Tradicionalmente, la ciberseguridad ha sido una industria dominada por barreras. Cuanto mejor fuera una tecnología para separar a los buenos de los malos y levantar todo tipo de puertas, fosos y muros, mejor. Las empresas gastaron más de € 120 mil millones en 2018 para prevenir ataques, pero las infracciones persistieron: se estima que 765 millones de personas se vieron afectadas por ataques cibernéticos solo en abril, mayo y junio del año pasado.
Las empresas comienzan a darse cuenta de que la tecnología por sí sola no elimina el riesgo ni garantiza la seguridad de su información. Están comenzando a ver que el modelo tradicional de evaluar exhaustivamente a docenas de proveedores durante meses se convierte en una tarea de Sísifo sin implementar primero la estrategia correcta y las mejores prácticas. Para muchos, esto significa Zero Trust.
Zero Trust se ha convertido en una palabra de moda rejuvenecida en los últimos dos años, ya que se ha vuelto más popular entre las OSC y los proveedores de tecnología. La filosofía central de Zero Trust es "nunca confíes, siempre verifica" y opera según el principio de que no puedes separar a los "buenos" de los "malos". Los enfoques tradicionales que se centraban en establecer un perímetro sólido para mantener alejados a los malos ya no funcionan. Los recursos (datos, aplicaciones, infraestructura, dispositivos) son cada vez más híbridos o completamente fuera de este perímetro. Con Zero Trust, la confianza se elimina de la ecuación y la atención se centra en la verificación continua.
Tiene tres inquilinos principales:
- Verifique cada usuario, cada vez
- Validar cada dispositivo
- Limite el acceso de forma inteligente
Es un enfoque holístico y estratégico de la seguridad que garantiza que cada persona y cada dispositivo autorizado para acceder a una red, aplicación o servicio sea quien y lo que dice ser.
Nube voló el perímetro
Zero Trust se ha arraigado firmemente en el espíritu de la seguridad con tanta rapidez, en parte porque la promesa de una barrera tecnológica como la solución definitiva para detener las amenazas y mitigar el riesgo se ha vuelto imposible en la era de la nube. A medida que las empresas trasladan cada vez más infraestructura y servicios a la nube, adoptan cada vez más dispositivos móviles y dan soporte a todo tipo de trabajadores remotos, de hecho están creando agujeros (o al menos agujeros potenciales) dentro de sus propios firewalls.
Di una charla en la Zero Trust Summit el año pasado y vi al analista de Forrester, el Dr. Chase Cunningham, decirle repetidamente a la audiencia que en la era de la transformación digital, los perímetros ya no existen. Los viejos enfoques de la seguridad no son compatibles con la sofisticación de las amenazas actuales.
“La gente dirá: 'Hacemos cosas. Estamos trabajando en ello”, dijo el Dr. Cunningham. “Bueno, ¿adivina cuál era la estrategia de Target antes de la brecha? Proteger, detectar, disuadir, reaccionar. ¿Adivina cuál fue la estrategia de OMB antes de la brecha? Proteger, detectar, disuadir, reaccionar. No es una estrategia.
“Si te pones de pie y dices: 'Nuestra estrategia de seguridad es trabajar hacia una infraestructura Zero Trust'. eso es todo”, continuó. “Una oración. Cualquiera puede estar detrás de esto.
Se trata de contexto
En ausencia de perímetros efectivos, la mayor arma que tienen las empresas contra los actores malintencionados es la información. En esencia, Zero Trust se trata de información: tener suficiente contexto sobre usuarios, dispositivos y comportamiento para determinar definitivamente que alguien es quien dice ser.
Como mencionó Cunningham, esto es esencial en la era de la nube y los teléfonos móviles. Hace diez años, las estrategias de seguridad se basaban en una única señal: ¿procedía una solicitud desde dentro o fuera del cortafuegos? Y funcionó ! La mayoría de los usuarios se han conectado a redes, aplicaciones y servicios desde su escritorio en el trabajo, o quizás desde una computadora portátil en casa a través de una VPN.
Este ya no es el caso. Las personas necesitan acceso desde sus escritorios, mientras esperan en la fila para tomar un café o desde 30 000 pies en el cielo en un avión. Se conectan desde computadoras de escritorio, portátiles, teléfonos y tabletas. En lugar de una sola señal, se necesitan cientos para finalmente decidir si dar acceso o no a alguien. Zero Trust garantiza que se proporcione contexto cada vez, con cada usuario.
Alguien tiene las credenciales correctas, pero ¿están en un dispositivo confiable? Tienen credenciales y están en un dispositivo confiable, pero ¿están en una ubicación inusual o inician sesión en un momento inusual? Estas señales son valiosas piezas de contexto que ayudan a mantener segura la información en el entorno actual. Un enfoque Zero Trust, junto con la tecnología adecuada, garantiza que las empresas tendrán la capacidad de responder a estas preguntas.
Según el Informe de violación de datos de 2018 de Verizon, más del 81 % de las violaciones se deben a contraseñas débiles o robadas. Con esta información, es irresponsable que las empresas se consideren protegidas solo por nombres de usuario y contraseñas. A medida que la identidad en línea se vuelve cada vez más compleja, y cada vez más importante para las empresas y los consumidores, el enfoque Zero Trust se arraigará firmemente en el vocabulario de todas las OSC.
Sí, es una palabra de moda hoy en día, pero también es una estrategia de ciberseguridad fundamental para la era de la nube.
Corey Williams, vicepresidente de estrategia de Idaptive (se abre en una pestaña nueva)