A medida que las empresas se esfuerzan por asegurar nuevos entornos de trabajo remotos e híbridos, la arquitectura de confianza cero (ZTA) ha ganado popularidad.
ZTA se refiere a la práctica de autenticar, autorizar y validar continuamente a los usuarios y sus dispositivos antes de otorgarles acceso a aplicaciones y datos. Este enfoque permite a los empleados trabajar de forma segura en todas las ubicaciones, dispositivos y redes, manteniendo los datos de la empresa seguros más allá de las paredes de la oficina, incluso con ransomware y otros ataques cibernéticos en aumento. (Lea también: ¿Cómo deben responder las empresas a un ataque de ransomware?)
Sin embargo, para muchas organizaciones, la transición exitosa a ZTA sigue siendo un desafío. Si bien ZTA generalmente no es más complicado de implementar que otras tecnologías de seguridad, las expectativas de los empleados mal administradas pueden ser un obstáculo importante. Sin la colaboración entre departamentos y una comprensión fundamental de la funcionalidad de ZTA, es probable que los empleados se sientan frustrados por los protocolos de autenticación y los niveles de acceso que inculca ZTA. Si la gerencia no prioriza la educación y el compromiso de los empleados durante la transición al modelo ZTA, es probable que las organizaciones pierdan todo su potencial y descubran que aún enfrentan riesgos de seguridad significativos.
¿Qué es la arquitectura Zero Trust?
Zero Trust Architecture (ZTA) ve a los usuarios y sus dispositivos como entidades interconectadas cuya confiabilidad debe evaluarse en conjunto. Su principio rector es que no se puede confiar en ningún usuario, ni en ningún dispositivo o red del usuario, hasta que se verifique. (Lea también: Un modelo de confianza cero es mejor que una VPN. este es el por qué.)
Para determinar la confianza, ZTA utiliza varios controles de seguridad, información de inicio de sesión y protocolos de autenticación para verificar que los usuarios puedan establecer conexiones seguras a sus redes y entornos. Una vez que los usuarios reciben el visto bueno, los perfiles de confianza preasignados determinan su nivel adecuado de acceso a los datos y sistemas de la empresa.
Ya sea que el usuario sea un empleado, un contratista, un cliente o un cliente potencial, el nivel de acceso depende de su rol específico y las necesidades relacionadas. Por ejemplo, los empleados brindan más información de verificación que los contratistas, pero a cambio obtienen un mayor acceso a la información de la empresa. Si bien los contratistas pueden tener menos acceso que los empleados, aún obtienen la información que necesitan para hacer su trabajo.
¿Cómo mejora la seguridad la arquitectura Zero Trust?
ZTA reduce el riesgo de seguridad organizacional porque analiza a los usuarios de manera integral, analizando más datos que las redes de usuarios individuales.
Además, a medida que las organizaciones consolidan cada vez más modelos de trabajo flexibles y continúan migrando a soluciones en la nube y de software como servicio (SaaS), la confianza en la verificación tradicional centrada en la red se vuelve cada vez más poco práctica. Esto se debe a que, en el nuevo entorno remoto, los empleados ya no trabajan en la misma red. Las organizaciones pueden implementar fácilmente ZTA en estos entornos de trabajo dispersos y reducir la complejidad de la seguridad con niveles de acceso predefinidos, pero solo si adoptan un enfoque cuidadoso y de varias fases que priorice la participación de los empleados.
Sin la capacitación adecuada sobre el diseño del nivel de acceso de ZTA, es poco probable que los empleados acepten la nueva arquitectura y entiendan su valor, y esto es especialmente cierto para los empleados cuyo acceso a los datos es limitado o cambia tras la implementación. (Lea también: Romper los silos con plataformas integradas de análisis de datos.)
Además, los ingenieros o los empleados de I+D pueden ser particularmente cuidadosos al agregar nuevas medidas de seguridad, que a veces pueden causar fricciones para los usuarios y parecen obstaculizar la innovación. Pero ZTA en realidad reduce la fricción del usuario y simplifica la experiencia del usuario cuando se implementa correctamente porque crea un modelo de confianza común que permite un acceso más rápido y consistente a los activos protegidos. Basándose en niveles predeterminados de confianza, ZTA agiliza las operaciones comerciales, desde la incorporación de nuevos empleados y proveedores hasta la garantía de que los clientes acceden y controlan correctamente sus datos.
¿Cómo pueden las organizaciones mantener la transparencia al implementar ZTA?
Para beneficiarse plenamente de ZTA, las organizaciones deben adoptar un enfoque estructurado y de varias etapas para la implementación, lo que da tiempo para la promoción interna, la concientización y la educación de los empleados. Aquí hay cuatro consejos para una transición exitosa al modelo ZTA:
1. Priorizar la educación de los empleados
Los empleados pueden estar menos que emocionados de aprender sobre otro aro de seguridad para saltar. Pero la educación integral de los empleados ayuda a aclarar exactamente cómo se ve ZTA en acción y cómo puede simplificar las responsabilidades de los empleados.
Para la gerencia en particular, la capacitación sobre el valor de ZTA ayudará a promover la flexibilidad que ofrece y sus beneficios de ahorro de tiempo, por ejemplo, la capacidad de respaldar más fácilmente los requisitos de acceso para empleados, contratistas, consultores, proveedores y clientes durante fusiones y adquisiciones. (M&A) actividades.
2. Alinearse con tu proveedor
El hecho de que ZTA esté creciendo en popularidad no significa que todos estén de acuerdo con su definición.
Al elegir un proveedor de seguridad para ayudarlo a implementar ZTA, asegúrese de que su comprensión básica y sus objetivos de seguridad estén alineados. Comunique el nivel de riesgo, los puntos débiles y el modelo de negocio de su organización para asegurarse de que las ofertas de servicios del proveedor elegido ayuden a proteger sus datos y sistemas de una manera que se alinee con su filosofía ZTA. (Lea también: 5 preguntas que las empresas deben hacerle a su proveedor de nube.)
3. Prepárese para el cambio de arquitectura
Si bien la carga de trabajo para la transición a ZTA es principalmente inicial, el monitoreo continuo de los procesos de confianza cero es crucial para el éxito a largo plazo. A medida que evolucione la infraestructura de su empresa, es probable que deba ajustar el cifrado de datos, los controles de seguridad, los niveles de acceso y los perfiles de usuario.
El monitoreo también permite la optimización continua de su arquitectura de seguridad y ayuda a que sus equipos de riesgo internos se vuelvan más ágiles con el tiempo, y definir las políticas de ZTA por adelantado puede ayudarlo a adoptar estos cambios.
4. Promover la colaboración interdepartamental
Para diseñar de manera integral perfiles de confianza y niveles de acceso apropiados, debe comprender los riesgos de los empleados y las necesidades de datos en todos los equipos y departamentos. Promueva y estandarice la colaboración entre sus empleados para garantizar que los equipos de seguridad reciban la información que necesitan para que ZTA tenga éxito.
Esto es especialmente importante durante la fase de transición cuando ZTA se integra por primera vez en sus sistemas internos.
Cómo encaja ZTA en el entorno laboral actual
Con la tendencia hacia la integración en la nube y los primeros entornos SaaS, la flexibilidad de los entornos de trabajo remotos e híbridos se ha convertido en el nuevo mantra de muchas empresas. ZTA puede ayudarlo a administrar estas nuevas expectativas de manera efectiva y eficiente, pero solo si los empleados están preparados para aceptar los estándares de seguridad cambiantes.
Al priorizar la colaboración entre departamentos y educar a los empleados sobre las operaciones de ZTA, puede garantizar viajes de usuario sin fricciones, máxima flexibilidad y seguridad mejorada, lo que permite a los empleados trabajar donde sea que estén.
