La transformación digital ha supuesto un cambio profundo en la arquitectura de sistemas. Desde el uso generalizado del acceso VPN para el teletrabajo seguro hasta las aplicaciones e infraestructuras en la nube, el perímetro de la red corporativa se ha fragmentado. En consecuencia, circunscribir la protección de la empresa a este contorno ya no tiene sentido real. Muy al contrario, asegurar un acceso remoto plenamente confiable es más necesario que nunca.
No obstante, y más allá de autenticar y autorizar a los usuarios, acciones que quedan resueltas parcialmente con herramientas de inicio de sesión remoto y soluciones 2FA, el control de accesos continúa siendo un problema, al recaer sobre una mezcla de aplicaciones y equipos no controlados. De ahí el auge del modelo de seguridad de acceso a la red de Confianza Cero (ZTNA o ZTN, por sus siglas en inglés) un enfoque, -de hecho, casi una filosofía- que cuestiona la relación de confianza y construye un patrón de seguridad utilizando diferentes bloques tecnológicos.
Confianza cero o la cuestión central de confianza
A diferencia de la VPN, que establece cierto nivel de confianza para una conexión segura entre dos entidades, el modelo de Confianza Cero desafía a la red en un intento de controlar quién accede a qué y cuándo. En otras palabras, basa su principio rector en verificar los inicios de sesión, las identidades y los privilegios en cada acceso, incluso dentro de la red corporativa.
Sin embargo, esta ausencia de confianza total es inviable. Cuando se proporciona acceso a activos sensibles, es necesario un elemento tangible al que aferrarse. Por ello, más que abolir la confianza, el enfoque ZTN consiste en trasladarla a otro lugar. Pero ¿hacia dónde? En primer lugar, al usuario. Siguiendo un principio sencillo: si un usuario ha sido autenticado, se puede confiar en él. Pero ¿basta con eso? ¿Qué ocurre con la ubicación o el dispositivo desde el que se conectan?
Tres pilares de seguridad: identidad, máquina y acceso
Aunque el usuario es prioritario, confiar en el dispositivo que este utiliza para su acceso es igual de esencial. En este sentido, es fundamental encontrar el mejor modo de gestionar el acceso en función de parámetros como la naturaleza del puesto de trabajo, el software utilizado, el estado de actualización de sus soluciones de seguridad e incluso el lugar físico donde se encuentra. Para ello, las soluciones de protección de activos deben contemplar cuestiones como las políticas sensibles al contexto y la adaptabilidad dinámica, garantizando que la seguridad es capaz de adecuarse al entorno específico.
Por tanto, el planteamiento de confianza cero no consiste únicamente en iniciar sesión en la red corporativa, sino en proporcionar una seguridad holística centrada en el individuo y el dispositivo, y que incluya la identificación de usuarios y máquinas, la autenticación multifactor y la gestión de accesos. Este último punto implica un cierto grado de madurez corporativa al respecto, especialmente cuando se trata de definir claramente los derechos de acceso de cada empleado.
Y es precisamente aquí donde, en algunos casos, radica el problema. La Gestión de Identidades y Accesos (IAM) no solo compete al departamento de TI: Recursos Humanos y los responsables de cada departamento o unidad de negocio deben conocer los accesos concedidos. Y aunque esta pueda parecer una labor sencilla, dado el creciente número de soluciones desplegadas en una empresa, gestionar con fluidez los privilegios de cada uno y mantenerlos actualizados es muy complicado.
Un cambio de filosofía
Al desplazar el foco de la confianza hacia la identificación y autenticación del usuario, su acceso y la máquina utilizada, el enfoque de Confianza Cero convierte la identidad en un nuevo perímetro de seguridad. Pero para ello, es necesario implantar mecanismos de verificación en una fase inicial, empezando por el nivel de aplicación empresarial que antes se basaba únicamente en el control de acceso a la red.
De cualquier modo, esta acción no exime de la aplicación de buenas prácticas en torno a la ZTN, como la segmentación de la red de la empresa en función del grado de confianza concedido a los empleados.
Zero Trust no es una “fórmula mágica” capaz de sustituir al resto de enfoques de seguridad. Al contrario ZTN se sirve de las tecnologías existentes para establecer un nivel de confianza adecuado: autenticación multifactor para confiar en el usuario, VPN para cifrar las comunicaciones y confiar en sus transferencias, análisis de comportamiento para confiar en la máquina que se utiliza, etc. El énfasis se pone en reevaluar continuamente el grado de confianza que debe concederse. Esto confirma un principio inmutable: la ciberseguridad no es un sistema rígido, sino un ejercicio de formación continuo.
Borja Pérez, Country Manager de Stormshield Iberia
