Opinión Info Opinión

La base para una verdadera confianza cero en TI

Didier Schreiber, Area Marketing Director Sur de Europa, Zscaler

06/10/2021
La seguridad TI tradicional no puede seguir el ritmo ante la ampliación de la superficie de ataque de hoy; por eso muchas organizaciones están examinando la posibilidad de adoptar un enfoque de confianza cero.

La transformación digital ha provocado un cambio fundamental en la forma de comunicarnos y en el funcionamiento de las empresas en la actualidad. Los empleados pasaron a ser móviles y empezaron a utilizar sus propios dispositivos tanto para la comunicación personal como para el trabajo, lo que supone acceder a aplicaciones y datos empresariales críticos a través de la Internet pública. Al mismo tiempo, los datos empresariales sensibles se han hecho más distribuidos, radicando fuera del perímetro corporativo en aplicaciones SaaS como Microsoft 365 y en aplicaciones privadas en las plataformas AWS, Azure y Google Cloud.

La transformación digital mejora la agilidad empresarial y el flujo de información, pero también ensancha considerablemente la superficie de ataque y expone a las organizaciones a nuevas amenazas. Esto ha suscitado una necesidad creciente de replantear la seguridad de red tradicional basada en firewalls en favor de una arquitectura de confianza cero diseñada para la nube. Pero en los últimos años, la definición de confianza cero se ha vuelto poco clara, lo que ha provocado una gran desorientación en las empresas y, en consecuencia, ha frenado su aplicación.

Didier Schreiber, Area Marketing Director Sur de Europa, Zscaler

Didier Schreiber, Area Marketing Director Sur de Europa, Zscaler.

¿Qué es en definitiva la confianza cero?

Aunque el concepto de confianza cero existe en la industria de la ciberseguridad desde hace más de una década, no se trata únicamente de una única tecnología como la identidad, el acceso remoto o la segmentación de la red. La confianza cero es un enfoque completo para proteger a las organizaciones contemporáneas, basado en un acceso con el mínimo de privilegios y en el precepto de que ningún usuario o aplicación debe ser intrínsecamente fiable. Comienza con la hipótesis de que todo es hostil, y solo permite establecer la confianza sobre la base de la autenticación del usuario y el contexto, con la política de la empresa sirviendo como guarda en cada paso del camino. En su esencia, una plataforma de seguridad de confianza cero se guía por tres principios clave:

  • Conectividad basada en la identidad y política basada en el contexto.
  • Hacer que las aplicaciones sean invisibles.
  • Utilizar una arquitectura basada en proxy para conectarse a las aplicaciones e inspeccionar el tráfico.`

Conectividad basada en la identidad y política basada en el contexto

Las VPN y los firewall tradicionales permiten a los usuarios entrar en la red para acceder a las aplicaciones. Una vez en la red, la confianza implícita concedida al usuario aumenta el riesgo de movimiento lateral por parte de amenazas o posibles atacantes. Por el contrario, la confianza cero utiliza la autenticación de identidad basada en el contexto y la verificación de políticas para conectar de forma segura a los usuarios autorizados solo con aplicaciones específicas autorizadas, sin que los usuarios entren en la red corporativa. Esto evita el movimiento lateral y reduce el peligro para el negocio. Y como los recursos de la red nunca necesitan estar expuestos a Internet, las organizaciones pueden protegerse contra el ransomware, el DDoS y los ataques dirigidos.

Hacer que las aplicaciones sean invisibles

La migración de las aplicaciones a la nube expande enormemente la superficie de ataque de una organización. Los tradicionales firewalls exponen las aplicaciones a Internet, lo que significa que pueden ser descubiertas fácilmente por los usuarios y los piratas informáticos. Un enfoque de confianza cero evita exponer la red corporativa a Internet ocultando las identidades de origen y ofuscando las direcciones IP. Hacer que las aplicaciones sean invisibles para los adversarios y que sólo puedan acceder a ellas los usuarios autorizados, reduce la superficie de ataque y garantiza que el acceso a las aplicaciones en Internet, en SaaS o en nubes públicas o privadas, sea seguro.

Arquitectura de TI avanzada para conectar con las aplicaciones e inspeccionar el tráfico

Los firewalls de última generación tienen problemas para inspeccionar el tráfico cifrado sin afectar al rendimiento. Esto suele forzar a las organizaciones a elegir entre disponibilidad y seguridad, y a menudo es la disponibilidad la que gana. Como resultado, las organizaciones suelen optar por omitir la inspección del tráfico cifrado, con lo que corren un mayor riesgo de sufrir amenazas a la ciberseguridad y pérdida de datos. Además, los firewalls utilizan un enfoque de “passthrough”, permitiendo que el contenido desconocido llegue a su destino antes de que se complete cualquier análisis. Si se detecta una amenaza, se envía una alerta, pero puede ser demasiado tarde para evitarla.

Sin embargo, una protección eficaz contra las amenazas y la prevención integral de la pérdida de datos requiere una arquitectura de proxy diseñada para inspeccionar las sesiones SSL, analizar el contenido de las transacciones y tomar decisiones de política y seguridad en tiempo real antes de permitir que el tráfico siga su camino. Y tiene que hacer todo esto sin afectar al rendimiento, independientemente donde se conecten los usuarios.

El éxito a la hora de adoptar la confianza cero empieza cuando se dispone de la plataforma adecuada basada en los principios arriba mencionados, pero también depende del desarrollo de nuevas habilidades por parte de la plantilla y de la adopción de una nueva forma de pensar. Desde los responsables de TI que necesitan realizar una transformación rápida y segura, hasta los profesionales de TI que están implementando la confianza cero, todos, desde el equipo de dirección hasta los usuarios finales y el ecosistema ampliado, deben estar implicados para garantizar el éxito del enfoque de confianza cero.

Comentarios al artículo/noticia

Nuevo comentario

Atención

Los comentarios son la opinión de los usuarios y no la del portal. No se admiten comentarios insultantes, racistas o contrarios a las leyes vigentes. No se publicarán comentarios que no tengan relación con la noticia/artículo, o que no cumplan con el Aviso legal y la Política de Protección de Datos.

Advertencias Legales e Información básica sobre Protección de Datos Personales:
Responsable del Tratamiento de sus datos Personales: Interempresas Media, S.L.U. Finalidades: Gestionar el contacto con Ud. Conservación: Conservaremos sus datos mientras dure la relación con Ud., seguidamente se guardarán, debidamente bloqueados. Derechos: Puede ejercer los derechos de acceso, rectificación, supresión y portabilidad y los de limitación u oposición al tratamiento, y contactar con el DPD por medio de lopd@interempresas.net. Si considera que el tratamiento no se ajusta a la normativa vigente, puede presentar una reclamación ante la AEPD.

Suscríbase a nuestra Newsletter - Ver ejemplo

Contraseña

Marcar todos

Autorizo el envío de newsletters y avisos informativos personalizados de interempresas.net

Autorizo el envío de comunicaciones de terceros vía interempresas.net

He leído y acepto el Aviso Legal y la Política de Protección de Datos

Responsable: Interempresas Media, S.L.U. Finalidades: Suscripción a nuestra(s) newsletter(s). Gestión de cuenta de usuario. Envío de emails relacionados con la misma o relativos a intereses similares o asociados.Conservación: mientras dure la relación con Ud., o mientras sea necesario para llevar a cabo las finalidades especificadasCesión: Los datos pueden cederse a otras empresas del grupo por motivos de gestión interna.Derechos: Acceso, rectificación, oposición, supresión, portabilidad, limitación del tratatamiento y decisiones automatizadas: contacte con nuestro DPD. Si considera que el tratamiento no se ajusta a la normativa vigente, puede presentar reclamación ante la AEPD. Más información: Política de Protección de Datos

REVISTAS

TOP PRODUCTS

NEWSLETTERS

  • Newsletter Electrónica

    26/03/2024

  • Newsletter Electrónica

    19/03/2024

ÚLTIMAS NOTICIAS

EMPRESAS DESTACADAS

OPINIÓN

OTRAS SECCIONES

SERVICIOS