Nueva tendencia de ciberseguridad: ¿Qué son las redes Zero Trust?

Martín Hoz - Vicepresidente regional de Ingeniería de Fortinet para América Latina y Caribe

Debido al creciente número de amenazas informáticas, las redes Zero Trust se han convertido en la nueva tendencia de ciberseguridad. En vista del dinamismo tecnológico de hoy, y del incremento de la superficie de ataque debido al trabajo remoto, que ha provocado que las redes caseras se convirtieran en parte de las empresariales (a veces, en más de una red empresarial, cuando varios miembros de la familia trabajan remotamente en distintas empresas), este nuevo paradigma de ciberseguridad ha venido para quedarse.

Zero Trust es un modelo que aprovecha un conjunto de acciones, procesos y soluciones de seguridad integradas que les permiten a las empresas identificar y clasificar a todos los usuarios y dispositivos que buscan acceso a la red, evaluar su estado de cumplimiento de las políticas de seguridad interna, asignarlos automáticamente a zonas de control y vigilarlos continuamente, tanto cuando están conectados como cuando no. Zero Trust también establece la identificación, vigilancia y control de los dispositivos que participan de la red, que muchas veces suelen ser más que los mismos usuarios. La idea principal detrás de todo esto es que no se entrega confianza por anticipado a un sistema, usuario o aplicación, independientemente de su ubicación en dicha red. No se asume qué aplicaciones o equipos que están en la red interna son confiables, ni que detrás de la laptop de Juan va a estar siempre Juan, por ejemplo. Es necesario siempre no asumir y validar.

Ante un panorama cada vez más complejo en términos de ciberseguridad, es importante contar con un sistema de verificación de datos estricto y predecir las amenazas basada en un monitoreo permanente y una respuesta continua. El modelo de Zero Trust se está convirtiendo en una de las maneras más efectivas que tienen las empresas para controlar el acceso a sus redes, aplicaciones y datos.

Aunque desde hace tiempo se habla de la ‘la triple A’ (autenticación, autorización y auditoría) para validar la identidad de un usuario y registrar toda la actividad que fluye entre usuario y aplicación en la red, Zero Trust ha ganado auge en los últimos meses, porque es un pilar importante de una estrategia de plataforma general que combina seguridad dinámica, que incluye desde las redes locales hasta la nube, así como componentes impulsados por la inteligencia artificial (IA).

El dilema común es entregarle confianza explícita a una red. Cuando se extiende automáticamente la confianza a cualquier dispositivo o usuario, las empresas exponen su seguridad, ya sea de forma intencionada o no. Por ello, hoy en día existe la necesidad de desconfiar de todo lo que quiera formar parte de la red, sin importar su origen.

Identificar y proteger a los usuarios y dispositivos, dentro y fuera de la red

Otra de las funciones principales de Zero Trust es facilitar la reacción rápida ante un incidente de seguridad TI. Debido a que todo se identifica de forma explícita, es más fácil notar cuando hay algo fuera de lo normal. Si a esto le añadimos inteligencia artificial para determinar patrones de comportamiento regulares y diferenciar los que no lo son, el entorno empresarial contará con herramientas tecnológicas para analizar efectivamente los registros. Un análisis automatizado y en tiempo real nos puede decir si alguien se conectó en un día o una hora específica y definir si eso es normal o no, incluso, restringir temporalmente el acceso de esa persona de forma inmediata, revisar las actividades en determinado tiempo y reportar la situación al equipo interno para definir si hay una posible intrusión, por poner solo un ejemplo.

La clave está en saber qué es lo que hay en su red, quién está en ella y proteger los activos dentro y fuera de la misma. Al hacer la transición a una red Zero Trust que identifique, segmente y supervise continuamente todos los dispositivos, las organizaciones pueden garantizar la seguridad de los recursos internos y la protección de los datos, las aplicaciones y la propiedad intelectual. Esta estrategia no solo reduce muchos de los riesgos a los que se enfrenta una empresa debido a una estrategia de seguridad central, sino que simplifica la gestión general de la red y amplía la visibilidad y el control en toda la organización, incluidos los dispositivos fuera de la red durante el teletrabajo.

En la nube pública o privada, esto implica también el poder realizar, entre otras cosas microsegmentación, para asegurar que no fluye tráfico entre servidores, aplicaciones o servicios, sin que dicho tráfico sea inspeccionado y validado.

Ventajas de una red Zero Trust

El modelo de Zero Trust es altamente útil para industrias reguladas como la salud y las finanzas, facilitando la autenticidad de identidad y el proceso de auditorías de cumplimiento. El incremento de los dispositivos conectados a la red supera el crecimiento de los usuarios y, ciertamente, el de los equipos de seguridad. Por ello, Zero Trust facilita la migración y adaptación de una red a nuevas aplicaciones.

Una ventaja adicional es que muchas veces los componentes tecnológicos necesarios para llevar a cabo una implementación de Zero Trust ya están presentes. Con alguna frecuencia los componentes faltantes son mínimos, o se cuenta con ellos y solo requieren ser activados o configurados. En este sentido, aunque el ejercicio inicial debe ser exhaustivo, los dividendos en confiabilidad, visibilidad y, por lo tanto, tranquilidad después de su implementación, sin duda alguna pagan con creces los esfuerzos que se invierten.

¿Es una arquitectura de seguridad basada en Zero Trust la solución a todos los problemas de seguridad en su organización? No, pero es una que siempre debe considerarse. Este nuevo paradigma permite a las empresas saber exactamente quién y qué está en su red en un momento dado, aumentando el cumplimiento al garantizar el acceso a las aplicaciones y la infraestructura para todos los usuarios. Su relevancia radica en ser una parte importante de una estrategia completa de ciberseguridad en el entorno empresarial: nunca confiar y siempre verificar.