Las organizaciones modernas requieren un nuevo modelo de seguridad que responda de manera efectiva a la complejidad de las amenazas actuales, facilite el trabajo híbrido y salvaguarde los datos, las aplicaciones, los dispositivos y al personal, independientemente de su ubicación. La adopción de soluciones de control de acceso (ACaaS) basadas en la nube marca el comienzo de esta transformación.

El aumento de la fuerza laboral híbrida y el avance del ACaaS han ampliado la presencia de aplicaciones y usuarios, lo cual permite otorgar o revocar permisos desde cualquier ubicación y en cualquier dispositivo. Las estrategias de seguridad actuales deben ir más allá de la mera defensa del perímetro de la red, e implementar políticas que protejan cada conexión individual entre usuarios, dispositivos, aplicaciones y datos. Este enfoque se resume en el  modelo de ‘Confianza Cero’ o ‘Zero Trust’, que funciona según el principio de «nunca confiar, siempre verificar».

La Zero Trust asume que la confianza implícita en cualquier elemento de un sistema complejo e interconectado puede exponer a las organizaciones a importantes amenazas de seguridad. Las iniciativas de Confianza Cero exigen que todos los usuarios se sometan a autenticación, que cada solicitud de acceso se compruebe rigurosamente y que todas las actividades se supervisen continuamente.

Este modelo no tiene como objetivo restringir el acceso indiscriminadamente, sino que proporciona un marco de seguridad cohesivo que opera en todas las plataformas digitales. Dentro de este marco conectado, la arquitectura Zero Trust protege los archivos, los correos electrónicos y las comunicaciones de red, y amplía la protección al acceso remoto, los dispositivos personales y las aplicaciones de terceros, lo cual simplifica las integraciones de seguridad.

Los tres principios de Zero Trust

La arquitectura Zero Trust se basa en soluciones integrales que abarcan la identidad, la seguridad, el compliance y la gestión de dispositivos en múltiples plataformas y nubes. La implementación de esta arquitectura implica una planificación compleja en varias áreas funcionales, aunque la mayoría de los marcos se adhieren a estos tres principios fundamentales:

1. Supervisión y validación continuas
   Cada solicitud de conexión por parte de usuarios, dispositivos o cargas de trabajo requiere una verificación inmediata y continua, incluida la reautenticación periódica para mantener el acceso. Este principio garantiza que solo los dispositivos aprobados puedan acceder a la red y que estos dispositivos permanezcan seguros y no se vean comprometidos por amenazas como el malware.
2. Principio de privilegios mínimos
   El acceso se limita estrictamente a lo necesario para que los usuarios realicen sus tareas, minimizando así el impacto potencial de las violaciones de seguridad. Los permisos de acceso caducan al final de cada sesión, y los datos confidenciales, como los documentos relacionados con proyectos confidenciales, solo pueden acceder al personal autorizado.
3. Suponer que la red ya está comprometida
   Esta mentalidad impulsa la adopción de estrategias sólidas de detección de amenazas y respuesta rápida. Idealmente, los sistemas de seguridad deben integrar señales de monitoreo generalizadas y ejecutar respuestas automatizadas, como la segmentación de la red, la vigilancia integral de todas las actividades en su interior y la reacción inmediata a cualquier comportamiento anormal.

Confianza Cero, paso a paso

A continuación, una guía paso a paso sobre cómo implementar y utilizar un modelo de seguridad Zero Trust en cualquier empresa:

1. Implementar medidas rigurosas para autenticar las identidades de los usuarios y controlar el acceso a los recursos de la empresa. Esto implica la identificación de datos confidenciales y roles de usuario, y la implementación de herramientas que permitan tanto la evaluación de riesgos en tiempo real como la respuesta a posibles violaciones de seguridad.
2. Administrar el acceso a dispositivos y redes. Establezca políticas claras para el control de acceso basado en identidad, que es un componente central de la Confianza Cero. Esta estrategia ofrece una protección mejorada en entornos híbridos y multinube, al permitir solo el acceso de usuarios verificados a los recursos esenciales y denegar el acceso no autorizado.
   Mantenga un inventario completo de todos los dispositivos autorizados, incluidas estaciones de trabajo, teléfonos móviles, servidores, computadoras portátiles, dispositivos IoT e impresoras, y reemplace las VPN tradicionales con soluciones de acceso a la red de confianza cero (ZTNA), capaces de verificar las identidades y limitar el acceso de los usuarios a los recursos necesarios.
3. Mejorar la visibilidad de las aplicaciones
   En un marco de Zero Trust, ni las aplicaciones ni las interfaces de programación de aplicaciones (API) son de confianza implícita. Implemente herramientas para detectar sistemas no autorizados («IT en la sombra») e identificar cualquier dispositivo que intente acceder a la red. Es crucial establecer y supervisar el cumplimiento de los requisitos de seguridad, y gestionar los permisos de acceso de forma atenta para protegerse contra posibles vulnerabilidades.
4. Es crucial clasificar los datos de la organización, desde documentos hasta correos electrónicos, para mejorar la seguridad.
   Implemente la autenticación multifactor (MFA), que requiere varios métodos de verificación antes de conceder el acceso. Los sistemas MFA deben ser escalables, aumentando de forma adaptativa las demandas de autenticación en función del nivel de riesgo asociado. Integrados con la tecnología ACaaS, estos sistemas facilitan la gestión rápida de identidades, facilitan la revisión de los registros de acceso y mejoran la detección de actividades inusuales.
5. La supervisión continua es esencial en un enfoque Zero Trust para identificar y responder rápidamente a las nuevas amenazas.
   Se requieren evaluaciones, actualizaciones y configuraciones periódicas de todos los elementos de la infraestructura, incluidos los servidores y las máquinas virtuales. Las organizaciones también deben supervisar las medidas de seguridad y las políticas de control para minimizar las conexiones de red innecesarias y mejorar la detección de comportamientos sospechosos mediante el análisis de métricas de acceso activo.
6. La transición a una arquitectura Zero Trust implica un cambio organizativo integral, respaldado por programas de formación de los proveedores de ACaaS.
   Este cambio afecta a varios departamentos y requiere una amplia planificación y ejecución en todas las áreas funcionales, lo que lo convierte en un esfuerzo potencialmente costoso. La formación continua de los empleados y el fomento de una cultura corporativa que respalde la seguridad son fundamentales para implementar con éxito un modelo Zero Trust.

Del sector privado a la estrategia pública

La adopción de modelos Zero Trust va en aumento entre las organizaciones que buscan mejorar sus políticas de seguridad a medida que se expanden las vulnerabilidades. Según un informe de marzo de 2024 del Enterprise Strategy Group de TechTarget, más de dos tercios de las organizaciones encuestadas están implementando activamente políticas de Confianza Cero.

Esta tendencia se extiende más allá del sector privado. En paralelo a las nuevas directivas europeas NIS2 y CER, una reciente Orden Ejecutiva de la Casa Blanca ordena a las agencias del Gobierno Federal de EE. UU. que fortalezcan la ciberseguridad nacional. La orden enfatiza la necesidad de que estas agencias y sus proveedores modernicen sus estrategias de ciberseguridad, incluida una transición rápida a servicios seguros en la nube y la adopción de arquitecturas Zero Trust.