El panorama de TI ha cambiado drásticamente en los últimos 18 meses, proporcionando a la administración y a los usuarios finales una idea de por qué los límites de datos sólidos y centrados en la identidad son esenciales para el entorno empresarial moderno. Con este creciente apoyo y adopción de tecnologías de software como servicio (SaaS), implementar la seguridad de confianza cero es más fácil en estos días, por lo que ahora es un buen momento para pensar en estas estrategias.
Si bien las opiniones sobre qué es y qué no es Zero Trust, este modelo de seguridad generalmente considera la identidad del usuario como la base para la toma de decisiones a la hora de permitir el acceso a un recurso de información. Esto contrasta con los enfoques anteriores que tomaban decisiones basadas en la red desde la que se conectaba la persona. Por ejemplo, a menudo asumimos que los empleados de la oficina se conectarían directamente a la red de la organización y, por lo tanto, podrían estar seguros de que estaban accediendo a los datos de la empresa.
Hoy, sin embargo, las organizaciones ya no pueden otorgar privilegios especiales basándose en el supuesto de que la solicitud proviene de una red confiable. Con la gran cantidad de empleados remotos y geográficamente dispersos, existe una buena posibilidad de que las conexiones provengan de una red que la empresa no controla. Esta tendencia continuará. Los responsables de la toma de decisiones de TI y seguridad esperan que los usuarios finales remotos constituyan el 40% de su fuerza laboral una vez que se contenga el brote de COVID-19, un aumento del 74% con respecto a los niveles previos a la pandemia, según «El nivel actual de visibilidad de los activos de TI» . Preparación nula y pospandémica,«con la investigación del Enterprise Strategy Group para Axonius.
Aunque la idea de implementar un enfoque de confianza cero puede parecer imposible a primera vista, hay formas de llegar a la arquitectura que desea paso a paso sin intentar revisar por completo todos los componentes de seguridad a la vez. Al diseñar un viaje de confianza cero, los oficiales de seguridad pueden comenzar aumentando la función del inicio de sesión único (SSO) en su entorno y cómo se pueden proteger y validar los puntos finales de los usuarios antes de que se otorgue el acceso.
Gestione identidades dinámicas con un enfoque de confianza cero
En el mundo de la confianza cero, las políticas de acceso a menudo comienzan con la pregunta: ¿quién es esta persona? ¿Se les debería permitir acceder a la aplicación? ¿Qué privilegios deberían tener? Estas preguntas están vinculadas a la identidad y el rol de la persona en la organización, por lo que su acceso se adapta a lo que necesitan para hacer su trabajo. Por ejemplo, un vendedor necesita acceder a sus cuentas en el sistema de gestión de relaciones con el cliente y otra información relevante para la función de ventas. Los privilegios otorgados a un ingeniero de software serían muy diferentes.
Una forma práctica de configurar tales medidas de seguridad orientadas a la identidad es utilizar funciones de SSO. En este contexto, SSO describe la posibilidad de mantener las identidades de los empleados de la empresa en un solo servicio y delegar el acceso y las decisiones relacionadas con los privilegios a este servicio.
La mayoría de los proveedores de SaaS admiten hoy la integración SSO, por lo que las organizaciones pueden centralizar la administración de identidades en lugar de crear otro repositorio de información de identidad. Al elegir productos SaaS, asegúrese de que sean compatibles con SSO de una manera que funcione con su sistema de gestión de identidad. Algunos proveedores de SaaS cobran tarifas por la integración de SSO o requieren una costosa actualización de paquete para habilitar la funcionalidad.
Para que el sistema de gestión de identidades sea útil, debe seguir el ritmo de la dinámica de las empresas. Las personas van y vienen, y las necesidades de acceso de los empleados cambian a medida que cambian de roles. Por ejemplo, un vendedor promocionado puede necesitar acceso a información sobre un grupo más amplio de clientes.
Una forma de afrontar este desafío es conectar su sistema de gestión de identidades a una fuente autorizada de información sobre las funciones y responsabilidades de los empleados: el sistema de recursos humanos. Cuando los dos sistemas están conectados, los cambios de personal en los sistemas de recursos humanos pueden transmitirse automáticamente al proveedor de SSO, quien los aplica en las aplicaciones SaaS integradas para las decisiones de autenticación y autorización.
Validar el punto final para fortalecer la arquitectura de confianza cero
Otro elemento importante de una arquitectura de confianza cero es decidir si conceder acceso basándose en parte en el estado del punto final de la persona que se conecta. Además de la cuestión de la identidad, los equipos de seguridad también deben considerar el estado del dispositivo. ¿Su estado de seguridad es apropiado para el tipo de datos a los que accede la persona o el tipo de acción que está tomando? Una forma de lograrlo es integrar el proveedor de SSO con el agente de seguridad o de TI del punto final. Cuando un usuario intenta iniciar sesión en una aplicación, el proveedor autentica al usuario y verifica qué permisos se le otorgan. A continuación, se le pregunta al agente de punto final si el dispositivo se encuentra en un estado aceptable antes de que se le conceda el acceso.
Las empresas se están moviendo hacia la confianza cero en diferentes plazos. Es posible que una empresa más joven ya tenga una arquitectura moderna que facilite la implementación de prácticas de seguridad y TI sin confianza. Las organizaciones establecidas requieren una planificación más cuidadosa a medida que pasan de confiar en la red a factores más granulares como la identidad del usuario y el estado de los terminales. Independientemente, con las condiciones comerciales actuales y la proliferación de tecnologías SaaS, ahora es el momento de dar el paso hacia Zero Trust.
