¿Cuál es la relación entre la confianza cero y la identidad de los usuarios? No hay duda de que la identidad es un componente fundamental de un enfoque eficaz de confianza cero, pero también existe el peligro de que las organizaciones se centren tanto en este elemento que olviden que hay otros.
Creer que la confianza cero se basa únicamente en la identidad del usuario es, en mi opinión, un malentendido fundamental del concepto. Esta idea errónea puede dar lugar a vulnerabilidades potenciales que, a su vez, pueden provocar graves incidentes de ciberseguridad, el tipo de incidentes que la organización intentaba evitar al adoptar la confianza cero en primer lugar.
La identidad importa, pero cada vez es menos fiable
La identidad es, en efecto, un factor fundamental de la confianza cero y, durante muchos años, las empresas han utilizado la autenticación multifactor (MFA) para garantizar la protección de sus datos sensibles. Sin embargo, el panorama de las amenazas está evolucionando y algunos expertos estiman ahora que hasta el 70% de las opciones de MFA son tan fáciles de vulnerar con ingeniería social y phishing.
Fuera del mundo de la ciberseguridad, no depositaríamos nuestra confianza en alguien basándonos únicamente en un factor. La confianza es un proceso polifacético que debe construirse a lo largo del tiempo. Del mismo modo, debe haber múltiples formas de verificación para lograr la confianza cero. Si se simplifica en exceso la complejidad de este proceso, se corre el riesgo de dar una falsa impresión de seguridad y se abre la posibilidad de una grave brecha cibernética.
Múltiples medidas de seguridad, un único punto de control
La confianza cero debe partir del supuesto de que su sistema puede verse y se verá comprometido. Cuantas más medidas se apliquen para protegerlo, más confianza podremos depositar en él. Lo más importante es utilizar un único punto de aplicación de políticas (PEP) para controlar el tráfico de información procedente de estas diferentes medidas.
La autenticación de la identidad es una de las primeras medidas, y una de las más utilizadas, para la confianza cero, y debe ser una parte fundamental de cualquier estrategia. Incluye elementos como la identidad descentralizada, marcos de MFA más avanzados y métodos biométricos sin contraseña. Sin embargo, no es suficiente por sí sola.
He aquí otros siete elementos que las empresas deberían incorporar a su PEP para garantizar una infraestructura de confianza cero segura y robusta:
- Dispositivo
No se trata sólo de quién eres, sino de qué dispositivo utilizas. Un usuario totalmente autenticado en un dispositivo comprometido sigue siendo un riesgo para la seguridad. La confianza cero debe diferenciar los dispositivos corporativos de los personales, examinar el estado del dispositivo, los niveles de parches y las configuraciones de seguridad antes de conceder el acceso.
- Ubicación
Con el auge del trabajo híbrido, las organizaciones deben anticiparse a los usuarios que intentan acceder a material desde distintas ubicaciones. Por lo tanto, debe existir un sistema que pueda detectar tendencias inusuales. Por ejemplo, si un usuario intenta conectarse un día desde Londres y a la hora siguiente lo hace desde el otro extremo del mundo, el sistema debe detectarlo, no debe dejarse al azar. Del mismo modo, el sistema debe señalar si alguien se conecta al mismo tiempo desde dos lugares distintos.
- App
Con el aumento de los servicios en la nube, hay muchas aplicaciones que compiten y que realizan la misma función. Por lo tanto, los departamentos de seguridad deben examinar y aprobar las aplicaciones específicas para uso corporativo y, cuando sea necesario, establecer controles avanzados y/o restricciones sobre las aplicaciones no aprobadas para mitigar la posible pérdida de datos.
- Instancia
Dentro de cada aplicación en la nube, también hay diferentes tipos de instancias de la misma aplicación. Por ejemplo, muchas organizaciones permiten a los empleados utilizar sus aplicaciones personales en la nube, como las instancias personales de Microsoft 365. Sin embargo, esto puede plantear problemas, especialmente si se comparten datos confidenciales de la empresa con una aplicación personal. Por lo tanto, cada instancia de cada aplicación también debe ser entendida.
- Actividad
La confianza cero se extiende a cómo las aplicaciones interactúan entre sí y cómo acceden a los datos. Incluso dentro de la sesión de un solo usuario, las acciones que una aplicación realiza en nombre de ese usuario están sujetas a escrutinio.
- Comportamiento
La identidad puede conceder a los usuarios el acceso inicial, pero el comportamiento posterior debe ser objeto de escrutinio continuo. Si un empleado (o entidad) empieza a acceder a grandes volúmenes de datos de repente o descarga archivos sensibles, deben sonar las alarmas, incluso si el usuario fue autenticado inicialmente.
- Datos
En el centro de la confianza cero están los datos: se trata de garantizar su integridad y confidencialidad. Esto significa cifrar los datos en reposo y en tránsito, y supervisar los patrones de acceso a los datos en busca de anomalías, independientemente de la identidad del usuario. Esto incluiría medidas para automatizar la categorización de los datos y la aplicación de controles específicos o mejorados en caso de que la categoría lo requiera.
Es innegable que la identidad es una piedra angular del modelo de confianza cero, pero sigue siendo sólo una pieza de una estructura compleja. Si una organización se concentra demasiado en la identidad, está abocada al fracaso y corre el riesgo de sufrir el tipo de brecha cibernética que la confianza cero pretende evitar.
La verdadera confianza cero sólo se consigue cuando una organización tiene un enfoque integrado y holístico que tiene en cuenta todos los puntos de contacto, usuarios y dispositivos. Al incorporar los ocho elementos en su enfoque de confianza cero (incluida la identidad), las organizaciones pueden operar con mucha más confianza y la seguridad puede convertirse en un verdadero habilitador, lo que permite innovar y adaptarse a lo que la empresa necesite, ya sea adoptar nuevas aplicaciones, integrar IA, expandirse a nuevos mercados o fomentar el trabajo híbrido.