Seguramente habrás oído decir que «Zero Trust» no es un producto ni una solución; de hecho, diversos expertos, desde el equipo de analistas de Forrester, donde se acuñó el término, hasta nuestros propios estrategas de RSA han señalado este aspecto. Se trata, más bien, de una estrategia de seguridad. Y aunque el concepto es bastante sencillo —no confíes en nadie hasta que compruebes que puedes hacerlo—, su puesta en práctica suele resultar abrumadora. Una vez que te comprometes con un enfoque «Zero Trust», empieza el verdadero trabajo. Pero, ¿por dónde se empieza?
La respuesta: la identidad.
Como primera línea de defensa frente a las amenazas a la ciberseguridad, la identidad es fundamental para que el modelo «Zero Trust» se convierta en una herramienta real y práctica que las organizaciones puedan utilizar para mejorar su nivel de seguridad. La filosofía que subyace al modelo «Zero Trust» es que nunca se puede dar por sentada la confianza, sino que debe establecerse de nuevo en cada interacción—que es precisamente lo que hace la identidad.
Cada vez que un usuario se autentica, se comprueba su fiabilidad antes de concederle el acceso. Esto es fundamental para que el concepto de «Zero Trust» se convierta en una realidad cotidiana.
Veamos qué significa esto, empezando por explicar qué es exactamente el modelo «Zero Trust».
El modelo «Zero Trust» es una forma de enfocar la seguridad en un mundo cada vez más digital, en el que el perímetro de red tradicional en el que hemos confiado durante años ha quedado prácticamente eliminado. Hoy en día, las personas pueden trabajar (y de hecho lo hacen) desde cualquier lugar. Los recursos a los que acceden pueden estar en la nube, en las instalaciones o en una combinación de ambos, y acceden a ellos desde ubicaciones que se encuentran mucho más allá de cualquier perímetro de protección. La cuestión, entonces, es cómo proteger esos recursos.
La adopción del modelo “Zero Trust” es una forma de resolver el problema. El principio rector del «Zero Trust» es, sencillamente, que nunca se puede dar por sentada la confianza. Cada interacción relacionada con el acceso a los recursos debe considerarse potencialmente arriesgada. Como señaló Jim Taylor, director de producto de RSA: «El modelo Zero Trust es una forma de abordar una situación en la que ya no se dispone de los mecanismos que antes se utilizaban para sentirse seguro». En lugar de dar por sentado que se puede confiar en una persona o un dispositivo, la confianza debe verificarse en cada interacción.
Con la erosión del perímetro tradicional, la identidad se convierte en el principal medio para establecer la confianza. "La identidad es el nuevo perímetro: es lo único que se puede controlar y proteger", afirma Taylor. "Si puedo determinar con un alto grado de confianza que eres quien dices ser, puedo autenticarte y autorizarte. La capacidad de confiar en la identidad de alguien o algo permite basar la política de seguridad en la identidad".
Por supuesto, la idea de utilizar la identidad para generar confianza no es nueva. Pero el contexto en el que se genera esa confianza ha cambiado de tal manera que la identidad es ahora más crucial que nunca. Cada vez más, la plantilla incluye no solo a empleados a tiempo completo que trabajan en las instalaciones, sino también a contratistas, trabajadores temporales y muchas otras personas que necesitan acceder a los recursos, y no solo desde las instalaciones. Hoy en día, la interacción se produce de forma digital y en línea en tal medida que la ubicación física de una persona ya no es fundamental para generar confianza. Estos cambios son la razón por la que el modelo «Zero Trust» es tan relevante en la actualidad y por la que la identidad es fundamental.
La identidad allana el camino hacia el modelo «Zero Trust» de tres formas concretas.
- Concede acceso a las personas adecuadas. La capacidad de establecer el nivel adecuado de confianza antes de conceder el acceso es esencial para operar con una mentalidad de «Zero Trust». Para respaldar el modelo «Zero Trust», se necesitan capacidades de identidad y acceso que incluyan una amplia gama de métodos de autenticación multifactorial (MFA), junto con una sólida gobernanza y administración de identidades (IGA) que permita una autorización de acceso basada en la gobernanza e impulsada por la visibilidad.
- Apoya una toma de decisiones dinámica. Para aplicar con éxito un enfoque «Zero Trust» en materia de acceso, es necesario poder utilizar el contexto para evaluar el riesgo asociado a una interacción concreta y, a continuación, tomar decisiones de acceso en función del nivel de riesgo. Un enfoque «Zero Trust» requiere una toma de decisiones dinámica basada en el contexto, por lo que es importante poder aplicar una autenticación basada en el riesgo.
- Se ajusta al marco de arquitectura «Zero Trust» del NIST. El Instituto Nacional de Estándares y Tecnología (NIST) ha desarrollado un marco para una arquitectura «Zero Trust». Los componentes de identidad y acceso que incluyen los análisis basados en el riesgo exigidos por el NIST y el acceso basado en roles y atributos son esenciales para trabajar dentro del marco del NIST.
Cualquier enfoque para garantizar el acceso seguro, incluido el modelo «Zero Trust», tiene dos vertientes: mantener fuera a los malintencionados y dejar entrar a los usuarios legítimos. Si te centras exclusivamente en la defensa y no dejas entrar a nadie, el riesgo es mínimo, pero también lo es el volumen de negocio. El término «Zero Trust» no significa no confiar nunca en nadie. Significa no confiar en nadie sin comprobar primero que es de fiar. Y la identidad es fundamental para garantizar que se puede confiar en alguien o en algo. Con las herramientas de identidad adecuadas, puedes aplicar con éxito una mentalidad «Zero Trust» a la gestión del acceso y prosperar en el mundo digital.
Más información sobre la exclusiva centrarse en la identidad hoy mismo, y descubre más sobre el modelo «Zero Trust» de RSA:
- Descargar el Guía de implantación de confianza cero de Forrester
- Descubra cómo aborda la RSA Confianza cero retos
- Más información sobre RSA productos que admiten el modelo «Zero Trust»