La pandemia mundial ha acelerado de forma drástica e inesperada la necesidad de un nuevo modelo de seguridad de red. La seguridad Zero Trust no es nada nuevo, aunque ha cobrado protagonismo, y los responsables de seguridad coinciden en que mejorará y simplificará los procesos de seguridad de los usuarios descentralizados y las redes híbridas.
Sin embargo, la implementación del modelo ha sido complicada y ha supuesto logros y desafíos para las organizaciones.
El cambio generalizado al teletrabajo, y la correspondiente necesidad de mejorar la seguridad de los usuarios remotos, ha impulsado la inversión en seguridad Zero Trust. La capacidad de autenticar y supervisar todo el tráfico, independientemente de su posición dentro o fuera de una red corporativa, promete reducir o eliminar muchos riesgos de seguridad.
Sin embargo, a muchas organizaciones les resulta complicado implementar un enfoque de seguridad Zero Trust. Uno de los principales motivos es que plantea desafíos logísticos, no solo técnicos. La modernización de la seguridad depende a menudo del progreso de la consolidación de la identidad del usuario y de la transformación de la nube, que son proyectos complejos y a largo plazo.
Entonces, ¿cuál es el estado actual de la adopción del modelo de seguridad Zero Trust? Y, ¿a qué retos se han enfrentado las organizaciones en el proceso?
Para responder a estas preguntas, durante la pandemia de 2020, Forrester Consulting realizó una encuesta en nombre de Cloudflare a más de 300 responsables de seguridad de todo el mundo sobre los logros y los desafíos de sus organizaciones con estos cambios. La encuesta identificó:
Las principales tendencias empresariales y tecnológicas que impulsan la adopción del modelo Zero Trust.
Los casos de uso más populares previstos para la seguridad Zero Trust.
Los desafíos habituales en la adopción del modelo Zero Trust.
La transformación radical hacia el teletrabajo conllevó cambios para los que ninguna empresa estaba preparada. El 52 % de los responsables de seguridad encuestados identificaron el trabajo remoto como uno de los principales factores que estaban afectando a sus programas de seguridad informática.
En el contexto de la pandemia, la encuesta también identificó un aumento de los incidentes de seguridad relacionados con las redes corporativas y los datos confidenciales. El 55 % de los responsables de seguridad informaron de que su organización había experimentado un aumento de los ataques de phishing ese año. Asimismo, el 58 % de los responsables de seguridad afirmaron que su organización había sufrido algún tipo de fuga de datos.
El simple hecho de mantenerse conectado también fue un desafío. Muchos equipos de seguridad descubrieron que sus plataformas VPN obsoletas no podían gestionar todo el tráfico de los usuarios remotos, y el 46 % notificó problemas de latencia debido al aumento del uso de las VPN.
Un marco de seguridad Zero Trust es una respuesta natural a estos riesgos cada vez mayores porque logra:
Detener ataques de phishing incorporando medidas de verificación de identidad adicionales delante de cada aplicación.
Evitar que los atacantes que consiguen acceder a una aplicación o servicio tengan carta blanca para acceder a toda la red interna.
Eliminar la necesidad de las VPN, ya que la verificación de la identidad es necesaria para acceder a las aplicaciones individuales.
Zero Trust no solo ofrece ventajas para la seguridad de red, también simplifica los procesos de acceso y permite a los usuarios trabajar desde una gran variedad de lugares y dispositivos, lo que aumenta la productividad y mejora la experiencia de los empleados.
Los resultados de nuestra encuesta así lo reflejan. Cuando preguntamos a los responsables de seguridad por los casos de uso prioritarios de la seguridad Zero, hubo un claro favorito: el 87 % de los encuestados seleccionó mejorar la visibilidad de las cargas de trabajo en la nube. No es difícil imaginar la razón. Entender cómo los usuarios utilizan la nube no solo ayuda a las organizaciones a realizar inversiones más inteligentes. También les facilita la supervisión y la protección de los datos dondequiera que estén.
Los siguientes tres casos de uso Zero Trust más populares fueron igualmente multidimensionales:
Garantizar un acceso rápido y seguro para desarrolladores (seleccionado como un caso de uso importante por el 83 % de los encuestados). Además de ofrecer mayor seguridad, este caso de uso también ayuda a los desarrolladores a acceder a las herramientas y los entornos de forma más fiable, lo que supone un importante aumento de la productividad.
Desarrollar o ampliar un programa BYOD, "usa tu propio dispositivo", (seleccionado por el 81 % de los encuestados). Este caso de uso también permite ahorrar costes y puede evitar que los equipos informáticos tengan que gestionar y actualizar los dispositivos corporativos.
Sustituir VPN sobrecargadas (seleccionado por el 71 % de los encuestados). Zero Trust no solo es más segura que las VPN, sino que también permite a los empleados acceder a las aplicaciones de forma más fiable y evita a los equipos informáticos la tarea de tener que controlar a los clientes de VPN.
Todas estas presiones externas y estos casos de uso han despertado un interés generalizado en la seguridad Zero Trust. La encuesta reveló que el 80 % de los responsables de seguridad confirmaron el compromiso de sus organizaciones con la adopción de la seguridad Zero Trust. Además, la mitad de las organizaciones han incluido recientemente en sus juntas directivas a los responsables de seguridad de la información. Esto se debe a la importancia que la organización otorga a la seguridad Zero Trust y a la reducción del ciberriesgo.
Sin embargo, este interés aún no se ha materializado en una adopción concreta. Solo el 39 % de las organizaciones encuestadas declararon haber participado en al menos una prueba piloto de Zero Trust este año.
¿Cuáles son las razones de esta falta de progreso generalizada?
Una de las razones podría ser el desafío que supone la migración global a la nube. El 80 % de las organizaciones aceleraron sus planes de adopción de la nube en 2020, pero no estaban preparadas. Puesto que aún no se han migrado grandes cantidades de datos a la nube desde los centros de datos aislados, puede resultar más difícil protegerlos con una única herramienta de seguridad.
La complejidad de la gestión de identidad y acceso (IAM) resultó otro obstáculo igualmente difícil para la adopción de la seguridad Zero Trust: El 76 % de los responsables de seguridad encuestados afirmaron que les resultaba difícil cambiar a un enfoque Zero Trust debido a la complejidad de las necesidades de acceso de los usuarios en su organización. Este modelo se basa en una única fuente fiable para la gestión de identidad. Sin embargo, las organizaciones más grandes, específicamente, a lo largo de los años han acumulado a menudo varios proveedores de identidades que son incompatibles. También deben comprender los patrones de acceso de un gran número de aplicaciones, la mayoría de las cuales no pueden cerrarse ni siquiera un momento para migrar a una nueva plataforma de identidad.
¿Qué pueden hacer los responsables de seguridad para superar estos desafíos? A continuación, resumimos brevemente tres enfoques a tener en cuenta:
Elige una plataforma Zero Trust con funcionalidad de autoservicio. Al igual que la transformación a la nube, la gestión de los patrones de acceso de los usuarios nunca será sencilla. Para poder dedicar tiempo a este importante trabajo, los responsables de seguridad deben buscar herramientas Zero Trust que permitan realizar otras acciones de gestión de acceso, tales como la integración de aplicaciones o la creación de roles y permisos basados en roles, de la forma más fácil y autónoma posible.
Reduce gradualmente la dependencia de las VPN, empezando por las aplicaciones para desarrolladores. Los responsables de seguridad coinciden en que las VPN están sobrecargadas y son ineficaces en un entorno de trabajo remoto. Las plataformas de acceso a la red Zero Trust cambian la latencia propia del recorrido del tráfico de una VPN por una protección basada en la identidad para cada aplicación. Las aplicaciones para desarrolladores como Jira, Jenkins y Grafana son un importante punto de partida común en este proceso.
Contempla plataformas integradas que pueden escalar al ritmo de tu negocio durante el proceso de adopción. El uso de varias soluciones específicas para la implementación de una arquitectura Zero Trust es más difícil de gestionar. También suma mayores riesgos, ya que cada solución es un punto de fallo adicional.
Forrester recopiló estas conclusiones en un estudio encargado por Cloudflare. Los resultados son la culminación de las encuestas realizadas a 317 responsables de seguridad de todo el mundo en más de 20 sectores. Los participantes trabajan en empresas de distinta magnitud, p. ej. el 32 % pertenece a organizaciones de más de 5.000 profesionales y el 17 % a organizaciones de 500 profesionales o menos.
Este artículo forma parte de un conjunto de publicaciones sobre las últimas tendencias y temas que afectan a los responsables de la toma de decisiones sobre tecnología en la actualidad.
Después de leer este artículo podrás entender:
Las tendencias que afectan a los entornos corporativos de TI
Los resultados de la encuesta realizada a más de 300 responsables de seguridad de todo el mundo
El caso de uso de Zero Trust más popular
Cómo superar los principales obstáculos del proceso de adopción de Zero Trust
Informe de Forrester: "Leaders are now committed to Zero Trust".
Cómo acelerar el recorrido hacia la adopción del modelo SASE.
Si quieres saber más sobre las conclusiones, descarga el informe (El compromiso de los líderes con la seguridad Zero Trust).