Zero Trust: un modelo de seguridad ganador en el contexto de la pandemia

Conoce el modelo que está avanzando en el área de ciberseguridad para empresas.

Ya se ha cumplido un año desde que la pandemia del COVID-19 irrumpió en el mundo, y con el virus llegó también la necesidad de cambios radicales para las empresas.

Uno de los rubros que ha requerido especial atención es el de ciberseguridad, pues los ataques y hackeos para las corporaciones aumentaron significativamente en esta temporada. Relacionado a este tema, hay un concepto que a pesar de que no es nuevo (ya que fue lanzado en 2010), apenas empieza a sonar: el Zero Trust. ¿Sabes de qué se trata? Aquí te lo contamos. 

Un modelo avalado por Microsoft y Google

Traducido literalmente como “confianza cero”, el sistema Zero Trust ha ganado popularidad en el mundo empresarial por ser recomendado por gigantes de la tecnología como Microsoft y Google. Este modelo parte de la premisa de que ninguna organización debe confiar en una entidad, ya sea externa o interna, para que ingrese a su perímetro. 

En un esquema de seguridad tradicional, es un reto acceder a la información de una empresa estando fuera de ella; sin embargo, una vez que se logra entrar, se obtienen todos los recursos de la misma. Esta es la gran diferencia con el Zero Trust: es un sistema que asume que los atacantes pueden estar tanto fuera como dentro de la red. 

¿Por qué ahora?

Antes de la pandemia, la mayoría de las oficinas contaban con infraestructuras VPN, pequeñas y con ancho de banda insuficiente. El famoso home office ha provocado que los empleados accedan a las aplicaciones, datos y documentos de las corporaciones fuera del perímetro establecido. Por esta razón los riesgos han aumentado, ya que la zona de confianza carece de límites, y cualquiera con credenciales de usuario correctas es capaz de entrar en una red empresarial.

El modelo de Zero Trust , basado en La Nube, resulta más útil. Consiste en que los dispositivos inteligentes, como computadores o smartphones no sean considerados confiables, aún si están vinculados a la empresa. Por lo tanto, el proceso para verificar la identidad de los usuarios debe ser bastante estricto. 

¿Es difícil implementar Zero Trust?

La arquitectura del sistema se compone de varias barreras. Cuando un ciberdelincuente rompe la primera, no tendrá acceso a toda la información de la organización; irá profundizando más y rompiendo más barreras, mientras es monitoreado. De esta forma se sabrá hasta dónde y cómo ha llegado. Zero Trust se encargará de comprobar continuamente que la persona es quien dice ser.

Para implementar este modelo, se deben tomar en cuenta tres puntos clave:

  • Visibilidad: identificar todos los dispositivos que deben ser protegidos y monitorearlos. Se debe tener conocimiento de todos los recursos que pertenecen a la empresa.
  • Políticas: establecer controles que permitan que personas específicas tengan acceso en condiciones específicas. En pocas palabras, introducir controles minuciosos.
  • Automatización: permitirá la rápida aplicación de barreras frente a ataques.

Se dice que el 2021 será el año en el que este modelo alcanzará un éxito arrollador, pues muchas organizaciones ya han recurrido a ella o están pensando en implementarla. ¿Crees que la empresa Forrester Research, responsable del modelo, imaginó que esto pasaría más de una década después de su invención? ¡Déjanos tus comentarios!

También te puede interesar:

Ciberseguridad para empresas: tecnología para proteger tu negocio

 

Ciberseguridad para empresas: tecnología para proteger tu negocio

Conoce herramientas y dispositivos que brindan ciberseguridad para empresas.

Los robos y fraudes, tanto a negocios como a personas, han aumentado desde que el COVID-19 irrumpió en el mundo. Es esencial contar con ciberseguridad para las empresas, o sea, con un sistema que asegure su información en tiempos tan críticos, en los que lo último que se necesita es lidiar con problemas de este tipo.

Para saber sobre las soluciones que se pueden encontrar relacionadas con ciberseguridad, conversamos con Jesús Álvarez, CISO de Alestra, quien nos planteó algunas medidas que se pueden tomar al respecto.

ciberseguridad para empresas

Hola Jesús, nos podrías decir primero, ¿por qué es importante proteger a una empresa con ciberseguridad?

La economía mundial de prácticamente todas las industrias se está revolucionando con la transformación digital, que no es otra cosa que la adopción mucho más acelerada de tecnologías. Estas tecnologías ayudan a las empresas a reducir costos, maximizar la productividad, ampliar su portafolio e incrementar la satisfacción de sus clientes.

Al estar basado en tecnologías y manejo de información, en este nuevo ecosistema es donde encaja la ciberseguridad, buscando entender lo más valioso para cada negocio y con ello poder colocarse en el centro de su conversación. La transformación digital elimina el status quo que por años perduró en esas industrias, y es el momento adecuado (y más barato) para hacer las cosas con la premisa de ciberseguridad por diseño. Esto significa, implementar a la cadena de valor e incorporar fundamentos de ciberseguridad y privacidad a la forma de operar de la industria, que de ser debidamente concebidos se pueden colocar como grandes valores agregados y diferenciadores versus sus competidores.

¿Las startups y scaleups tecnológicas deben protegerse contra los ciberataques? ¿Por qué?

Hay 4 razones principales:

 

  • Son una empresa como cualquier otra y basan su negocio en la tecnología.
  • Es más barato en mediano y largo plazo, además de que son mejor evaluadas por haber concebido la ciberseguridad sobre diseño desde su fundación.
  • Al ser empresas innovadoras, tienen un diferenciador que típicamente es propiedad intelectual, desarrollo, tecnología, integración de varias tecnologías, etc; Si no protegen de forma correcta todo lo que las hace únicas, es fácil que otros puedan replicar lo que ya hicieron, y por tanto perder una oportunidad enorme de crecimiento.
  • Sus productos pretenden alimentarse de datos valiosos, y con ello va asociado una responsabilidad legal y de seguridad muy grande con su cliente final

 

¿Hay algún sector empresarial que requiera especial atención e inversión en  herramientas de ciberseguridad?

Desde siempre el atacante va a buscar la forma más sencilla y rápida de obtener lo que busca, y es un negocio para ellos. Cada vez son menos quienes lo hacen por diversión, por eso el sector financiero siempre será el más amenazado, tomando fuerza últimamente FinTech. El sector financiero es donde más se invierte, tiene más regulaciones y es el más maduro en su protección, pero no dejan de ser relevantes todos los otros sectores que se están transformando y tienen datos valiosos, como el sector salud o el de agricultura.

Realmente todos los sectores deben tomar la ciberseguridad como prioridad, y cada uno lo debe adaptar acorde a su entorno. 

¿Por dónde empezar? ¿Cuáles serían los pasos que una startup y scaleup debería tomar para empezar a protegerse en materia de ciberseguridad?

 

  • Definir un responsable de ciberseguridad del más alto rango posible y acordar una postura de seguridad alineada a sus objetivos.
  • Definir un programa de trabajo y objetivos que se desean alcanzar en 3 años, siempre considerando metas medibles cada 3 meses.
  • Tener clara la administración de riesgos y remediación de los principales temas, iniciando por los “baselines” de seguridad para sus activos principales.
  • Realizar validaciones de ciberseguridad interna y externa, (Vulnerabilidades, Desarrollo Seguro, Auditorías, Cacerías, Simulacros, Pruebas de Penetración, etc)
  • Concientizar y capacitar al personal.

 

¿Cuánto presupuesto deben asignar a este rubro?

No existen reglas de dedo, los datos que se mencionan son sólo referencias, cada empresa deberá hacer su respectivo caso de negocio.

De acuerdo con algunas fuentes, un rango que se considera sano ronda del 6% al 12% del gasto que se tenga en TI. Debajo de esos montos es claro que o no están bien identificados los gastos relacionados con ciberSeguridad o hay una muy baja relevancia al tema.

¿Algún otro consejo para startups y scaleups que quieras agregar?

No subestimen la ciberseguridad, la pueden ver como algo que les “atora” o detiene su innovación, pero con enfoque adecuado los puede ayudar a llevar a otro nivel su práctica. Ustedes están acostumbrados a afrontar obstáculos. Vean la ciberseguridad y privacidad como un atributo que los define y que forma parte de su propuesta de valor, así le llevarán ventaja a aquellas empresas que no ven esto como un aspecto importante.

Muchas empresas no invierten en ciberseguridad hasta sufrir de algún fraude. Por esta razón, es mejor prevenir y aplicar los prácticas antes mencionadas, algo que tus clientes seguramente apreciarán.

Para saber más sobre las scaleups de NAVE y Alestra que ofrecen estas herramientas, sigue nuestras redes sociales.

También te puede interesar:

¿Cómo mejorar la productividad de tu empresa?

Close Bitnami banner
Bitnami