La ironía de la confianza cero

Por Kris Lovejoy

La confianza cero es una de las frases menos entendidas, pero más de moda, de la ciberseguridad. Pensando en los últimos años, uno puede entender fácilmente por qué. Hoy en día, tenemos un déficit de confianza. Desde los aumentos exponenciales en los ataques de ransomware y criptosecuestro hasta las crecientes tensiones geopolíticas, son tiempos difíciles, especialmente cuando se trata de gestionar un negocio. Por lo tanto, no sorprende que el concepto de «confianza cero» y sus presuntas implicaciones se refieran a un amplio rango de empresas.

La ironía es que, para habilitar un marco de confianza cero, debe tener un repositorio altamente validado de identidades, activos, aplicaciones y redes de confianza.

Entonces, ¿qué es exactamente la confianza cero?

Aunque los temas de las conversaciones sobre ciberseguridad puedan haber cambiado, desde el auge en la distribución de la fuerza laboral durante la pandemia hasta un movimiento hacia las infraestructuras de nube híbrida, no ha sucedido lo mismo con el término «confianza cero». Acuñado por primera vez en 1994, John Kindervag, exanalista de Forrester, desarrolló posteriormente el concepto en una filosofía de seguridad holística. El término anteriormente circulaba por todo el sector como políticas de «denegación predeterminada» o «nunca confíar, siempre verificar».

En pocas palabras, la confianza cero es una estrategia de seguridad. En términos más generales, es un concepto de seguridad para toda la empresa que desconfía de todos los terminales y cuentas. Mientras que otros sistemas de seguridad, como la filosofía perimetral antes preferida, pueden requerir solo autenticación de dos factores, con la confianza cero, los usuarios y las aplicaciones solo obtienen acceso cuando y donde lo necesitan.

Al denegar el acceso de forma predeterminada, un enfoque de confianza cero impone un sistema de verificación dinámico y continuo para los usuarios y sus dispositivos. En nuestro entorno actual, donde las violaciones de datos ya no son una pregunta de si, sino de cuándo, la confianza cero permite a las empresas proteger mejor los datos y minimizar el posible impacto de un ataque, al tiempo que facilita una respuesta rápida y más localizada.

Hotel perimetral frente a confianza cero

Imagine que la red de su empresa es un hotel donde el acceso a las habitaciones está regulado mediante tarjetas. Antes, cuando los visitantes se registraban en este hotel, que llamaremos el hotel perimetral, superaban un breve proceso de verificación de la identidad antes de recibir su tarjeta. Con esa tarjeta en la mano, tenían más o menos vía libre, con acceso a todas las habitaciones del hotel, excepto a las que estaban bloqueadas específicamente.

Sin embargo, cuando los visitantes se registran en el hotel de confianza cero, la situación se invierte. Incluso después de un proceso de registro en el hotel mucho más completo, la tarjeta del visitante ya no actúa como un pase de acceso total. Esta vez, todas las puertas están bloqueadas, excepto las que se han desbloqueado específicamente. Podrán solicitar acceso a alguna de esas puertas desbloqueadas, pero solo se otorgará en el momento en que sea absolutamente necesario.

De hecho, en el hotel de confianza cero, la tarjeta tiene todavía menos poder. Aquí, los visitantes obtienen acceso al verificar quiénes son a través de muchos factores diferentes, todos ellos considerablemente más precisos que ese pequeño rectángulo de plástico, que puede perderse o ser robado con tanta facilidad. A su vez, esto le ahorra al visitante el tiempo de tener que buscar en su equipaje para encontrar esa molesta tarjeta y, al mismo tiempo, le garantiza que la habitación donde está entrando es exactamente en la que necesita estar.

Ahora, el propietario del hotel puede descansar tranquilo, sabiendo que su propiedad está lo más segura posible y que sigue funcionando según lo diseñado.

Aquí radica la ironía de la confianza cero

Para que una arquitectura de confianza cero funcione, una empresa debe poder confiar en el repositorio de identidades, activos, aplicaciones y redes debidamente validado mencionado anteriormente. En otras palabras, en los marcos de seguridad (para verificación, monitorización y almacenamiento de datos) que forman este enfoque integral.

En Kyndryl, consideramos que el enfoque de confianza cero consta de cinco pilares de seguridad integrados: identidad, dispositivo, red, aplicación y datos. En la mayoría de las empresas, los sistemas de ciberseguridad están compartimentados, donde un departamento gestiona las verificaciones de identidad, otro la seguridad de los terminales, otro el cortafuegos, etc. Con la confianza cero, la seguridad se convierte en un sistema integrado en 360 grados donde la comunicación y la colaboración entre estos pilares o departamentos es clave y las identidades, contraseñas y activos red se centralizan en repositorios de confianza.

En teoría resulta sencillo, hasta que llega el momento de implementar estas prácticas

Parte de la dificultad es que la confianza cero requiere un cambio fundamental en la mentalidad de seguridad al nivel de la organización. El primer paso aquí es dejar de conceptualizar este enfoque como una sola directiva o producto. En cambio, debe entenderse como un proceso de seguridad dinámico y evolutivo, sin un punto final determinado.

Este es uno de los mayores desafíos del sistema. Sin embargo, también es una de las mayores ventajas de la confianza cero. La adopción por parte de la empresa de esta política adaptativa basada en el riesgo fomenta la creación de un conjunto de prácticas de seguridad adaptado a unas necesidades y objetivos en constante cambio. Por este motivo, en Kyndryl adoptamos un enfoque personalizado y por etapas para alinear la confianza cero con los perfiles de riesgo individuales de cada empresa, así como con sus otras iniciativas principales de transformación de TI, centrándonos en lo que más importa para la seguridad y el futuro del negocio.

En este mundo en rápido movimiento y estos tiempos inquietantes, puede ser difícil, si no imposible, decidir en qué y en quién confiar, y cuándo hacerlo. Cuando términos de la ciberseguridad, la confianza cero es la mejor respuesta que tenemos para manejar esas decisiones.

Haga clic a continuación para escucharnos a mis colegas de Kyndryl y a mí debatir sobre cómo el panorama de amenazas cambiante puede afectar a su estrategia de ciberseguridad.