La confianza cero, el modelo de transformación digital de las empresas del futuro
Esta arquitectura de seguridad de red ofrece a las compañías un modelo para proteger mejor su información y sus procesos contra amenazas en línea. Crea oportunidades de innovación y eficiencia conforme caminan hacia la transición informática
A pasos agigantados avanza la transición digital y con ella muchos de los beneficios como el trabajo en remoto, las redes 5G o el internet de las cosas (IoT, en inglés). Sin embargo, también aumentan los riesgos de ataques cibernéticos y de robo de datos. Por eso, las organizaciones que tienen cada día una mayor cantidad de información circulando fuera de sus oficinas, de sus centrales de datos, en ordenadores y en dispositivos que no controlan están expuestas a tener una puerta abierta a estos peligros.
La respuesta a estas amenazas es sencillamente no fiarse, desconfiar de todos. Ese es el principio base con el que opera el Zero Trust Network Access (ZTNA), es decir, el principio de confianza cero, en el que cada vez más compañías basan su modelo de seguridad. Y que aplica los mismos filtros de verificación a todos los usuarios que quieran conectarse a una red, sean trabajadores, directivos o hasta clientes y proveedores.
Las redes han cambiado y los modelos de negocio también. La comunicación que se lleva a cabo en los procesos de una empresa se hace a través de nuevas tecnologías de la información (TI) que permiten realizar operaciones simultáneas desde lugares remotos. Es decir, las organizaciones de hoy están cada día más descentralizadas. Por lo tanto, para realizar sus funciones diarias, utilizan nubes de almacenamiento de datos, que en muchos casos no han sido verificadas y que están constantemente expuestas a ataques. Más todavía si las redes de esa compañía son obsoletas o han sido heredadas.
Desconfía de todo
La empresa pionera en el modelo de confianza cero, Zscaler, se dio a la tarea de analizar cómo está el panorama de la seguridad de las redes y de la implementación de este principio en el mundo. En el estudio The State of Zero Trust Transformation 2023, entrevistaron a 1.900 directivos de tecnologías de la información de empresas y organizaciones que ya han comenzado a migrar a la nube.
Los resultados arrojaron que este modelo está creciendo, aunque aún falta camino por recorrer. Por un lado, más del 90% de los responsables del área informática que están migrando sus procesos a cloud computing han instalado, están implantando o tienen previsto implantar una arquitectura de seguridad de confianza cero.
En España suponen el 89%. Además, más de la mitad (68% en el mundo, 63% en España) creen que la transformación digital de su negocio “es imposible de realizar con infraestructuras de seguridad de red heredadas” o que el modelo de confianza cero tiene más ventajas sobre los cortafuegos tradicionales o incluso sobre las VPN (Red Privada Virtual en español, herramientas que ofrecen anonimato y seguridad al usuario al ocultar su dirección IP).
Las ventajas de este modelo se explican en sus procedimientos. Raquel Hernández, directora regional de Zscaler para España y Portugal, explica los pasos básicos de cómo funciona la plataforma de conectividad segura de Zscaler: “Cuando el usuario pide acceder a una aplicación, nosotros primero verificamos quién es, desde qué dispositivo accede y desde dónde. Si todo eso es correcto, implementamos todas las políticas de seguridad que la compañía haya definido, con mucha granularidad. Y sólo entonces, se establece un túnel cifrado hacia donde está ubicada la aplicación y se produce la conexión, sin que el usuario tenga que conectarse a la red”.
El proceso de verificación para lograr una conexión entre los usuarios y las aplicaciones (públicas o privadas en la nube) es posible gracias a un stack de seguridad que ofrece la empresa y a la revisión y análisis constante de accesos. “Ejecutamos 270.000 millones de requerimientos de forma diaria. Las búsquedas en Google son un 10% de ellas. ¿Qué hacemos con esa información? Nos ayuda a detectar amenazas o posibles ataques, que con la aplicación de inteligencia artificial (IA) y machine learning podemos bloquear y y prevenir incidentes”, responde Hernández.
Un cambio de paradigma en la seguridad de las empresas
La implementación de este modelo ya es una prioridad para los directivos de TI en sus procesos de digitalización. En el mismo estudio, los encuestados afirmaron que ven esta herramienta como algo más que una arquitectura de seguridad de la red, ya que tiene el potencial de generar un aumento en la innovación, desbloquear nuevas oportunidades de negocio e incluso ahorrar costes tangibles. No obstante, un 22% de los participantes afirmó no estar completamente seguro de estar aprovechando todo el potencial que ofrece la infraestructura en la nube de su organización. Europa, Medio Oriente y África (EMEA) son las regiones que más atrás se quedan, con un 14% frente al continente americano (42%) y Asia (24%).
“En cuanto a la velocidad o madurez de la adopción de la nube, hay que tener en cuenta que el tejido tecnológico de las multinacionales americanas , y especialmente de Estados Unidos, es mayor. Esto implica que su velocidad de adopción de nuevas tecnologías es mayor”, analiza Hernández. “En Europa y en España, los clientes están viendo cuál es la mejor manera de irse a la nube y cuáles pueden ser los frenos que se lo están impidiendo”, añade.
Los directivos de TI sondeados identificaron, dentro de sus principales preocupaciones a la hora de migrar a la nube la seguridad, la privacidad de los datos y la complejidad en el acceso a esta, según el informe de Zscaler. Por lo que, aquellos que buscan implementar o ya están implementando el modelo ZTNA tratan de mejorar la detección de amenazas o ataques contra sus aplicaciones web y la seguridad de los datos confidenciales; proteger el acceso remoto de proveedores y colaboradores; asegurar la conectividad para una plantilla híbrida y reducir el coste y la complejidad de la seguridad de las redes heredadas.
Para lograr emplazar esos objetivos, es importante trabajar de cerca con otras compañías que ofrecen los servicios de tecnología a las organizaciones. “Tenemos partnerships muy fuertes, con algunos hiperescalares como AWS o Microsoft y tenemos iniciativas conjuntas para poder acelerar o romper esos frenos, para que las compañías puedan migrar a la nube. porque ya no es algo que se cuestionen hacer, lo que quieren definir es cómo hacerlo de forma segura y que le dé valor al negocio”, añade Raquel Hernández.
El salto de las Administraciones Públicas
El Gobierno de España lanzó en julio de 2020 una hoja de ruta para la digitalización de las Administraciones públicas encabezada por el Ministerio de Asuntos Económicos y Transformación Digital (MINECO), como parte del Plan de Recuperación después de la pandemia. Hace unos meses este plan se ha actualizado y llamado España Digital 2026, en el que se impulsa una estrategia para la digitalización de todo el país. A través de ocho planes específicos se han puesto en marcha programas de inversión para lograr esta modificación. Uno de los ejes son las infraestructuras y tecnologías, más específicamente, la ciberseguridad, que el Ejecutivo busca impulsar para proteger un creciente ecosistema digital empresarial en el país.
Los modelos de seguridad, como el de confianza cero, tienen un papel crucial en esta transformación. El año pasado el Ejecutivo aprobó un Real Decreto donde incluía las disposiciones que cualquier entidad que opere dentro del Esquema Nacional de Seguridad (ENS) tiene que seguir para operar dentro del sector público. Es decir, los requisitos clave para que un tercero pueda formar parte del Catálogo de productos y servicios cualificados de seguridad TIC (CPSTIC).
“Como parte de nuestra estrategia de crecimiento en el sector público, desde Zscaler hemos colaborado con el Centro Criptológico Nacional (CCN) para la inclusión de nuestro servicio en el catálogo, siendo actualmente el único proxy en la nube dentro de dicho catálogo”, apunta la directiva. Además, señala que España (y en general el continente europeo) se ha puesto como prioridad la transformación digital segura dentro de las Administraciones públicas.
Un servicio crítico que es resiliente
En todo el mundo suceden cada segundo miles de operaciones simultáneas, transacciones y servicios que, si parasen en seco debido a un ataque en ciberseguridad, sería catastrófico para cientos de miles de personas y organizaciones. Un evento así se conoce como “cisne negro”, y las posibilidades de que pueda darse son más frecuentes de lo que se piensa.
Una compañía puede estar más expuesta a un ataque, un apagón o una bajada de tensión, conforme sus empleados accedan más desde dispositivos móviles que están fuera de su central de datos. Un sistema de seguridad que permita alternativas y soluciones inmediatas para resolver el problema sin que se vean interrumpidos sus procesos es parte de lo que se conoce como un servicio crítico.
Este mes, Zscaler anunció el lanzamiento de Zscaler Resilience, un servicio crítico que, como su nombre lo indica en español, permite la resiliencia de las funciones de seguridad y conectividad prestadas en la nube. Si se comprobara un evento tipo “cisne negro” el acceso a las aplicaciones privadas no se vería interrumpido, ya que se ofrece a los equipos de TI de las empresas la flexibilidad de poder puentear la nube y conectarse a otros servidores que contengan los datos del cliente y que mantienen las mismas políticas de seguridad. Igualmente, permite analizar constantemente la latencia de conexión para revisar si ha habido una caída en la tensión que puede afectar al rendimiento de los usuarios o excluir centrales de datos que experimenten problemas de conectividad.
La infraestructura de Zscaler es la que permite ofrecer estas posibilidades: “Somos la mayor nube privada del mundo distribuida en 155 centrales de datos”, resalta Hernández. “Proporcionamos ese modelo de conectividad directa segura, que ya no radica en el perímetro tradicional de la central de datos, por eso se considera que somos un habilitador, como ‘una nube mágica’. Aplicamos todo el stock de seguridad y desde ahí podemos proporcionar la conectividad tanto a internet como a aplicaciones públicas y privadas.”, añade.
En un futuro no muy lejano, la competitividad de las empresas dependerá no solo de las tecnologías de la información que utilicen, o de los sistemas de seguridad que las protejan, sino de que tengan espacios laborales más atractivos en un ecosistema digital que se está renovando constantemente. Raquel Hernández comenta que el modelo empresarial del futuro es híbrido y cada vez más profesionales buscarán esa flexibilidad.
“La pandemia no creó nada nuevo, solo aceleró procesos que ya estaban en marcha, como el teletrabajo. Las compañías trabajaban ya de una forma más distribuida y eso es algo que atrae al talento. Que tu empleado pueda trabajar de la mejor manera desde donde esté, sea una oficina, sea un hotel o sea su casa, te da mejores resultados. Es el círculo virtuoso de las organizaciones: mejor conciliación laboral, mejores resultados empresariales”, concluye Hernández.