¿Qué es la seguridad de confianza cero? Beneficios clave y su funcionamiento

Son cada vez más las empresas de todo el mundo que experimentan transformaciones digitales, lo que significa que el almacenamiento de más datos y su acceso de forma electrónica son mayores que antes. En este contexto, la confianza cero demuestra ser un marco eficaz capaz de abordar los numerosos desafíos asociados con entornos en la nube o híbridos y con empleados remotos. Sigue leyendo para saber más sobre cómo las organizaciones pueden usar el modelo de seguridad de confianza cero para reducir las vulnerabilidades, protegerse de las amenazas y controlar el uso de los datos, y su acceso, entre los empleados.

¿Qué es confianza cero?

Confianza cero redefine los procesos para suponer que cada usuario no es confiable al comienzo de cada interacción. De este modo, los sistemas autentican y comprueban de forma automática las autorizaciones de un usuario antes de otorgarle acceso a cualquier aplicación, base de datos o dispositivo de la empresa. Además, la condición de autorización de cada usuario se valida todo el tiempo mientras usa aplicaciones y datos.

A medida que más empresas y gobiernos operan en entornos híbridos y en la nube, aumenta la necesidad del marco de confianza cero. Estos entornos hacen que a las empresas les resulte cada vez más difícil determinar a quién y a qué se debe confiar el acceso a las redes y aplicaciones. Por este motivo, la implementación de una arquitectura y una estrategia que no tengan que presuponer la confianza del usuario se está convirtiendo en algo habitual.

Un aspecto importante es el flujo de trabajo y la facilidad de uso. En lo que respecta al rendimiento, el marco adecuado permite que todos los procesos de validación se desarrollen con rapidez en segundo plano, lo que minimiza las interrupciones para el usuario y mejora en gran medida la seguridad de la empresa.

En ocasiones, el término "modelo de seguridad de confianza cero" se usa como equivalente a términos similares o relacionados, como "arquitectura de confianza cero", "arquitectura de red de confianza cero", "acceso a la red de confianza cero" o "seguridad sin perímetro".

¿Cómo funciona la confianza cero?

El modelo de seguridad de confianza cero se basa en una serie de principios clave diseñados para identificar de forma confiable a los usuarios y sus intenciones. Entre los principios de confianza cero se incluyen los siguientes:

Los atacantes están en todas partes

Si asumimos que los hackers existen tanto dentro como fuera de la red, se deduce que no se puede confiar de forma predeterminada en ninguna máquina o usuario.

Los endpoints no son de confianza

Si un dispositivo tiene controles de seguridad adecuados, la administración de endpoints los validará. La seguridad de los endpoints debe extenderse también al autenticador para garantizar que solo se usan dispositivos aprobados y que el material de las claves privadas se protege de forma adecuada.

Los usuarios deben recibir el acceso con menos privilegios

Si a los usuarios se les da solo el acceso que necesitan, se minimiza la exposición entre los usuarios y las secciones delicadas de la red. Este enfoque es diferente al de "confiar en todas las personas internas" o "confiar pero verificar".

Uso de la microsegmentación para mantener la seguridad

La microsegmentación consiste en dividir los parámetros de seguridad en regiones más pequeñas en secciones separadas de la red, en función de la clasificación de los datos, con accesos independientes. Esto garantiza que los usuarios no puedan acceder a distintas zonas sin una autenticación adicional.

El control de acceso minimiza la superficie de ataque de la red

Si una organización establece controles estrictos sobre el acceso de los usuarios y los dispositivos, minimiza la superficie de ataque de la red. Es importante controlar la manera en que los dispositivos acceden a la red para asegurarse de que cada uno de ellos esté autorizado. El control de acceso debe proteger los sistemas clave brindando el mínimo privilegio necesario para realizar una tarea.

La autenticación de varios factores (MFA) es esencial

Se valida a los usuarios a través de medidas de autenticación estrictas antes de que se les conceda el acceso. La autenticación de dos factores (2FA) se considera más débil que la MFA y puede comprometer la confianza cero al autenticar por error a los usuarios.

La autenticación fiable requiere tres elementos clave

En primer lugar, no debe basarse solo en secretos compartidos o claves simétricas, como códigos, contraseñas y preguntas de recuperación. En segundo lugar, debe usar hardware para impedir la suplantación de identidad (phishing) y la falsificación de credenciales. Y por último, debe ser escalable y fácil de usar. No siempre lo que se denomina autenticación de varios factores cumple con estos tres criterios.

¿Cómo se implementa la confianza cero?

Con un marco de confianza cero, las empresas operan con seguridad y eficacia, incluso cuando los usuarios y los datos están dispersos en varios lugares y entornos. Sin embargo, no existe un enfoque único para la implementación del marco, por lo que la mayoría de las empresas comenzarán a planificar el proceso de adopción dividiéndolo en tres etapas principales.

1. Visualizar la organización

En el primer enfoque para establecer un modelo de seguridad de confianza cero, una organización debe visualizar todos sus componentes y la forma en que se conectan. Esto requiere una evaluación exhaustiva de los recursos de la organización y de la forma en que se accede a ellos, junto con sus riesgos. Por ejemplo, es posible que el departamento Financiero necesite acceder a una base de datos que contenga datos privados de los clientes, y las vulnerabilidades de esa conexión suponen riesgos inherentes.

Este proceso de visualización y evaluación debe ser continuo, ya que los recursos de una organización, y la necesidad de acceder a ellos, evolucionarán todo el tiempo a medida que la organización crezca. Del mismo modo, la importancia y el riesgo asociados a estos componentes también cambiarán. Por lo tanto, las organizaciones que tengan previsto implementar una red de confianza cero deben empezar por lo que suponen que será más importante y lo más vulnerable a medida que comience la adopción del marco.

2. Mitigar riesgos y preocupaciones

Una vez que se identificaron las vulnerabilidades potenciales, junto con todas las amenazas posibles que podrían aprovecharlas y las rutas que podría seguir un atacante, en la etapa anterior, la etapa de mitigación aborda las preocupaciones en orden de prioridad.

Durante esta etapa, una organización establecerá procesos y herramientas que le permitirán detectar de forma automática nuevas vulnerabilidades y amenazas. También debe haber procesos que detengan automáticamente las amenazas o, cuando eso no sea viable, mitiguen el impacto del resultado probable (por ejemplo, mediante la limitación de los datos que quedarán expuestos) en la medida de lo posible.

3. Optimizar la ejecución

Durante la tercera etapa de implementación del marco de confianza cero, las organizaciones se dedicarán a ampliar sus procesos y protocolos para incluir todos los aspectos de TI. La velocidad de esta implementación dependerá por completo de la complejidad de la organización y de los recursos que invierta en este proceso.

Lo más importante es que, a medida que el marco se implementa para incluir más aspectos de la infraestructura de la organización, se somete a pruebas de rutina para garantizar su eficacia y facilidad de uso. Las organizaciones que no prioricen de forma adecuada la experiencia del usuario a la hora de implementar marcos de seguridad (como de confianza cero) se enfrentarán a incumplimientos y una reducción de la productividad a escala.

Beneficios de la confianza cero

Un marco de confianza cero aumenta la seguridad de las organizaciones que atraviesan una transformación digital y ayuda a las organizaciones preparadas para el futuro que pretenden adoptar y permanecer en la nube. Esto hace que el modelo de confianza cero sea muy importante para las empresas de software como servicio (SaaS), así como para las empresas en crecimiento de todas las industrias. Es una solución muy beneficiosa para las organizaciones que necesitan incorporar trabajadores remotos o mantener un entorno de múltiples nubes. Los beneficios clave incluyen:

Control de acceso eficaz

Mediante una combinación de seguridad de endpoints, verificación de identidades, controles de mínimo privilegio, microsegmentación y otras técnicas preventivas, el modelo de confianza cero disuade a los atacantes y limita su acceso a aplicaciones, datos y redes. Esto lo convierte en uno de los medios más eficaces de control de acceso en las organizaciones.

Estrategia sin límites

Con el aumento del trabajo remoto en todo el mundo, crece el número de endpoints dentro de una red y la infraestructura se amplía para incluir servidores y aplicaciones basados en la nube. Esto hace que la tarea de supervisar y mantener un perímetro seguro sea más difícil. Un enfoque de confianza cero responde a este desafío mediante la incorporación de cualquier cantidad de dispositivos y usuarios con una seguridad de igual eficacia.

Mayor conocimiento

Un modelo de confianza cero basado en la nube puede aumentar la visibilidad del tráfico de red, ya que los proveedores supervisan la infraestructura, la administran, la mejoran, solucionan problemas y aplican parches allí. El modelo debe incluir información sobre la higiene de la seguridad de los endpoints y los autenticadores.

Reducción del riesgo

Un modelo de confianza cero reduce la superficie de ataque de una organización al restringir el acceso de los usuarios y la segmentación de la red. En consecuencia, el modelo reduce el tiempo necesario para detectar las filtraciones, lo que permite que las organizaciones minimicen los daños y reduzcan la pérdida de datos.

Experiencia de usuario más eficiente

La confianza cero puede mejorar la experiencia del usuario, ya que con políticas de acceso y evaluaciones de riesgos se eliminaría la necesidad de volver a autenticarse durante el día. Los mecanismos como el inicio de sesión único (SSO) y una MFA estricta reducen la necesidad de recordar contraseñas complejas.

Cumplimiento normativo

El marco de confianza cero permite cumplir con distintas normativas internas y externas. Al proteger a todos los usuarios, recursos y cargas de trabajo, el marco de confianza cero simplifica el proceso de auditoría y facilita el cumplimiento del PCI DSS, la norma NIST 800-207 y otras.

Casos prácticos de confianza cero

En el entorno actual, cualquier organización puede beneficiarse de un modelo de seguridad de confianza cero. Sin embargo, entre los ejemplos de casos prácticos tenemos organizaciones cuya infraestructura tiene las siguientes características:

• Personal híbrido y remoto
• Sistemas heredados
• Dispositivos no administrados
• Aplicaciones de SaaS

Entre las principales amenazas que pretende controlar la confianza cero figuran las siguientes:

• Amenazas internas
• Ataques a la cadena de suministro
• Ransomware

La confianza cero es importante para las organizaciones que se enfrentan a lo siguiente:

• Requisitos normativos industriales o de otro tipo
• Preocupación a la hora de conservar la ciberseguridad
• Necesidad de tener en cuenta la experiencia del usuario, sobre todo en relación con la MFA
• Dificultades para atraer y retener a suficientes especialistas en ciberseguridad, debido a la escasez de personal capacitado en todo el mundo

Cada organización se enfrenta a desafíos únicos en función de su sector industrial, enfoque geográfico, etapa de transformación digital y estrategia de seguridad actual. Sin embargo, el modelo de confianza cero puede adaptarse a las necesidades de cada organización.

Confianza cero y resiliencia cibernética

El cambio hacia el trabajo híbrido, junto con el aumento del volumen y la complejidad de las ciberamenazas, significa que la resiliencia cibernética es primordial para las organizaciones. La resiliencia cibernética implica un cambio de énfasis, desde la prevención de los ciberataques a la aceptación de su inevitabilidad en el mundo actual, pero con la garantía de que la organización está lo más preparada posible, y puede responder y recuperarse con rapidez y eficacia. El modelo de confianza cero desempeña un rol clave en el aumento de la resiliencia cibernética.

Uno de los obstáculos en la implementación del modelo de confianza cero es la cantidad de herramientas centradas en datos aislados con las que deben lidiar muchas organizaciones. El lugar de trabajo híbrido requirió que los equipos de seguridad implementen nuevas soluciones para endpoints, que se suman al conjunto existente de herramientas de protección de datos. Este volumen de herramientas (cada una de las cuales aplica reglas y análisis donde los datos confidenciales se cruzan con usuarios, aplicaciones y dispositivos) puede causar problemas al modelo de confianza cero. Esto se debe a que interrumpen el flujo de datos, reducen la visibilidad y aumentan el riesgo de configuraciones erróneas de las políticas.

La solución implica consolidar los procesos centrados en los datos en una plataforma de seguridad de datos (DSP). Una plataforma facilita un mayor control al usar un motor de políticas centralizado que abarca todos los procesos centrados en los datos. Integrar los procesos y garantizar la continuidad elimina el aislamiento, lo que mejora la visibilidad de los datos y hace que el seguimiento sea más coherente. A su vez, esto permite una mayor automatización, operaciones simplificadas y más transparencia para los usuarios.

Una buena plataforma de seguridad de datos debe unificar el descubrimiento, la clasificación y el control de datos, y minimizar la pérdida y el oscurecimiento de los datos. Además, debe habilitar una infraestructura que facilite a los equipos de seguridad implementar el modelo de confianza cero en todo el lugar de trabajo híbrido de una organización.

Preguntas frecuentes sobre la seguridad de confianza cero

Las preguntas frecuentes sobre el modelo de confianza cero son las siguientes:

¿Cuáles son los principios de la seguridad de confianza cero?

El principio fundamental del modelo de confianza cero es "nunca confiar, siempre verificar". La arquitectura de confianza cero aplica políticas de acceso basadas en el contexto (como el rol del trabajo y la ubicación del usuario, el dispositivo que usa y los datos que solicita) para evitar accesos inapropiados. El modelo de confianza cero está diseñado para proteger los entornos modernos y permitir la transformación digital mediante el uso de métodos de autenticación eficaces, la segmentación de la red, la prevención de los movimientos laterales y la aplicación de políticas de acceso mínimo.

¿Cuáles son los principales beneficios de un modelo de confianza cero?

La principal ventaja del modelo de confianza cero es que permite reducir el riesgo en empresas. Esto se debe a que las aplicaciones y los datos no son accesibles ni están expuestos hasta que se autentica a un usuario y recibe la autorización de interactuar con ellos. A su vez, esto mejora el control de acceso, ya que incentiva a las organizaciones a replantearse cómo se concede el acceso y a mejorar el control sobre el tiempo que dura la autorización para un caso práctico determinado. En general, los beneficios del modelo de confianza cero son muy superiores a los desafíos iniciales asociados a su implementación.

¿Cómo aplicar el modelo de confianza cero?

Al diseñar una arquitectura de confianza cero, los equipos de seguridad suelen concentrarse en responder dos preguntas: ¿Qué intentas proteger? ¿De quién intentas protegerlo? Las respuestas a estas preguntas determinarán la forma en que los equipos de seguridad apliquen el modelo de confianza cero. Muchas organizaciones implementan el modelo de confianza cero por etapas, empezando por los dispositivos más críticos o probando los que no lo son, antes de extenderlo a toda la red.

Productos recomendados

• Kaspersky Hybrid Cloud Security
• Kaspersky Managed Detection and Response
• Kaspersky Threat Intelligence

Otros artículos

• Por qué las pequeñas empresas deben tomarse en serio la ciberseguridad
• Consejos de ciberseguridad para las pequeñas empresas