shane - stock.adobe.com

Seguridad de confianza cero: Nunca confíes, siempre verifica

La confianza cero saca de la ecuación la confianza, entendiendo que los actores de riesgo están dentro y fuera de la red, y permite usar sólidas capas de defensa para proteger la información importante y sensible.

El fenómeno de la digitalización ha cobrado fuerza de manera acelerada en los últimos dos años. Cambios drásticos en la forma de hacer las cosas, que van desde la migración a un trabajo con conexiones remotas, hasta el impacto de nuevos hábitos de compra meramente a través de canales digitales han generado como consecuencia el afán de las organizaciones por blindarse ante los ciberataques y fortalecer su ciberseguridad. Tan solo México, sufrió 80 mil millones de intentos de ciberataques en el primer trimestre de 2022 según estadísticas de mercado. Es aquí donde el concepto de Zero Trust Security cobra relevancia.

María Pilar Torres

A pesar de que este concepto viene desarrollándose desde 2015, hoy es clave para la operación segura de las empresas. La confianza cero (zero trust) es un concepto que saca de la ecuación la confianza, entendiendo que los actores de riesgo están dentro y fuera de la red.

En la medida de la pérdida de visibilidad de los ataques que se producen cuando los colaboradores se encuentran trabajando fuera del perímetro de una organización, y las necesidades de identificar rápidamente y minimizar movimientos hacia activos valiosos de la empresa, una de las mayores preocupaciones es cómo mantenemos protegidos los datos personales, la información sensible, de cientos de usuarios, clientes y consumidores.

Actualmente, a la adopción de la virtualidad y del teletrabajo le debemos sumar el aumento de tecnología de la nube y el temor a la brecha de seguridad de los datos. Las empresas, para poder implementar un sistema de seguridad como el de confianza cero, deben comenzar realizando una evaluación que les permita entender el nivel de madurez de su modelo actual de seguridad, definir un modelo deseado y definir las iniciativas y proyectos que necesitan poner en marcha y empezar su ejecución. Esta evaluación se debería enfocar en el análisis de distintas capas dentro de su arquitectura de seguridad: la capa de red, de infraestructura, de aplicaciones, datos, terminales, identidad, gobierno y operación.

Asimismo, el tema de cambio cultural es una parte fundamental para contar con un sistema de prevención exitoso, ya que partimos de tratar un problema humano y transformar el propósito de la cultura organizacional en función de la seguridad de la información y la ciberseguridad. Es decir, debemos transferir el conocimiento y adherir valores hacia las personas que colaboran en una empresa, lo que se traduce en crear seguridad en torno a cada uno de los recursos y entidades claves dentro de la organización.

Los ataques cibernéticos cada vez son más sofisticados y específicos para una organización y, en algunos casos, se han construido para tratar de una determinada forma a una empresa en específico. Por ello, las medidas de seguridad deben ir evolucionando a la par. La confianza cero nos permite cubrir amplias zonas de superficie, minimizando los huecos que pudieran poner en riesgo alguna entrada de ataque.

Las compañías de todas las industrias deben priorizar el cómo implementan la seguridad con sus clientes. Si somos capaces de transmitir a nuestros usuarios y clientes finales que somos una empresa preocupada por la seguridad, podemos aumentar la confianza y tranquilidad de que los clientes finales hagan uso de nuestros canales digitales y, por tanto, esto puede resultar en un aumento de ventas y del beneficio a mediano y largo plazo.

Los responsables de la toma de decisiones y los jefes de los departamentos de TI de una organización deberían considerar la posibilidad de utilizar todos sus recursos y estrategias para asegurar la información importante de los consumidores y los datos empresariales mediante el aprovechamiento de sólidas capas de defensa a través de un modelo de seguridad de confianza cero.

Sobre la autora: María Pilar Torres Bruna es directora de ciberseguridad en NTT Data para América Latina y Perú. Es una científica en Computación por la Universidad de Zaragoza, y tiene MBAs por la University of Valle de México y la IEDE Business School de la Universidad Europea de Madrid. Tiene 17 años de experiencia, en los cuales ha liderado la planificación, implementación y monitoreo de proyectos en organizaciones de banca, seguros y sector público en Europa y América Latina.

Investigue más sobre Gestión de la seguridad