Por: Avesta Hojjati, Director de Investigación y Desarrollo en DigiCert
Proteger las redes es más difícil que nunca y no va a ser más fácil. Con la pandemia aumentando la transformación digital y también el crecimiento en la cantidad de ataques virtuales que buscan invadir los sistemas de las empresas y filtrar sus datos, el 83% de los líderes de organizaciones empresariales en Brasil pretenden aumentar su gasto en ciberseguridad en 2022, según una encuesta realizada. por PwC.
Los resultados son de la encuesta PwC Digital Trust Insights 2022, que muestra que el número de empresas que pretenden aumentar sus inversiones en seguridad virtual en Brasil, 83%, es mayor que en el mundo, donde el 69% de los jefes de empresa respondieron que tenían esta intención. En la edición 2020 de la encuesta, estos números fueron 55% para Brasil y 57% para empresas globales. En concreto, alrededor del 44% de las empresas de América Latina aumentaron sus inversiones en ciberseguridad en 2021 y casi el 40% está destinando más recursos a los servicios en la nube, según una encuesta de seguridad publicada por IDC. Según la empresa encuestadora, los modelos de teletrabajo y aprendizaje remoto implicarán una mayor adopción de soluciones de acceso seguro definidas por software. IDC señala que el 37% de las empresas latinoamericanas que consumen servicios de seguridad planean invertir específicamente en inteligencia de amenazas en los próximos años. El concepto se refiere al mapeo de riesgos y la información en la que se basa una organización para evaluar las amenazas que apuntan o podrían apuntar a sus activos.
Las empresas deben administrar cientos de miles de dispositivos, usuarios, sistemas y aplicaciones. Eso significa que las organizaciones tienen cientos de miles de vulnerabilidades potenciales y, sin embargo, una sola contraseña comprometida puede derribar toda la red.
Por lo tanto, el mantra Zero-Trust de “nunca confíes, siempre verifica” se está volviendo más atractivo para proteger las redes de los adversarios. Una red Zero-Trust requiere la verificación de cada solicitud de acceso de forma predeterminada. En una red de “nunca confiar,” las identidades digitales sólidas que se pueden verificar son clave para construir una infraestructura de confianza cero.
El enfoque de confianza cero
Como se mencionó, Zero-Trust es un enfoque de seguridad en el que se necesita una validación constante para acceder a una red. En otras palabras, se confía automáticamente en cero usuarios, dispositivos, sistemas o servicios; todo lo que se conecta a la red debe verificarse. Adicionalmente, cada vez que un usuario o dispositivo se conecta a la red debe ser validado nuevamente. En un enfoque de confianza cero, en lugar de verificar la identidad digital en función de las direcciones IP, las identidades digitales deben verificarse periódicamente en función de métodos de autenticación adaptables, como PKI, autenticación multifactor (MFA) e inicio de sesión único (SSO).
El principal beneficio de Zero Trust es mitigar el riesgo de seguridad, pero otros beneficios incluyen la reducción de la complejidad en la pila de seguridad y la reducción del tiempo que lleva detectar una infracción. El concepto de Zero Trust fue ideado por primera vez en 1994 por Stephen Paul Marsh, pero John Kindervag no creó un modelo de arquitectura Zero-Trust hasta 2010. Ahora, una década después, las organizaciones lo están adoptando debido a tendencias como el trabajo remoto y una mayor dependencia de la nube.
¿Qué está moviendo la tendencia Zero-Trust?
La transición a Zero Trust está impulsada por el trabajo remoto, la adopción de la nube y un aumento en la implementación de dispositivos. El trabajo remoto está aumentando la cantidad de dispositivos que se conectan a la red y la cantidad de usuarios que se conectan de forma remota. Además, las soluciones en la nube necesitan Zero Trust porque las infraestructuras de red ya no están únicamente en las instalaciones, sino que están completamente en la nube o, más a menudo, en un enfoque híbrido, que requiere una postura más segura. Zero Trust puede ayudar a proteger un entorno híbrido proporcionando medidas de autenticación adicionales. Sin embargo, el cambio a Zero Trust no sucederá de la noche a la mañana. Es un proceso que las organizaciones están comenzando a adoptar lentamente.
Según una encuesta, alrededor de un tercio de las organizaciones ya han adoptado una estrategia de confianza cero y el 60 % planea adoptarla el próximo año. Pero contar con las soluciones de seguridad adecuadas para respaldar una estrategia Zero-Trust es fundamental. Aquí es donde la PKI juega un papel fundamental.
Cómo PKI y Zero Trust van de la mano
La implementación de una arquitectura Zero-Trust depende de una forma segura de verificar la identidad. PKI es una forma comprobada de proporcionar identidad digital para una variedad de casos de uso. Puede proporcionar soluciones de inicio de sesión y formar la base de la identidad dentro de Zero Trust.
Aunque es posible que PKI no cubra todos los aspectos de un entorno de confianza cero, proporciona una base sólida para la autenticación y la confianza que se requieren. De hecho, el 96 % de los ejecutivos de seguridad de TI creen que PKI es esencial para construir una arquitectura Zero-Trust. Esto se debe a que PKI proporciona la autenticación, el cifrado y la integridad necesarios para un modelo Zero-Trust. PKI ofrece:
Autenticación de la identidad de cada usuario y/o dispositivo en la red.
Cifrado de todas las comunicaciones en toda la organización.
Integridad de datos y sistemas al mantener la integridad de los datos que llegan y provienen de usuarios/dispositivos, herramientas de automatización para emitir, revocar y reemplazar certificados de manera confiable, escalable y ágil.
Se requiere automatización y visibilidad
La PKI automatizada es una solución flexible que puede respaldar iniciativas Zero-Trust. Con un número cada vez mayor de certificados, la automatización facilita la gestión de una infraestructura PKI. Además, las aplicaciones deben actualizarse constantemente, los empleados deben incorporarse y darse de baja o los accesos deben moverse. La gestión manual requiere una gran carga de trabajo que aumenta la posibilidad de errores humanos y vulnerabilidades potenciales.
Además, la mayoría de las soluciones de automatización también vienen con una mayor visibilidad sobre el inventario de certificados. Esto es clave para una arquitectura Zero-Trust porque cuando siempre se requiere verificación, conocer cada certificado digital en la red no solo es bueno saberlo, es fundamental. Cualquier certificado desconocido o no descubierto podría dejar vulnerable a toda la red.