Probablemente haya oído decir que la confianza cero no es un producto ni una solución; de hecho, expertos que van desde el equipo de analistas de Forrester, donde se originó el término, hasta nuestros propios estrategas de la RSA lo han señalado. Se trata más bien de una estrategia de seguridad. Y aunque el concepto es bastante sencillo -no confíes en nadie hasta estar seguro de que puedes hacerlo-, su aplicación suele ser abrumadora. Una vez que te comprometes a adoptar un enfoque de confianza cero, empieza el verdadero trabajo. Pero, ¿por dónde empezar?
La respuesta: la identidad.
Como primera línea de defensa contra las amenazas a la ciberseguridad, la identidad es clave para hacer de la confianza cero una herramienta real y práctica que las organizaciones puedan utilizar para mejorar su postura de seguridad. La idea que subyace a la confianza cero es que la confianza nunca puede darse por supuesta, sino que debe establecerse de nuevo en cada interacción...que es precisamente lo que hace la identidad.
Cada vez que un usuario se autentica, se verifica su confianza antes de concederle acceso. Esto es fundamental para convertir el concepto de confianza cero en una realidad cotidiana.
Exploremos lo que esto significa, empezando por lo que es exactamente la confianza cero.
La confianza cero es una forma de concebir la seguridad en un mundo cada vez más digital, en el que el perímetro de red tradicional en el que hemos confiado durante años prácticamente ha desaparecido. Hoy en día, las personas pueden trabajar (y lo hacen) desde cualquier lugar. Los recursos a los que acceden pueden estar en la nube, en las instalaciones o en una combinación de ambos, y acceden a ellos desde ubicaciones mucho más allá de cualquier perímetro de protección. La cuestión es cómo proteger esos recursos.
Adoptar la confianza cero es una forma de resolver el problema. El principio rector de la confianza cero es sencillamente que la confianza nunca puede darse por supuesta. Toda interacción relacionada con el acceso a los recursos debe presumirse potencialmente arriesgada. En palabras de Jim Taylor, Chief Product Officer de RSA: "La confianza cero es una forma de abordar una situación en la que ya no se dispone de los mecanismos que se solían tener para sentirse seguro". En lugar de asumir que se puede confiar en un individuo o dispositivo, la confianza debe verificarse en cada interacción.
Con la erosión del perímetro tradicional, la identidad se convierte en el principal medio para establecer la confianza. "La identidad es el nuevo perímetro: es lo único que se puede controlar y proteger", afirma Taylor. "Si puedo determinar con un alto grado de confianza que eres quien dices ser, puedo autenticarte y autorizarte. La capacidad de confiar en la identidad de alguien o algo permite basar la política de seguridad en la identidad".
Por supuesto, la idea de utilizar la identidad para establecer la confianza no es nueva. Pero el contexto para establecer la confianza ha cambiado de tal manera que la identidad es más crítica que nunca. Cada vez más, la mano de obra incluye no sólo empleados a tiempo completo, sino también contratistas, trabajadores temporales y muchos otros que necesitan acceder a los recursos, y no sólo in situ. La interacción hoy en día se produce digitalmente y en línea en tal medida que la ubicación física de alguien ya no es fundamental para establecer la confianza. Estos cambios explican por qué la confianza cero es tan importante ahora y por qué la identidad es fundamental.
La identidad allana el camino hacia la confianza cero de tres maneras concretas.
- Concede acceso a las personas adecuadas. La capacidad de establecer el nivel adecuado de confianza antes de conceder el acceso es esencial para operar con una mentalidad de confianza cero. Para que la confianza sea cero, se necesitan capacidades de identidad y acceso que incluyan una serie de métodos de autenticación multifactor (MFA), junto con una sólida gobernanza y administración de identidades (IGA) para permitir la autorización de acceso basada en la gobernanza y la visibilidad.
- Apoya una toma de decisiones dinámica. Para aplicar con éxito un enfoque de confianza cero al acceso, hay que ser capaz de utilizar el contexto para evaluar el riesgo asociado a una interacción concreta y, a continuación, tomar decisiones de acceso basadas en el nivel de riesgo. Un enfoque de confianza cero requiere una toma de decisiones dinámica basada en el contexto, por lo que es importante tener la capacidad de aplicar una autenticación basada en el riesgo.
- Se ajusta al marco de arquitectura de confianza cero del NIST. El Instituto Nacional de Normas y Tecnología (NIST) ha desarrollado un marco para una arquitectura de confianza cero. Los componentes de identidad y acceso que incluyen el análisis basado en riesgos y el acceso basado en funciones y atributos exigidos por el NIST son esenciales para trabajar dentro del marco del NIST.
Cualquier enfoque del acceso seguro, incluida la confianza cero, tiene dos vertientes: mantener fuera a los malos y dejar entrar a los buenos. Si te centras exclusivamente en la defensa y no dejas entrar a nadie, tienes poco riesgo pero también poco negocio. El término confianza cero no significa no confiar nunca en nadie. Significa que no confíes en nadie sin antes comprobar que se puede confiar en él. Y la identidad es fundamental para asegurarse de que se puede confiar en alguien o en algo. Con las herramientas de identidad adecuadas, puede aplicar con éxito una mentalidad de confianza cero a la gestión del acceso y prosperar en el mundo digital.
Más información sobre la exclusiva centrarse en la identidad hoy mismo y obtenga más información sobre la confianza cero de RSA:
- Descargar el Guía de implantación de confianza cero de Forrester
- Descubra cómo aborda la RSA confianza cero retos
- Más información sobre RSA productos que apoyan la confianza cero
