Información esencial acerca de la confianza cero
La ciberseguridad como ámbito solía adoptar una estrategia en la cual los datos eran considerados un castillo que se protegía mediante un foso, un fiero dragón algorítmico y tal vez una armadura reluciente. Los datos estaban todos allí, tal cual, como un botín de monedas de oro tras los muros de piedra. Pero ¿qué sucedía cuando un intruso conseguía atravesar las defensas? Se encontraba con que tenía todo a su libre disposición.
Ahora viajemos imaginariamente unas cuantas décadas al futuro: los profesionales de la ciberseguridad han diseñado nuevas estrategias que diversifican el acceso, construyendo nuevos muros interiores, innumerables túneles y puntos de control que exigen que los usuarios acrediten su identidad, lo que determina el nivel de acceso que obtienen.
Esto se conoce como "confianza cero".
Aunque a primera vista pueda parecer ilógica, esta nueva estrategia de ciberseguridad (y la palabra de moda en estos momentos) es en realidad bastante sensata. En lugar de franquear el paso a través del brillante portón con un único punto de control, una estrategia de confianza cero exige que no confiemos en nadie que quiera acceder a las instalaciones, reptar por los túneles o saltarse los muros, salvo que acrediten continuamente su identidad para cada uno de los niveles de acceso.
Se trata de una estrategia que Salesforce utiliza activamente para mantener la confianza como nuestro valor principal. Pero ¿qué implicaciones tiene esta estrategia para los clientes de Salesforce? Hablé con Saša Zdjelar, vicepresidente ejecutivo de Garantías de seguridad en Salesforce, para conocer el modo en que la confianza cero le influye tanto a usted como a sus clientes y a Salesforce.
Bailey: Echemos la vista atrás, Saša. ¿Cómo surge la "confianza cero"?
Saša Zdjelar: Sí, empecemos por ahí. Para comprender el futuro, es útil conocer el pasado. Si continuamos la analogía del foso, el campo de la ciberseguridad abordaba los datos mediante una mentalidad de vulneración del perímetro. Una vez dentro, el intruso tenía acceso ilimitado. Esta estrategia funcionaba porque en aquellos tiempos trabajábamos con ubicaciones físicas, servidores locales y redes individuales. Tenía sentido centrarse en configurar y proteger un simple perímetro.
Pero, a medida que surgían empresas como Salesforce y otros proveedores de SaaS (software como servicio), todos empezamos a mover datos entre proveedores; así, evolucionamos hacia un mundo más remoto y móvil, y el perímetro, que una vez fue único, se volvió increíblemente difuso. Al adoptar productos como G-Suite, Salesforce CRM y demás soluciones para empresas, el perímetro había desaparecido sin que nos diéramos cuenta. Ya no hay un único castillo que albergue todos los datos. En su lugar, tenemos montones de pequeños poblados dispersos, y estos ya no están dentro de su castillo, protegidos tras enormes muros.
A medida que se desarrollaban estas tecnologías globales, hacían lo propio las amenazas de ciberseguridad más sofisticadas, que daban lugar a vulneraciones de Estado nación avanzadas, malware y eventos de ransomware. Lo que aprendimos con los años fue cómo estos factores a menudo aprovechaban las debilidades inherentes a nuestro diseño de castillo con foso. Aquí es donde la confianza cero entra en escena; nos dimos cuenta de que las vulnerabilidades no deberían ponernos en riesgo y conceder acceso universal, así que lo dividimos todo en túneles específicos para acreditar la identidad, permisos para dispositivos, autenticación multifactor, etc. La confianza cero nos pide que no confiemos en nadie mientras no hayan demostrado que son de fiar, y en consecuencia, nos ayuda a todos a estar más seguros.
Bailey: Totalmente, la analogía es muy práctica. ¿Podemos analizar en detalle cómo funciona la confianza cero en una organización como Salesforce? A primera vista, parece contradecir nuestro valor primordial, la confianza, ¿no?
Saša: Son preguntas importantes, y el término "confianza cero" puede dar lugar a confusión, ya que no dice mucho. Cuando eres una organización como Salesforce, cuyo valor principal es la confianza, decirles a tus clientes que tienes confianza cero puede parecer problemático.
El significado real del término es que la confianza no se da por sentada en las conexiones; el mero hecho de conectarse no es motivo para tener la confianza de forma predeterminada, sino que es necesario ganársela en cada recurso al que se acceda. Y para ello, hay que autenticar la identidad, comprobar la posición de seguridad del dispositivo, etc. Una vez que decidimos que podemos confiar en usted y que revalidamos esa confianza para cualquier solicitud que nos haga, decidiremos a qué tiene acceso. Podemos negociar el acceso a un túnel concreto que conduce a determinada información dentro de una aplicación particular, y puede ser tan específico como un único puerto o servicio.
Bailey: O sea que, en realidad, nos ayuda a mantenernos fieles a nuestro valor primordial.
Saša: Así es. En el lado corporativo de Salesforce, la confianza cero nos ayuda a protegernos mejor contra las amenazas persistentes avanzadas, los agentes de estados nación u otros ataques, para que seamos mucho más resilientes. Y como producto para los clientes, debería reconfortarnos la idea de que los datos están mejor protegidos. Los beneficios que aporta la confianza cero a su organización son los mismos que ofrece a nuestros clientes.
Aparte de eso, buscamos estrategias para adoptar conceptos como la confianza cero al modo en que nuestros clientes acceden a sus propios datos. Si los empleados de su organización acceden a sus datos, ¿cómo puede la confianza cero garantizar que solo los empleados verificados de la organización, con autorización y los dispositivos y ubicaciones correctas, tienen acceso a esos datos?
Una vez que sabemos qué parece "correcto" para su organización, en términos de la identificación, los dispositivos y las ubicaciones que espera ver, podemos ayudarle a configurar lo que llamamos "puerta principal", que determina si podemos permitirle acceder a sus propios datos. Esto le puede ayudar con empleados no autorizados, riesgos y compromisos con su propio entorno, y evitar el acceso a cualquier dato almacenado en Salesforce.
Bailey: Tiene todo el sentido del mundo. Es de gran ayuda saber que los profesionales de la ciberseguridad y las organizaciones como Salesforce están dando pasos hacia la confianza cero y por qué. Sé que este término se ha puesto de moda últimamente, pero existe desde hace una década aproximadamente. ¿Puede contarnos más acerca de la necesidad cada vez más apremiante de evolucionar hacia la confianza cero?
Saša: Si echamos un vistazo a la evolución de cualquier tecnología, suele haber momentos que aceleran el avance e impulsan los cambios. En el caso de la confianza cero, aunque John Kindervag acuñara el término en el 2010, la covid-19 fue el momento crucial que nos ha llevado a avanzar en este sentido. Antes de la covid-19, el sector de la seguridad de red, junto con un pequeño porcentaje de las empresas punteras nativas de la nube, contemplaban prácticas de confianza cero.
Con la llegada de la covid-19, plantillas enteras de todos los sectores se pasaron al teletrabajo. De lo que muchas personas no se dan cuenta es que al operar en el modo VPN de una empresa, toda la red de esa organización se ha extendido a esos lugares. No es ninguna sorpresa que eso conlleva riesgos. Imagine tener cientos de miles de empleados en todo el mundo expandiendo las redes de la empresa a cada una de sus ubicaciones o cibercafés. Con ello, las organizaciones se exponen a muchísimas vulnerabilidades.
Con la confianza cero, una vez superadas todas las comprobaciones para certificar que es un usuario autorizado de la aplicación o servicio, la tecnología negocia un microtúnel muy específico para ese activo concreto, en lugar de entregarle las llaves de todo el castillo. De este modo, los datos están mucho mejor protegidos.
Bailey: Es bueno saberlo, sobre todo porque nuestra forma de trabajar e interactuar en línea ha cambiado en muchos aspectos desde la covid-19. Siento curiosidad por saber dónde podríamos ver la confianza cero en el día a día. ¿De qué formas encontramos estrategias o prácticas de confianza cero más a menudo?
Saša: Ya vemos numerosas prácticas de confianza cero en aspectos cotidianos de los consumidores. Por ejemplo, al iniciar sesión en la aplicación o el sitio web de su entidad bancaria, primero tendrá que iniciar sesión y luego introducir un código recibido por correo electrónico o SMS para completar el inicio de sesión. Cuando no se reconoce un dispositivo, la estrategia de seguridad del dispositivo admitida para un consumidor le solicitará una confirmación adicional de que se trata de su dispositivo, respondiendo a preguntas adicionales acerca de si desea que se considere el dispositivo como "dispositivo de confianza". Salesforce exige la autenticación multifactor (MFA) a todos los empleados y clientes con el fin de aumentar la protección contra los ataques de phishing, el rellenado de credenciales y el control de cuentas a través de factores adicionales de comprobaciones de seguridad. Incluso en el caso de que alguien descubra su nombre de usuario y contraseña, las capas adicionales de comprobación de seguridad seguirán impidiendo el acceso a sus datos críticos. Se trata de una práctica importante de confianza cero para nosotros, y muchas otras organizaciones también la están adoptando.
Escuelas, hospitales, bancos, entidades gubernamentales e incluso minoristas están empezando a implementar sus propias prácticas de confianza cero para garantizar la seguridad de consumidores y ciudadanos. Una buena recomendación por parte de las autoridades para la ciudadanía en general sería: si no recuerda su contraseña y se la envían en un correo electrónico, significa que saben su contraseña y que la pueden ver directamente. Es una práctica inaceptable. Las contraseñas deberían almacenarse siempre encriptadas.
Mientras se plantea cómo proteger mejor sus datos y los de sus clientes, Salesforce puede ayudarle. Obtenga más información acerca de los productos y las soluciones que hemos diseñado pensando en la seguridad para ayudar a su organización a mantener la confianza y proteger a sus clientes. Y explore nuestro Centro de aprendizaje sobre ciberseguridad (una iniciativa en colaboración con el Centro para la Ciberseguridad del Foro Económico Mundial) para perfeccionar sus habilidades con los conocimientos sobre seguridad más actuales. Al fin y al cabo, garantizar el mantenimiento de la confianza es responsabilidad de todos.