El ABC de las arquitecturas Zero Trust

Publicado el 03 May 2022

ciberseguridad zero trust abc cover

Cuando hablamos de ciberseguridad en términos contemporáneos, tal vez uno de los conceptos de los que más se ha hablado es el de ‘Zero Trust’ –o Confianza Cero, en español–. Este tipo de arquitectura, aunque mencionado bastante, también puede tomarse a veces como un concepto vago para muchas empresas. Esto, además de dificultar la aplicación de nuevos métodos de ciberseguridad, también puede aumentar el impacto de ataques y filtraciones de datos.

En un mundo cada vez más conectado –especialmente en la época del trabajo híbrido–, las arquitecturas Zero Trust conforman uno de los conceptos más avanzados en ciberseguridad y que en muchos aspectos aplica tecnologías modernas a soluciones de ciberseguridad.

¿Qué es?

Una de las primeras cosas que debemos entender es que Zero Trust es un concepto que existe desde antes de la pandemia y que, en algunos casos, su implementación puede variar de empresa a empresa. Sin embargo, un concepto fundamental es el de no entregar más confianza de la que se necesita en un ambiente laboral.

“Es nunca confiar en el empleado o en el dispositivo”, explica Lucas Lavié, ingeniero de ventas de Workspace para Citrix. Pese a que Citrix es conocida principalmente por sus soluciones para trabajo remoto, lo cierto es que la ciberseguridad se ha convertido en un tema transversal a todas las operaciones de la empresa, especialmente durante y después de la pandemia.

Lucas Lavié, Citrix. Imagen: Citrix

Según Lavié, este tipo de arquitecturas también se caracterizan por ser constantes y no detenerse simplemente en la verificación de credenciales o de dispositivos. Cloudflare, por su parte, define Zero Trust así: “La seguridad de confianza cero es un modelo de seguridad informática que exige una estricta verificación de la identidad de cada persona y dispositivo que intente acceder a los recursos de una red privada, independientemente de que se encuentre dentro o fuera del perímetro de la red”.

En palabras sencillas, un sistema tradicional de seguridad confía en los usuarios y elementos dentro de una red. Un sistema Zero Trust no confía en nada ni en nadie.

¿Qué ventajas tiene?

Uno de los componentes más importantes de Zero Trust es que se basa en tener principios de analítica, Inteligencia Artificial y Machine Learning para crear no solamente un perímetro de seguridad, sino todo un ecosistema seguro. Lavié, de Citrix, explica que Zero Trust permite tener una granularidad incomparable en el sistema que no solamente entrega máxima seguridad, sino también conveniencia para los usuarios.

Un sistema Zero Trust es capaz de analizar componentes como el dispositivo que se conecta, el usuario, el estado de la red y la ubicación para poder agregar o remover barreras de seguridad de acuerdo con cada caso. “Esto va a estar siendo siempre evaluado para que, si ese riesgo cambia o sube, podamos tener una respuesta automática”, explica Lavié.

En un ejemplo práctico, si un usuario se conecta en un computador portátil conocido por la red, desde una dirección IP conocida, y desde un país conocido, el sistema puede que entregue acceso simplemente con una contraseña y un segundo factor de autenticación. Por el contrario, si la persona se conecta desde un nuevo dispositivo, desde una red desconocida y desde un país distinto al usual, la arquitectura puede reaccionar y ser más restrictiva en el acceso otorgado.

De hecho, incluso si el sistema otorga acceso, puede que inicialmente solamente funcionen herramientas como el correo, mientras que opciones administrativas o con datos más sensibles son protegidas frente a un acceso posiblemente fraudulento. Según Lavié, un sistema de este tipo puede incluso analizar y detectar patrones de uso de los usuarios para luego compararlos en caso de tener sospechas mayores: “Permite entender cómo se está moviendo normalmente Lucas y cómo se mueve este presunto Lucas”.

¿Cómo figura el acceso remoto y cómo se afecta la usabilidad?

David López, Appgate. Imagen: Appgate

Cuando hablamos de ciberseguridad, una de las líneas más frágiles está en encontrar el punto perfecto entre usabilidad y ciberseguridad. Si un empleado necesita de acceso a datos sensibles de la compañía, sería casi descabellado tener varios filtros se seguridad con contraseñas distintas, tokens, factores de autenticación, biometría, etc. En ese punto, la ciberseguridad está impidiendo el trabajo efectivo.

“Las organizaciones saben que deben adoptar controles antifraude en las soluciones de cara al cliente para mitigar riesgos cibernéticos, sin embargo, temen confundir a los usuarios. El inicio de sesión con una simple contraseña no es suficiente, pero a medida que las organizaciones adoptan cada vez más la autenticación multifactor, se preocupan por el impacto negativo que esto podría tener en la experiencia del usuario”, dice David López, vicepresidente de ventas para Latinoamérica de Appgate, una empresa de ciberseguridad y acceso remoto seguro.

La ventaja de Zero Trust es que, dado que está basada en controles inteligentes, su acceso también puede ser simplificado. Lavié, de Citrix, afirma también que el sistema está basado en dar al usuario exactamente lo que necesita para desarrollar su trabajo: “De base, el concepto de Zero Trust solamente le da al usuario lo que él necesita, ni un centímetro más ni un centímetro menos”.

Al igual que con muchas otras tecnologías, Zero Trust está basado en ser más seguro que un sistema tradicional, pero que a la vez esto no sacrifique la usabilidad de los sistemas. Si los controles son disruptivos, los usuarios serán los primeros en quejarse y sufrirá la productividad de la empresa. “La autenticación multifactor puede resultar frustrante para el cliente, pero la realidad es que los controles tradicionales no pueden seguir el ritmo del acelerado volumen de ataques actual y las organizaciones deben adoptar una postura agresiva para combatirlos”, afirma López, de Appgate.

[su_box title=”¿En dónde queda la privacidad?” style=”default” box_color=”#0693e3″ title_color=”#FFFFFF” radius=”3″]

Uno de los elementos más preocupantes, especialmente en pandemia, es el panorama de la privacidad de los trabajadores. Los sistemas de seguridad de Zero Trust pueden parecer intrusivos, ya que en algunos casos puede grabar biometría del puntero, teclados e incluso grabar la pantalla.

En primer lugar, muchas de estas medidas son consideradas extremas y se activan solamente cuando se detecta un altísimo riesgo de ciberseguridad. Seguido a esto, las empresas de ciberseguridad también explican que es fundamental la transparencia con los usuarios para saber qué se hace y cuándo se hace sin traspasar los límites de la ciberseguridad.

[/su_box]

Mejor como un servicio

Dado que muchas funciones de Zero Trust trabajan con tecnologías como Inteligencia Artificial, algunas de las implementaciones también requieren servicios en la nube, ya sea híbrida o privada. De la misma manera, gran parte de las soluciones Zero Trust están pensadas para funcionar en ambiente remotos o híbridos, por lo que en muchos casos también requerirán de un sistema de acceso remoto seguro.

“Casi el 80 % de los CESO [Chief Executive Security Officer, los responsables de la seguridad informática] de las compañías indican que tiene 16 o más herramientas en su cartera de proveedores de ciberseguridad, y el 12 % indica que tiene 46 o más. Al final del día eso termina convirtiéndose en una gran carga”.

Lucas Lavié, ingeniero de ventas de Workspace para Citrix

Zero Trust es una tecnología generalmente entregada también bajo el modelo ‘As-a-Service’, lo que significa que muchos servicios son entregados de manera remota a través de la nube. Esto, explica Lucas Lavié, de Citrix, también tiene la ventaja de simplificar los procesos internos de ciberseguridad internos de las compañías y permitir un mejor flujo de trabajo.

La ciberseguridad era una prioridad antes de la pandemia, aunque no se puede negar el gran impacto que ha tenido el Cóvid-19. Con un futuro del trabajo cada vez más apuntando hacia modelos híbridos o remotos, las arquitecturas Zero Trust se han convertido en un pilar importante para todas las empresas que busquen entregar flexibilidad y facilidades a trabajadores y usuarios.


Imagen principal: Adi Goldstein (Unsplash)

¿Qué te ha parecido este artículo?

R
Sebastián Romero Torres

Filósofo de formación y geek empedernido. Amante de los videojuegos, la tecnología, la música y el espacio.

email Sígueme en

Artículos relacionados

Artículo 1 de 3