Zero Trust es un tema importante sobre el que se debate en la actualidad entre los líderes de seguridad y TI en empresas de todos los tamaños, y es obvio por qué. La pandemia del COVID-19 ha acelerado el futuro del trabajo mucho más rápido de lo que nadie había previsto. Según Upwork, uno de cada cuatro estadounidenses trabajará desde casa en 2021, y en 2025 los niveles de trabajo remoto habrán aumentado un 87% respecto a los niveles anteriores a la crisis. Este gran cambio ha producido una amplia variedad de retos y oportunidades de negocio en lo que respecta a la productividad, la colaboración y la gestión de TI, pero especialmente la ciberseguridad.
El inicio de la era del teletrabajo de la noche a la mañana ha dejado a muchas organizaciones luchando por dotar a los empleados de los recursos y el apoyo necesarios para mantener las operaciones empresariales desde sus domicilios. Estas transiciones abruptas a menudo significan que las mejores prácticas de seguridad se convierten en una idea tardía. Por tanto, tiene sentido que Zero-Trust -una metodología de seguridad centrada en el usuario que es a la vez flexible y lo suficientemente rigurosa como para acomodar a las crecientes fuerzas de trabajo remotas- esté tomando protagonismo en 2021. De hecho, Microsoft informó recientemente de que más de la mitad de los líderes empresariales están acelerando sus despliegues de Zero Trust.
A diferencia de la mayoría de los enfoques heredados de la seguridad corporativa, Zero Trust asume que cada dispositivo y usuario, dentro o fuera de la red, representa un riesgo de seguridad hasta que se verifique lo contrario. En pocas palabras, este es un enfoque de “nunca confiar, siempre verificar” que utiliza múltiples capas de defensa para prevenir amenazas, bloquear el movimiento lateral y hacer cumplir controles de acceso en profundidad.
Al pensar en las estrategias Zero Trust, muchos clientes tienen preguntas sobre las migraciones a la nube, la eliminación de la red tradicional, las políticas adecuadas para establecer la confianza y más. Y si bien estos conceptos son ciertamente parte del proceso, existen muchos conceptos erróneos comunes y escollos ocultos que debe estar preparado para abordar como MSP de confianza. Examinemos varias preguntas comunes de los clientes de Zero Trust con las que puede encontrarse y la mejor manera de abordarlas:
¿No son los usuarios y los dispositivos de mi red intrínsecamente fiables? Las empresas, independientemente de su tamaño, suelen ser víctimas de la idea de la vieja escuela de que no necesitan protecciones de seguridad extensas y en capas para proteger a los usuarios y los datos dentro de la red. Las metodologías de Zero Trust existen por completo porque, en el panorama tecnológico actual, las organizaciones deben asumir por defecto que todos los usuarios, dispositivos y conexiones son poco fiables, independientemente de su ubicación. Basta con la pérdida o el robo de una credencial corporativa para que un atacante ponga en peligro toda la red. Por ello, la autenticación multifactor con políticas basadas en el riesgo, como la verificación de la ubicación y otras, es crucial para la seguridad Zero Trust.
¿Es suficiente fuerte la autenticación para establecer una postura de seguridad de Confianza Zero? Las redes de Zero Trust garantizan que los usuarios y los ordenadores establezcan su legitimidad antes de acceder a los recursos de la empresa. Los clientes deben validar a sus usuarios con una autenticación multifactor fuerte, así como a los propios dispositivos mediante protecciones como el antivirus para el endpoint y la detección y respuesta de amenazas. Sin ambos extremos de esta ecuación, podrían acabar permitiendo el acceso a un empleado legítimo y de confianza que esté operando en una máquina compartida y no fiable. Por otro lado, podrían conceder accidentalmente acceso a un agente malicioso que se aproveche de un portátil corporativo desatendido mientras un empleado está en la pausa del café. En la era del trabajo remoto, en la que las empresas tienen menos visibilidad y supervisión de TI, las redes Zero Trust pueden evitar estos riesgos por defecto.
¿No son las redes domésticas de los trabajadores remotos relativamente seguras? Algunos clientes pueden caer en la trampa de creer que las redes domésticas de los empleados son más seguras que los entornos públicos compartidos. Cualquier empresa que piense en crear una postura de seguridad de Zero Trust debe rechazar esta idea por completo. La verdad es que las redes domésticas de los usuarios no son intrínsecamente más seguras o menos arriesgadas que las cafeterías, los aeropuertos u otros lugares de trabajo remotos. Hay muchos problemas potenciales, como los routers con configuraciones inseguras por defecto, las conexiones wifi abiertas, los invitados externos y los visitantes, entre otros. Con un enfoque Zero Trust, las empresas deben tratar las oficinas domésticas como entornos no confiables e implementar protecciones basadas en el riesgo, así como la educación y formación de los empleados remotos.
¿Necesito hacer la transición al 100% a la nube? Algunos clientes finales pueden creer que necesitan trasladar todos los servicios a la nube, así como eliminar la red local y la necesidad de acceso remoto o VPN. Este es un error común porque la mayoría de las empresas probablemente seguirán manteniendo servidores de dominios, aplicaciones y archivos con acceso rápido para los usuarios locales, y a veces incluso sus servicios, herramientas y datos de investigación confidenciales desarrollados en casa. Las organizaciones no deben asumir que un enfoque Zero Trust significa trasladar absolutamente todo a la nube. Mientras las empresas tengan una oficina, es probable que mantengan aplicaciones críticas heredadas y servidores de archivos compartidos en las instalaciones a los que los usuarios solo pueden acceder a través de una VPN. Incluso con una estrategia Zero Trust, los clientes deben considerar la red principal como parte de una infraestructura más amplia de aplicaciones empresariales, e implementar controles de seguridad para garantizar un acceso remoto seguro, como UTM con capacidades de filtrado y protección, así como soporte para protocolos modernos de VPN, como IKEv2 con MFA.
¿Puedo habilitar los inicios de sesión automáticos para facilitar el acceso a las apps en la nube? Muchas aplicaciones en la nube permiten a los empleados iniciar sesión con cuentas de redes sociales como Facebook, Twitter y otras. Permitir que los usuarios inicien sesión una vez con ese tipo de credenciales para acceder a todas las aplicaciones en la nube es sin duda un ahorro de tiempo, y los clientes podrían creer que estos inicios de sesión automáticos basados en las redes sociales son la respuesta para mejorar la experiencia del usuario. Lamentablemente, esto no es seguro y queda muy lejos de los principios de Zero Trust, que consisten en gestionar el riesgo. Los clientes que permiten los inicios de sesión automáticos o el inicio de sesión único para los servicios en la nube deben utilizar la gestión de credenciales controlada por la empresa, como los proveedores de identidad, y las relaciones de confianza con las aplicaciones en la nube utilizando protocolos, como SAML. Hacerlo con credenciales controladas por el usuario básicamente delega la gestión de credenciales a los empleados y expone al cliente a ataques de relleno de credenciales y muchos otros riesgos de seguridad.
Las estrategias de seguridad de confianza cero se volverán más críticas y generalizadas a medida que continúe la era del trabajo remoto, y existe una enorme oportunidad para que los MSP ayuden a los clientes a hacerlo bien. Este enfoque puede ayudar a verificar quién, qué, cuándo, dónde y cómo se está accediendo a los recursos y aplicaciones sensibles, y a dotarle a usted y a sus clientes de la información necesaria para gestionar eficazmente el riesgo y limitar la exposición a los incidentes de seguridad. Sin duda, la mayoría de los clientes de MSP han sacado el tema en más de una ocasión en los últimos meses, y si los suyos aún no lo han hecho, pronto lo harán. Considere los temas de debate anteriores como punto de partida y asegúrese de que su equipo está preparado para empezar a guiar a sus clientes en su viaje hacia Zero Trust.
