia de seguridad.

Además, identifique también sus activos, servicios y aplicaciones. También debe examinar los conjuntos de herramientas actuales y las lagunas de su infraestructura que puedan servir de resquicio de seguridad.

Dé el máximo grado de protección a sus datos y activos más críticos para asegurarse de que no se vean comprometidos.
Otra cosa que puede poner en práctica es clasificar sus datos en: confidenciales, internos y públicos. Puede aprovechar la microsegmentación o zonificación. Además, cree pequeños trozos de datos para diferentes zonas conectadas a través de un amplio ecosistema de redes.

Mapee los flujos de datos

Evalúe cómo fluyen sus datos por la red, incluidos los flujos transaccionales, que podrían ser multidireccionales. Ayuda a fomentar la optimización del flujo de datos y la creación de microrredes.

Además, tenga en cuenta la ubicación de los datos sensibles y a quién pueden acceder todos los usuarios conscientes e implemente prácticas de seguridad más estrictas.

Establezca microrredes de confianza cero

Cuando tenga en sus manos la información sobre cómo fluyen los datos sensibles en su red, cree microrredes para cada flujo de datos. Arquitectúelas de modo que sólo se utilice la mejor práctica de seguridad adecuada para cada caso de uso.

En este paso, utilice controles de seguridad virtuales y físicos, como:

Refuerce su microperímetro para impedir los movimientos laterales no autorizados. Puede segmentar su organización en función de ubicaciones, grupos de usuarios, aplicaciones, etc.
Introducir la autenticación multifactor como la autenticación de dos factores (2FA) o la autenticación de tres factores (3FA). Estos controles de seguridad ofrecen una capa adicional de seguridad y verificación a cada usuario fuera y dentro de su organización.
Inicie el acceso de mínimo privilegio a los usuarios necesarios para completar sus tareas y cumplir sus funciones. Debe basarse en dónde se almacenan sus datos sensibles y cómo fluyen.

Supervise continuamente el sistema de confianza cero

Supervise continuamente toda su red y los ecosistemas del microperímetro para inspeccionar, registrar y analizar cada dato, tráfico y actividad. Utilizando estos detalles, podrá averiguar las actividades maliciosas y su fuente de origen para reforzar la seguridad.

Le proporcionará una visión más amplia de cómo se mantiene la seguridad y de si la Confianza Cero funciona para su red.

Aproveche las herramientas de automatización y los sistemas de orquestación

Automatice los procesos con la ayuda de herramientas de automatización y sistemas de orquestación para sacar el máximo partido a su implantación de Confianza Cero. Le ayudará a ahorrar tiempo y a reducir los riesgos de fallos organizativos o errores humanos.

Ahora que tiene una mejor visión de la Confianza Cero, cómo funciona, cómo implantarla y sus ventajas, veamos algunas de las herramientas que pueden facilitarle aún más la implantación.

¿Cuáles son algunas de las soluciones de seguridad de Confianza Cero?

Muchos proveedores ofrecen soluciones de Confianza Cero, como Akamai, Palo Alto, Cisco, Illumio, Okta, Unisys, Symantec, Appgate SDP y otros.

La solución o software Zero Trust Networking es una solución de gestión de identidades y seguridad de red que le ayuda a implantar el modelo Zero Trust. El software le permite supervisar la actividad de su red junto con el comportamiento de los usuarios de forma continua y autentica cada solicitud.

Si un usuario intenta violar los permisos o se comporta de forma anómala, el sistema le pide que proporcione más autenticación. Al mismo tiempo, el software recopila datos de los registros de tráfico, los comportamientos de los usuarios y los puntos de acceso para proporcionar análisis detallados.

El software puede utilizar la autenticación basada en el riesgo, especialmente para controlar el acceso a la red. Estos son algunos de los software de red de Confianza Cero:

Okta: Aprovecha la nube y aplica políticas de seguridad más estrictas. El software se integra con los sistemas de identidad y directorios existentes de su organización junto con 4000 aplicaciones.
Perimeter 81: Utiliza una sólida arquitectura de perímetro definido por software, que ofrece una mayor visibilidad de la red, compatibilidad total, incorporación sin fisuras y ofrece un cifrado de 256 bits de grado bancario.
Gestión de identidades SecureAuth: Es conocido por ofrecer una experiencia de autenticación flexible y segura a los usuarios y funciona en todos los entornos.

Otras soluciones de software de red de confianza cero destacadas son BetterCloud, Centrify Zero Trust Privilege, DuoSecurity y NetMotion, entre otras.

¿Cuáles son los retos de la implantación de Zero Trust?

Hay muchas razones por las que la implementación de Zero Trust es un reto para las organizaciones que incluyen:

Sistemas heredados: Para las operaciones empresariales se utilizan muchos sistemas heredados como herramientas, aplicaciones, recursos de red y protocolos. La verificación de la identidad no puede protegerlos a todos, y su reestructuración sería enormemente costosa.
Controles y visibilidad limitados: La mayoría de las organizaciones carecen de una visibilidad completa de sus redes y usuarios, o no pueden establecer protocolos estrictos en torno a ellos por el motivo que sea.
Normativa: Los organismos reguladores aún no han adoptado la Confianza Cero; por lo tanto, las organizaciones tendrán problemas a la hora de superar las auditorías de seguridad para el cumplimiento de la normativa.

Por ejemplo, PCI-DSS le exige que utilice segmentación y cortafuegos para proteger los datos confidenciales. Pero no tiene cortafuegos con el modelo de Confianza Cero, de ahí los riesgos de cumplimiento. Por lo tanto, para adoptar la seguridad de Confianza Cero habrá que introducir importantes modificaciones en la normativa.

Conclusión

Aunque se encuentra en fase de crecimiento, la Confianza Cero está haciendo furor en la industria de la seguridad. Con cada vez más ciberataques en todo el mundo, es necesario contar con un sistema robusto como Zero Trust.

Zero Trust proporciona una arquitectura de seguridad más sólida con controles de identidad y acceso a sus datos y transacciones mediante la verificación de todos sus dispositivos y usuarios en cada punto de acceso. Puede proteger a las organizaciones de todo tipo de amenazas en línea – humanos y programas, extranjeros y nacionales a su red.

Amrita Pathak
Colaborador
- LinkedIn
Amrita Pathak es redactora de tecnología y negocios en Geekflare. Disfruta convirtiendo temas complejos en artículos fáciles de leer para su audiencia. Su objetivo es tender un puente entre la tecnología y el usuario eliminando la jerga y escribiendo de forma intuitiva y relevante. Sus principales áreas de especialización son la ciberseguridad, la IA y el ML, la gestión de proyectos y la computación en nube.