En el mundo de las TI, la confianza no es absoluta. Y el concepto de zero trust, o confianza cero, se ha convertido en el eje central de las estrategias de protección y seguridad de las empresas.

Los proyectos para lograr la confianza cero se están enfrentando a enormes desafíos: definiciones, sistemas TI incompatibles y legados, multi nube y software como servicio (SaaS).

Y es que la migración a la nube, la adopción del trabajo remoto y la transformación digital destacan la importancia que tienen los principios de la confianza cero para las arquitecturas en las que se conjuntan distintos entornos y plataformas tecnológicas.

La confianza cero en un entorno SASE o híbrido, por tanto, radica en poder establecer una confianza adaptable y continua entre usuarios, dispositivos, redes, aplicaciones y datos, con el propósito de aumentar la confianza en la aplicación de las políticas en todo momento y lugar.

El enfoque en los entornos híbridos de hoy cambia de estrategia y en lugar de confiar verifica a detalle cada una de las interacciones entre usuarios y aplicaciones. Mediante la evaluación de una serie de elementos contextuales, como pueden ser la identidad de los usuarios, la identidad de los dispositivos y la postura de seguridad, la hora, la geolocalización y el nivel de sensibilidad de los datos, entre otros, un recurso puede determinar un nivel de confianza adecuado, para una interacción específica con un dato o servicio específico.

No obstante, el nivel de confianza al inicio de una interacción no siempre es suficiente. Durante esta, el contexto necesita evaluarse continuamente. Es fundamental considerar que las alteraciones que sufra el contexto pueden derivarse en una adaptación (aumento o descenso) del nivel de confianza, que podría alterar el tipo de acceso a un recurso.

Así, el acceso debe basarse en el contexto, en donde se equilibre la confianza y el riesgo. Por ejemplo, en las situaciones donde el riesgo es más alto, el acceso es limitado pero no se bloquee totalmente, lo que permite iniciar el trabajo. En las situaciones de bajo riesgo, el acceso se amplía y pueden reducirse ciertas obligaciones.

En otras palabras, el nivel de confianza de un usuario en un dispositivo con un agente capaz de reportar la telemetría que refleja el entorno del dispositivo probablemente será mayor que la confianza de un usuario cuyo dispositivo sólo reporta una dirección MAC.

Y cabe destacar que no es suficiente evaluar el nivel de confianza al inicio de cualquier interacción, por lo que el contexto debe evaluarse continuamente. De alterarse el contexto, se eleva o disminuye la adaptación en el nivel de confianza, lo que alterará el tipo de acceso al recurso.

Por tanto, el acceso debe considerar el contexto, y este acceso equilibre la confianza respecto al riesgo. De este modo, en situaciones de más alto riesgo, el acceso puede limitarse pero no bloquearse totalmente; en las de bajo riesgo, el acceso se amplía y pueden reducirse ciertas obligaciones.

Se calcula que una empresa promedio con 500 a 2, 000 usuarios está suscrita a 805 aplicaciones SaaS distintas

Acceso adaptable

Un modelo que se adapta continuamente eleva los requisitos para el nivel de confianza en paralelo con el valor del recurso al que se tiene acceso. A partir de factores como el riesgo de la actividad y del usuario, de la sensibilidad de los datos, el dispositivo y la ubicación del usuario entre otros atributos, el acceso adaptable permite tomar decisiones en tiempo real para permitir, negar, restringir, redirigir o incluso orientar al usuario.

La confianza cero también supone que el entorno puede ser atacado en cualquier momento a fin de implementar patrones y prácticas que reducen la superficie de ataque, limitar el radio de impacto, limitar el movimiento lateral y responder a las amenazas de manera expedita y precisa.

Y lo más importante, reduce el riesgo y eleva la agilidad empresarial al eliminar la confianza implícita y evaluar continuamente la confianza de los usuarios y dispositivos según su identidad, acceso y la analítica.

La confianza cero cobra hoy mayor importancia, cuando el trabajo remoto y la conectividad se han adoptado de manera rápida y masiva debido a la pandemia: las aplicaciones, los datos y los usuarios han salido fuera del perímetro de la empresa. Asimismo, las compañías han adoptado aplicaciones SaaS para un número cada vez mayor de procesos de negocio. De hecho, se calcula que una empresa promedio con 500 a 2, 000 usuarios está suscrita a 805 aplicaciones SaaS distintas.

Cuando se combina con SASE, por ejemplo, puede generar un cambio radical en la manera en que las empresas protegen sus recursos digitales. Incluso, SASE puede ser una excelente base a partir de la cual desarrollar un programa efectivo de confianza cero que abarque a los entornos totalmente híbridos en los que interactúan usuarios, aplicaciones y datos.

Al adoptar una arquitectura SASE con los principios de zero trust, las empresas pueden conocer el riesgo de los usuarios y las aplicaciones para determinar el nivel de confianza en el acceso otorgado bajo distintas condiciones y adaptarlo de acuerdo con el factor de confianza; ampliar dichos principios a la web y las aplicaciones SaaS con políticas y posturas adaptables, y aplicar los insights de riesgos dentro de las aplicaciones a fin de controlar el acceso a actividades específicas.

De igual forma, les permite monitorear continuamente los cambios en el contexto que requieren una revaloración de la confianza, y reducir la superficie de ataque al eliminar la exposición de protocolos y servicios al internet público.

A consecuencia de la pandemia, y la transformación digital que aceleró, ha llevado a las empresas a evaluar cómo rediseñar sus redes, su infraestructura de seguridad y programas a fin de satisfacer sus necesidades actuales. Es evidente la necesidad de adoptar un nuevo enfoque de seguridad que ofrezca una experiencia de usuario transparente con controles de gestión de riesgo efectivos en las arquitecturas multinube e híbridas. La confianza cero es una ruta para lograrlo.