Cuando hablamos de ciberseguridad, puede que la primera imagen que venga a la mente de muchos es la del antivirus del computador o las cadenas de spam en el correo electrónico. A medida que el mercado de la tecnología ha evolucionado y las soluciones TIC se han vuelto transversales y estratégicas, la seguridad necesaria se ha convertido en uno de los puntos más importantes para las organizaciones y para los mismos usuarios.
El aumento de la digitalización ha significado conveniencia para los usuarios, pero también ha representado un reto importante para las organizaciones. Con un mundo en donde los datos se convierten en el nuevo petróleo, en donde las nubes privadas y públicas se vuelven esenciales, y en donde además se esperan modelos de trabajo remoto e híbrido, la ubicación o el perímetro ya no es una garantía de protección. El gran desafío es saber exactamente cómo proteger los datos y la infraestructura tecnológica de las organizaciones sin sacrificar conveniencias y beneficios, y sin depender del perímetro.
En este contexto, el concepto de Zero Trust –Confianza Cero– se ha popularizado enormemente. Pese a que este modelo existía desde hace varios años, la pandemia aceleró la Transformación Digital de las organizaciones e incrementó los riesgos y las amenazas de seguridad, por lo que hoy más que nunca resaltan las fortalezas del modelo Zero Trust.
Para tocar en profundidad este tema, en Impacto TIC organizamos un hangout con el apoyo de BeyondTrust con referentes no solo de la industria de ciberseguridad, sino también con voceros líderes de TI del sector empresarial colombiano que han encontrado valor en este modelo.
[su_button url=”https://impactotic.co/el-abc-de-las-arquitecturas-zero-trust/” target=”blank” style=”glass” background=”#2D89EF” color=”#FFFFFF” size=”5″ center=”yes”]Lea también en Impacto TIC: El ABC de las arquitecturas Zero Trust[/su_button]
Versatilidad y agilidad
Tal vez uno de los elementos que más llaman la atención de Zero Trust es que se enfoca netamente en la versatilidad de los sistemas que ya existen. Según Fernando Fontao, Channel Acount Manager de BeyondTrust, este modelo no es nuevo, sino que ha ido en evolución constante a lo largo de los años y a medida que las necesidades de los clientes cambian. Hoy en día, dice Fontao, la única realidad es que hemos llegado al final del perímetro de seguridad tradicional que conocíamos. “El único perímetro es la identidad, y con la identidad vienen privilegios sumamente importantes”, apuntó.
En Zero Trust no existe una única solución a todos los problemas de ciberseguridad de una compañía, sino que consiste en crear un conjunto de herramientas para poder lograr el mejor balance entre la seguridad y la experiencia final de usuario. “El reto está en la necesidad de proteger entornos de negocio que ahora son digitales, modernos, que incluyen cada vez más la incorporación de nubes públicas, privadas, aplicaciones SaaS y una infinidad de tecnologías”, explicó Kelly Quintero, Territory Sales Executive en BeyondTrust.
Al hablar de Zero Trust se debe hacer una claridad importante: no se trata de implementar una herramienta tecnológica, ni funciona como un paquete estándar que se implementa y se despliega, ni permite que presionar un botón responda a todas las necesidades de ciberseguridad de una organización. Por eso se habla del modelo de seguridad o la metodología Zero Trust.
Puede que, por ejemplo, para una empresa lo más importante sea mantener a sus empleados remotos seguros frente a amenazas externas, mientras que para otra lo más importante sea la protección de sus clientes finales.
Esto, como consecuencia, significa que los modelos Zero Trust en ocasiones representen un cambio de paradigma importante sobre cómo se maneja la ciberseguridad de una organización. Con ambientes cambiantes, conectados e híbridos, el perímetro de seguridad de antaño ha desaparecido, e incluso también tecnologías como las VPN (redes privadas virtuales) y otras redes privadas.
Más que tecnología, un paradigma
Mario Botina Tovar, vicepresidente de Infraestructura Tecnológica del Banco Davivienda, enfatizó en que Zero Trust no se puede entender simplemente como una ‘caja’ que se instala y ya, sino que es un ecosistema que se adapta a las necesidades y a los riesgos de cada compañía. Para en Banco Davivienda, por ejemplo, esto se materializó en la necesidad de simplificar y unificar procesos.
Las VPN, tan populares en medio de la pandemia, resultaron ser una opción poco adecuada para Davivienda, una empresa con 20.000 empleados. Debido a sus necesidades de seguridad, el banco tenía centenares de reglas de VPN, lo que afecta no solamente el funcionamiento del sistema, sino también la productividad de sus empleados remotos.
Gracias a la implementación de un sistema de acceso remoto seguro, estas reglas ahora son decenas de perfiles sencillos y más fáciles de administrar. Según él, la base de todo está en “saber dónde están los datos, qué es importante y cómo y por qué mis empleados acceden a esta información”.
Gran parte de esta transformación también ha llegado de la mano de nuevos modelos empresariales. Para Jorge Eduardo Pinzón, director de Riesgos de Negocio e Información de la AFP Protección, el cambio hacia las estructuras híbridas también ha resaltado fuertemente un cambio hacia estructuras empresariales cada vez más líquidas y colaborativas.
En este tipo de estructuras, una estrategia de ciberseguridad no puede estar basada solamente en los roles de cada empleado, sino en los ambientes y necesidades cotidianos.
[su_box title=”¿Qué recomendación general puede dar a propósito de Zero Trust?” style=”default” box_color=”#0693e3″ title_color=”#FFFFFF” radius=”3″]
“Es un conjunto de paradigmas en constante evolución. No es algo fijo, no es algo estático”.
Fernando Fontao, Channel Account Manager de BeyondTrust.
“Hay que extender el tema de Zero Trust no solamente a los empleados en casa, sino también a terceros y a fabricantes. Todos tenemos que entrar a la filosofía de estar protegidos”.
Mario Botina Tovar, vicepresidente de Infraestructura Tecnológica del Banco Davivienda.
“La filosofía es la misma. Garantizar la ciberseguridad, mejorar la agilidad dentro de los negocios y disminuir costos”.
Jaime Barreto, líder de seguridad de TI de Summa SCI.
“No se arranca desde cero. Lo que tienes que hacer es adaptar lo ya implementado a este nuevo esquema de Zero Trust”.
Jorge Eduardo Pinzón, director de Riesgos de Negocio e Información de Protección.
[/su_box]
Las nuevas estructuras líquidas
Pinzón explica que, dadas las facilidades que han ofrecido tecnologías como la nube y la digitalización, los roles dentro de las mismas empresas también se han convertido en más dinámicos. La idea de modelos como Zero Trust está en permitir que estos entornos colaborativos sigan siendo posibles en ambientes híbridos, pero sin que signifique sacrificar en la seguridad de los datos de empleados y compañía. “Ya no somos de una función piramidal”, remarcó.
Para Jaime Barreto, líder de seguridad de TI de Summa SCI, toda esta búsqueda por la flexibilidad, el dinamismo y la agilidad nace de la búsqueda de los proveedores de seguridad para convertirse en habilitadores de la tecnología. Implementar servicios de ciberseguridad engorrosos y complicados no es un método efectivo para atraer más empresas a la nueva era de la ciberseguridad.
Al igual que muchas otras industrias, la ciberseguridad se ha convertido en una necesidad cotidiana para usuarios y empresas, y Barreto afirma que lo importante está en mejorar el lenguaje y la comunicación de estos nuevos modelos para hacer entender mejor verdaderamente las tecnologías del futuro.
Imagen principal: Lewis Kang’ethe Ngugi (Unsplash)