En el altamente regulado sector de los servicios financieros, cada cambio significativo en la tecnología puede tener un impacto secuencial, desde el cumplimiento de los controles internos hasta los requisitos normativos. Por eso, la migración a la nube -desde una perspectiva de control- supone por definición un alejamiento del modelo tradicional de responsabilidad/control interno, el cual abarca la gestión de la pila completa de datos, aplicaciones, infraestructura de hardware y, a menudo, de los elementos relacionados con las instalaciones físicas que lo albergan todo.
La transición hacia un modelo de responsabilidad compartida, en el que se depende de terceros y enésimos proveedores para la gestión de los aspectos esenciales y de los diversos elementos de seguridad puede ser un reto para cualquier organización, pero para una empresa fuertemente regulada como una institución financiera, las implicaciones pueden generar más de una duda.
No obstante, las organizaciones del sector de los servicios financieros han estado trasladando activamente más y más aplicaciones críticas, cargas de trabajo y almacenamiento a la nube. El potencial que ven estas entidades para transformar, simplificar, modernizar y aumentar la eficiencia en todas las operaciones hace que la transición a la nube merezca los diversos esfuerzos para superar los obstáculos de seguridad, riesgo y normativos. Las organizaciones del sector financiero están encontrando enfoques para obtener visibilidad efectiva de una multitud de riesgos y se centran en proteger sus aplicaciones y datos en la nube. La clave entre estos enfoques es la adopción de principios relacionados con una arquitectura de confianza cero.
Confianza adaptable, visibilidad contextual y gestión de riesgos mejorada
Si bien el cambio a una arquitectura de confianza cero empieza a ser obligatorio para determinadas industrias, la buena noticia es que, más allá del cumplimiento normativo, existen beneficios muy reales al hacer esta transición.
La confianza cero representa un cambio de paradigma en el diseño y el pensamiento arquitectónico. En lugar de limitarse a verificar la identidad y los permisos en un perímetro de red tradicional, una arquitectura de confianza cero realiza validaciones permanentes, basándose en diferentes elementos de datos contextuales para garantizar que únicamente se accede a los recursos correctos (es decir, aplicaciones, datos, etc.) y que solo se realizan actividades aprobadas.
Esencialmente, el objetivo es eliminar la confianza implícita y lograr que la «confianza» sea un eje que se cuestiona y ajusta constantemente en función de las distintas condiciones. El objetivo es aprovechar la visibilidad y el contexto que puede derivarse de ella para limitar eficazmente el radio de acción de un malhechor que pueda traspasar un control perimetral inicial para reducir el alcance del impacto potencial.
Las limitaciones estrictas del movimiento lateral por la red interna conducen a una seguridad mucho más sólida en toda la empresa. El establecimiento de una mayor visibilidad que permita controlar y supervisar el acceso a las aplicaciones y los datos también contribuye en gran medida a garantizar que cualquier organización cumpla los requisitos normativos básicos en materia de ciberseguridad.
Ganar eficiencia en el restringido mercado laboral actual
Al mismo tiempo, una transformación impulsada por la nube puede permitir a una organización mejorar la eficiencia operativa y la experiencia de usuario. De hecho, las oportunidades de simplificación, consolidación y modernización que ofrece la adopción de una infraestructura en la nube justifican en gran medida esta transición.
Las aplicaciones en la nube pueden ser un salvavidas a la hora de crear estrategias de operaciones y de seguridad más eficaces, al liberar al personal para que utilice su experiencia en aportar mayor valor, en vez de realizar las mismas actividades de gestión de cambios, ejercicios de aplicación de parches y mantenimiento una y otra vez. Esto es algo especialmente importante ahora, cuando los profesionales cualificados en redes y seguridad son caros y difíciles de encontrar.
Las fusiones y adquisiciones representan otro caso de uso eficiente para la confianza cero, sobre todo, a medida que nos adentramos en un periodo de volatilidad e incertidumbre económica. Lo que los principios de la confianza cero ofrecen en este escenario es la capacidad de las partes de una fusión o adquisición de conceder a sus colegas acceso a los servicios o sistemas que necesiten, manteniéndolos alejados de las áreas que no precisan.
Las arquitecturas dinámicas que los principios de confianza cero permiten ahorrar tiempo y dinero a ambas empresas tiempo y dinero al acelerar las transacciones corporativas, al tiempo que garantizan que los datos y aplicaciones cruciales permanezcan seguros.
La sencillez es la aliada de la seguridad eficaz
Las arquitecturas de confianza cero no son un proyecto aislado, ni una solución única. Se trata de un viaje en el camino hacia la transformación digital. Cuando una organización ha puesto en marcha un enfoque de arquitectura de confianza cero para proteger los recursos de toda la empresa, no marca una casilla y considera que su seguridad o transformación se han completado.
Como cualquier otra filosofía de seguridad, las arquitecturas de confianza cero requieren de un perfeccionamiento continuo a través de un bucle de retroalimentación permanente. Por eso y a medida que las empresas y la multitud de actores maliciosos continúan evolucionando, también deben hacerlo las estrategias de seguridad y los enfoques corporativos para resolver problemas.
La simplificación, consolidación y modernización pueden aportar importantes mejoras en eficiencia y seguridad, al tiempo que crean enormes oportunidades de ahorro.
Y puesto que la complejidad es enemiga de la seguridad, las arquitecturas de confianza cero favorecen la eficiencia al tiempo que mejoran la protección de los usuarios, los datos y las aplicaciones. ¿Qué más podrían desear los equipos de tecnología y seguridad de una organización?
Nathan Smolenski, Director de Estrategia de Inteligencia Cibernética en Netskope
