Los costes elevados son el principal reto para adoptar zero-trust
Hoy en día las empresas se han visto en la necesidad de replantear la seguridad de sus redes corporativas y, para ello, han decido implantar los principios de la confianza cero (Zero- Trust). Sin embargo, teniendo en cuenta que este enfoque es tanto un principio de seguridad como una visión organizativa, se requiere un cambio cultural y una comunicación clara dentro de las empresas para entender sus beneficios.
La implementación de un marco de confianza cero se debe iniciar con el claro objetivo de conseguir una mayor visibilidad, control y seguridad sobre el perímetro de la red, las identidades y cada endpoint.
Este conjunto de normas y directrices sobre como asegurar una red corporativa parte del concepto “confiar, pero verificar”. Y, si lo ampliamos un poco más, “verificar, volver a verificar y seguir haciéndolo hasta dar con la confianza cero”. La confianza cero tiene muchas ventajas potenciales para mejorar la postura de seguridad de una organización, así como para reducir el riesgo y el coste por ciberataques . Sin embargo, tiene tres retos importantes para su adopción, de acuerdo con un estudio realizado por Gartner Peer Insights: la preocupación por los costes (56%), la falta de conocimientos (51%) y de tecnología (51%).
El viaje de las empresas hacia el Zero-Trust
En el estudio sobre la adopción de la estrategia de seguridad Zero-Trust en las empresas, queda demostrado que la mayoría de los responsables de la toma de decisiones se encuentran implantando actualmente una estrategia de seguridad de confianza cero (59%), con un 41% restante que todavía no lo ha llevado a cabo. Sin embargo, de aquellos que aún no han adoptado este enfoque de seguridad, el 79% tiene planes de hacerlo en el futuro.
Para la mayoría de los responsables encuestados la confianza cero ha pasado de ser un concepto a ser un requisito con el 95% de acuerdo en que la confianza cero reduce los incidentes de seguridad en las empresas, protegiendo su entorno corporativo principalmente contra la filtración accidental de datos (68%), las amenazas provocadas por insiders maliciosos (68%) y terceros que trabajan en la red (64%).
Un punto interesante que ha expuesto el estudio es que la mayoría de las empresas ya cuenta con los componentes esenciales para una estrategia de confianza cero, con elementos como registros de actividad (69%), herramientas de gestión de identidad y acceso (IAM) (68%), segmentación de la red (67%) y gestión de eventos e información de seguridad (SIEM) (62%) implementados. Aun así, la adopción de esta postura de seguridad es retadora en términos de experiencia y costes. En primer lugar, la confianza cero depende en gran medida de la capacidad de una organización para identificar y clasificar con precisión los datos que posee en cada documento, endpoint o sistema, así como de la posibilidad de identificar y clasificar con exactitud a cada usuario o sistema que pueda necesitar el acceso a esos datos. Y, en general, son muchas las empresas que apenas logran identificar con precisión el número de sistemas que tienen y cómo pueden estar expuestos.
Los recursos necesarios para emprender un proyecto de este tipo y poder ejecutarlo con eficacia serán grandes para cualquier compañía. Un gasto que supera a aquellas empresas que aún luchan por disponer de los recursos necesarios para realizar las tareas básicas de ciberseguridad, como parchear los sistemas a tiempo, realizar actividades básicas de seguridad y contar con una función establecida de detección y respuesta. Para establecer una postura como el Zero-Trust los costes incluyen, además de la compra e implementación de soluciones que cubran toda la superficie de ataque, el tiempo que la organización dedica a planificar un proyecto tan complejo, el tiempo de cada equipo de la organización para ayudar a clasificar sus datos y lo que tarden los usuarios en adaptar sus formas de trabajo para que sean compatibles con un sistema de confianza cero.
MSP: el salvavidas que ayuda a las empresas a alcanzar el marco de seguridad Zero-Trust
En la actualidad, las empresas necesitan este enfoque para impulsar estrategias de seguridad acordes a sus requerimientos, a través de la ejecución medidas pragmáticas de prevención, detección y respuesta habilitando múltiples capas de defensa que deben integrar un marco fuerte de identidad, seguridad de red y endpoint. Esta situación se presenta como una nueva oportunidad para el negocio de los MSP, que pueden ser los socorristas que las compañías necesitan para implementar la confianza cero y no morir en el intento. Al tener las soluciones necesarias para implementar las diferentes capas de seguridad que las compañías requieren para enfrentarse a las amenazas actuales, sumado al nivel de experiencia y habilidades para desplegar correctamente esta estrategia, pueden conseguir un mayor coste beneficio para sus clientes. Con esto se derriban las principales barreras de adopción de la confianza cero. Por otra parte, los MSP que ofrecen la implementación de este enfoque se posicionan indudablemente como un socio valioso y, además, obtienen ventajas adicionales como nuevas oportunidades de monetización, supervisión y gestión simplificadas de dispositivos y usuarios en cuentas gestionadas.
No cabe duda de que este es el enfoque de ciberseguridad que prepara a las empresas para el futuro, por ello, WatchGuard pone a disposición de sus partners toda la información necesaria para comprender y posteriormente desplegar una estrategia zero-trust exitosa.