Desacreditado: 6 mitos sobre la seguridad Zero Trust

El modelo de seguridad Zero Trust no es nuevo. Ha existido desde que John Kindervag de Forrester Research escribió su artículo "No More Chewy Centers: Introducing the Zero Trust Model of Information Security" en 2010.

El enfoque Zero Trust se centra en la creencia de que ningún usuario o aplicación debe ser inherentemente confiable, incluso aquellos que ya se encuentran dentro del perímetro de la red.

Esta idea ya está siendo adoptada por grandes empresas y organizaciones como Google, Coca-Cola y la NSA para combatir la creciente amenaza de los ataques cibernéticos. Sin embargo, todavía hay obstáculos que impiden su adopción generalizada.

Mitos sobre la seguridad Zero Trust

A medida que aumenta el interés de las organizaciones en el enfoque del modelo Zero-Trust, algunos conceptos erróneos sobre los principios básicos del marco se han interpuesto en el camino de la adopción. Aquí hay algunos mitos que no debes creer.

Mito uno: la confianza cero crea una cultura de desconfianza

Un concepto erróneo común sobre Zero Trust es que promueve la idea de no confiar en sus empleados. Si bien el marco Zero Trust requiere que las empresas examinen a los usuarios que acceden a sus recursos de red, no debe malinterpretarse como algo personal.

El hecho es que la confianza representa una vulnerabilidad que puede poner a su organización en riesgo de sufrir un ataque. Los ciberdelincuentes explotan específicamente la confianza para atacar a las empresas, y Zero Trust ofrece una forma de mitigar esto. Es equivalente a una entrada con tarjeta de acceso en lugar de permitir que todos ingresen a un edificio.

Por usando el Principio de Mínimo Privilegio (POLP), las organizaciones pueden personalizar sus políticas de umbral para que los usuarios tengan acceso solo a los recursos que necesitan en función de la confianza que se han ganado.

Mito dos: Zero Trust es un producto

Zero Trust es una estrategia o marco, no un producto. Se basa en la idea de nunca confiar y siempre verificar.

Los diversos productos ofrecidos por los proveedores pueden ayudar a lograr Zero Trust; sin embargo, no son productos Zero Trust. Son simplemente productos que funcionan bien en el entorno Zero Trust. Entonces, si un proveedor le pide que compre su producto Zero Trust, eso es una indicación de que no entiende el concepto subyacente.

Relacionado: ¿Qué es una red Zero Trust y cómo protege sus datos?

Cuando se integran correctamente con la arquitectura Zero Trust, varios productos pueden minimizar de manera efectiva la superficie de ataque y contener el radio de explosión en caso de una infracción. Una vez implementada por completo, una solución Zero Trust con verificación continua puede eliminar por completo la superficie de ataque.

Mito tres: solo hay una forma de implementar la confianza cero

Zero Trust es una colección de principios de seguridad que implica una verificación constante, el principio de acceso con privilegios mínimos y la mitigación de la superficie de ataque.

A lo largo de los años, han surgido dos enfoques para comenzar con un modelo Zero Trust. El primer enfoque comienza con la identidad e implica la autenticación de múltiples factores, que ofrece resultados rápidos.

Relacionado: ¿Qué es la autenticación de dos factores? He aquí por qué debería usarlo

El segundo enfoque está centrado en la red y comienza con la segmentación de la red. El concepto implica la creación de segmentos de red para controlar el tráfico dentro y entre esos segmentos. Los administradores de red pueden mantener una autorización separada para cada segmento, lo que limita la propagación de amenazas laterales en un sistema.

Mito cuatro: la confianza cero solo sirve a las grandes empresas

Google fue una de las primeras empresas en implementar la arquitectura Zero Trust en respuesta a la Operación Aurora en 2009. Esta fue una serie de ataques dirigidos a grandes empresas como Google, Yahoo, Morgan Stanley y Adobe Systems.

Cuando Google adoptó el modelo Zero Trust inmediatamente después de los ataques, muchas empresas pensaron (y aún piensan) que solo se aplica a las grandes organizaciones. Esta noción sería cierta solo si los ciberataques se limitaran a las grandes empresas, lo cual no es el caso. En realidad, sobre 46 por ciento de las filtraciones de datos en 2021 estaban dirigidos a las pequeñas empresas.

Si bien los medios tienden a cubrir las violaciones de datos que afectan a las grandes empresas, no hay duda de que las pequeñas empresas también necesitan protección contra los ataques cibernéticos.

La buena noticia es que las organizaciones pequeñas no tienen que romper el banco para implementar el modelo Zero Trust. Dado que no es un producto, las empresas pueden introducirlo gradualmente asignando una modesta inversión anual en la arquitectura Zero Trust.

Mito cinco: la confianza cero impide la experiencia del usuario

Uno de los impedimentos para la adopción de Zero Trust es el impacto percibido en la experiencia del usuario. Es comprensible suponer que la productividad y la agilidad de los usuarios se verían afectadas al verificar continuamente las identidades de los usuarios. Sin embargo, cuando se implementa correctamente, Zero Trust puede brindar una experiencia fácil de usar.

Las organizaciones pueden evaluar los perfiles de usuario y combinar la autenticación basada en riesgos con el aprendizaje automático para identificar riesgos y tomar decisiones de acceso rápido. Si el riesgo es alto, el sistema puede requerir un paso de autenticación adicional o bloquear completamente el acceso para salvaguardar sus recursos. Por el contrario, puede eliminar los desafíos de autenticación si el riesgo es bajo.

Un enfoque Zero Trust también reduce la complejidad en el aspecto administrativo de las cosas. Los contratistas y empleados ya no serán pasivos de seguridad en caso de que dejen de hacer negocios con usted. Bajo un modelo Zero Trust eficiente, el sistema terminará inmediatamente su acceso a los activos clave, eliminando las puertas traseras.

Sexto mito: Zero Trust se limita al entorno local

Muchas empresas todavía ven a Zero Trust como un modelo que solo se puede administrar en las instalaciones. Esto se convierte en un problema importante ya que los datos confidenciales ahora residen en entornos híbridos y en la nube. Con los ataques cibernéticos y los hackeos que afectan la arquitectura local en aumento, cada vez más empresas se están mudando a la nube.

La buena noticia es que Zero Trust se está moviendo rápidamente con él.

Relacionado: Principales violaciones de datos de seguridad en la nube en los últimos años

Al establecer una arquitectura Zero Trust en la nube, las empresas pueden proteger los datos confidenciales y reducir la exposición de los activos vulnerables en su red.

Además, a medida que se intensifica la cultura del trabajo remoto y los ciberdelincuentes desarrollan nuevas formas de explotar las vulnerabilidades, las empresas que dependen de la infraestructura local corren el riesgo de sufrir interrupciones.

Nunca confíes; Verificar siempre

Según la cantidad de violaciones de datos dirigidas a organizaciones, es evidente que el enfoque de la vieja escuela hacia la seguridad no es suficiente. Si bien muchos creen que Zero Trust es costoso y requiere mucho tiempo, es un antídoto fantástico para los problemas de seguridad actuales.

El modelo Zero Trust busca eliminar los sistemas basados ​​en la confianza simplemente porque se explotan con demasiada frecuencia en los ataques cibernéticos. Funciona según el principio de que todos y todo debe verificarse antes de obtener acceso a los recursos de la red. Esta es una búsqueda valiosa para las empresas que buscan reducir los riesgos y mejorar su postura de seguridad.

¿Cómo puede la seguridad de confianza cero prevenir los ataques de ransomware?

El modelo de seguridad tradicional ha demostrado ser ineficaz contra el ransomware. Descubra por qué la confianza cero es el mejor enfoque para derrotar los ataques cibernéticos.

Leer siguiente

Sobre el Autor