Ciberseguridad

El 2024 nos va a traer una guerra de requisitos sobre Zero Trust

Artículo de Marc Lueck, CISO EMEA, Zscaler

Con las empresas luchando por adaptarse al ritmo de la evolución tecnológica -el escenario siempre en transformación de las ciberamenazas, las nuevas formas de trabajo y la importancia de las experiencias de usuario sin interferencias-, las soluciones zero trust siguen siendo un referente. Sin embargo, a medida que aumenta el interés por la confianza cero, surgen nuevos proveedores y nuevas ofertas y el mercado está cada vez más cerca de su saturación, por lo que está empezando a darse una intensa competencia en materia de requisitos.

Si bien la competencia suele contribuir a acelerar la evolución, lo que se traduce en mayores opciones y prestaciones para el cliente, los profesionales deben ser capaces de diferenciar entre soluciones individuales y ofertas de plataformas basadas en la nube altamente integradas que apoyen las iniciativas de consolidación, con el fin de seleccionar la solución que mejor beneficie a su entidad.

Salvo que estos gestores aborden la confianza cero desde una óptica que incluya una visión más amplia de las formas en que la solución puede ayudar a lograr el crecimiento en su conjunto, esta guerra de requisitos puede dividir el mercado, los equipos y a la empresa en su conjunto.

¿Quién tiene el control de la confianza cero?

Como primer paso, las empresas tendrán que determinar quién se encarga de pilotar un proyecto de confianza cero. Este es un punto muy importante en la guerra de los requisitos, y algo que va a tener un papel clave a la hora de determinar su valor para toda la organización. Si un equipo de redes desea adoptar la confianza cero, es probable que su opinión al respecto y lo que pongan en práctica se incline en gran medida hacia una confianza cero basada en la red. Una solución puntual que les ofrezca justo lo que necesitan para satisfacer las necesidades de la red de la empresa en ese momento. De forma similar, si un CISO adopta la confianza cero, suele centrarse en el acceso lógico, el principio del mínimo privilegio y la limitación del acceso a activos seguros. Y si un CIO quiere aplicarla, buscará una solución que pueda satisfacer a la empresa y simplificar el flujo de transacciones. consideración importante en la guerra de los requisitos, y algo que desempeñará un papel clave a la hora de determinar su valor para toda la organización.

Como concepto, la confianza cero no es, digámoslo así, «oficial». Lo más parecido que tenemos actualmente a una definición aceptada y generalizada es la de Gartner, que la describe como aquellos «productos y servicios que definen una frontera de acceso lógico basada en la identidad y el contexto que abarca a un usuario de la empresa y una aplicación o conjunto de aplicaciones alojadas internamente». Sin embargo, se trata de una definición muy limitada.

Tomando como base el Instituto Nacional de Estándares y Tecnología (NIST) de los EE.UU., el planteamiento de Zscaler es que la confianza cero puede verse como un itinerario de siete pasos: Configurar una identidad (una persona, máquina o dispositivo), definir el marco de esa identidad (hora del día, función y responsabilidad de la identidad), confirmar el destino, evaluar el riesgo, evitar el peligro, evitar la pérdida de datos y aplicar la política de forma sistemática. Una vez que este proceso se considera una filosofía de acceso en lugar de algo más limitado, se puede aprovechar el verdadero potencial de la confianza cero, permitiendo satisfacer necesidades de la empresa que van más allá de metas concretas e inmediatas.

Plataforma antes que simple producto

A pesar de que zero trust es un concepto no regulado, digamos así, cuando se aplica correctamente la solución supone un cambio fundamental en la forma en que se ofrece acceso y seguridad. Es muy importante destacar que la confianza cero puede abordarse de manera restrictiva en cualquiera de las formas mencionadas anteriormente (para fines de red, para la seguridad o para el CIO) y proporcionar a las organizaciones una solución apropiada, pero no será la que les permita crecer. Un planteamiento de este tipo también creará como consecuencia una auténtica guerra entre los proveedores, que tratarán de vender sus soluciones, por un lado, y los equipos de los clientes, por otro, que tratarán de identificar la opción más apropiada en cada caso.

Sin embargo, los negocios que destaquen solicitarán la colaboración de un grupo de personas más numeroso, teniendo en cuenta el conjunto completo de necesidades y los objetivos de la empresa, y asegurándose de que la solución implantada satisface estos nuevos requisitos. Ganarán las que opten por las prestaciones más completas e integradas: cuanto más extensa sea la plataforma, más fácil será lograr el éxito en el futuro. Por el contrario, cuanto más restrictiva sea la solución desplegada -normalmente soluciones específicas-, más difícil será ampliar y adaptar su uso.

En definitiva, el escenario en el que se enfrentan los clientes y los fabricantes está cambiando, con particular énfasis en el campo de estos últimos. Si los proveedores de soluciones de confianza cero reconocen las muchas ventajas de pasar de un enfoque de solución puntual, que sólo puede dar soporte a casos de uso muy específicos, a otro de plataforma, ambas partes saldrán ganando. Fomentar la adopción de un modelo de plataforma en lugar de un modelo de producto también acelerará el desarrollo de productos que sirvan mejor a la idea más ambiciosa de la confianza cero.

Impulsar el desarrollo del negocio

La confianza cero ya ha propiciado cambios drásticos en el campo de la ciberseguridad y la transformación empresarial. En cuanto a quién tiene la responsabilidad de garantizar que una organización la despliegue de la forma más eficiente, una cosa es cierta: quienquiera que asuma esta responsabilidad debe estar alineado con la empresa y ser capaz de impulsar el cambio integrando la confianza cero en las redes, la seguridad, el acceso a las aplicaciones y los propios usuarios. Una solución zero trust debería ser valorada por su capacidad global para conseguir los objetivos empresariales e impulsar el crecimiento de la empresa, en lugar de por satisfacer las necesidades dispersas de equipos separados entre sí. En 2024, es probable que esta guerra de requisitos reaparezca, pero aquellos que reconocen el verdadero poder de la confianza cero resultarán vencedores.

Tania López

Deja un comentario Cancelar respuesta

This site uses Akismet to reduce spam. Learn how your comment data is processed.

TE PUEDE GUSTAR

Cyber Insurance Day 22: El evento del ciberseguro ya está aquí

Eventos

Cyber Insurance Day 22: Objetivo concienciar/informar sobre ciberseguros

Actualidad, Ciberseguros, Eventos

La necesidad de contar con un Ciberseguro

Actualidad, Ciberseguros

Resumen de la Jornada de Puertas Abiertas en CyberSecurity News

#CyberWebinar, Actualidad

Os invitamos a la Jornada de Puertas Abiertas de CyberSecurity News

Actualidad, Eventos

Códigos QR o SMS: riesgos de la vieja tecnología que la pandemia ha puesto de moda

Actualidad, Cyber Expertos

#CyberCoffee 23 con Raquel Ballesteros, Responsable de Desarrollo de Mercado en Basque Cybersecurity Centre

Entrevistas

#CyberWebinar El EPM: Antídoto contra sus infecciones del malware

#CyberWebinar

AsyncRAT surge como una nueva amenaza mientras los ciberdelincuentes explotan plataformas legítimas

Ciberseguridad, Mobile

Más de la mitad (62%) de las organizaciones sufrió al menos un robo de cuentas en 2024

Ciberseguridad, Cloud

Oleada de ciberataques a empresas en España: ¿cuáles son los principales vectores de ataque?

Actualidad, Security Breaches

RECIBE LA NEWSLETTER

ARTÍCULOS MÁS RECIENTES

AsyncRAT surge como una nueva amenaza mientras los ciberdelincuentes explotan plataformas legítimas

Ciberseguridad, Mobile

Más de la mitad (62%) de las organizaciones sufrió al menos un robo de cuentas en 2024

Ciberseguridad, Cloud

Oleada de ciberataques a empresas en España: ¿cuáles son los principales vectores de ataque?

Actualidad, Security Breaches

Las 4 claves para proteger tu empresa en la era digital

#CyberConsejos

Disminuyen los incidentes cibernéticos críticos en el sector gubernamental y de desarrollo

Actualidad, Security Breaches

ESCUCHA NUESTRO PODCAST

SÍGUENOS EN RRSS

SÍGUENOS EN FACEBOOK

SÍGUENOS EN TWITTER

SÍGUENOS EN LINKEDIN

SÍGUENOS EN INSTAGRAM

SÍGUENOS EN YOUTUBE

MÁS COMENTADOS

¿Qué hacer si eres víctima de phishing?

Email, Network Security

Un ciberataque sacude la sanidad en Baleares

Actualidad, CyberAttacks, Security Breaches

Los clientes de CaixaBank sufren un ataque de suplantación de identidad

Actualidad, CyberAttacks

Ucrania anuncia un gran ciberataque y Rusia alega no estar involucrada

Actualidad, CyberAttacks

España, entre las grandes potencias mundiales en ciberseguridad

Actualidad, Ciberseguridad