Los CXO y la confianza cero: Siete consideraciones para una transformación digital exitosa

"La frase más peligrosa que existe es: 'siempre lo hemos hecho así'". Grace Hopper, científica informática

 

Los negocios han cambiado radicalmente en los últimos años. Para seguir siendo ágiles y competitivas, las organizaciones deben adoptar la transformación digital. Sin embargo, para hacerlo de forma segura hay que abandonar las viejas costumbres de establecer un perímetro de red, protegerlo y confiar en todo lo que hay dentro. Hacer las cosas como siempre se han hecho no funciona en el lugar de trabajo híbrido, donde el perímetro está en todas partes. Los líderes empresariales deben asegurarse de que disponen de la flexibilidad y la capacidad necesarias para apoyar la evolución de las necesidades empresariales hoy y en el futuro próximo. 

Garantizar que los empleados puedan seguir trabajando desde cualquier lugar mientras la empresa se mantiene ágil y segura requiere un cambio fundamental en las redes y la seguridad a una arquitectura basada en la confianza cero. El liderazgo ejecutivo confía en sus arquitectos de redes, seguridad e infraestructura y en los líderes de TI para comprender y liderar este proceso de transformación desde un punto de vista técnico. Sin embargo, la transformación digital requiere algo más que conocimientos técnicos. La transformación afecta a todos los aspectos de una organización y requiere un cambio de cultura y de mentalidad que solo puede realizarse de arriba hacia abajo. 

Para impulsar a la organización en su proceso de transformación, es fundamental que el equipo ejecutivo, desde el CEO y el CFO hasta los CTO, CIO y CISO, conozcan bien la confianza cero. Si no se hacen preguntas y no se aclara cualquier confusión que pueda existir, el proceso será difícil y estará plagado de dificultades. 

 

"En la vida, no hay nada que temer, solo hay que comprender". Marie Curie, física y química 

 

La confianza cero ha pasado de ser una idea difusa a convertirse en un factor de transformación para las organizaciones en los últimos años. Sin embargo, su creciente popularidad ha creado mucha confusión en torno a la confianza cero, lo que es (o no es), cómo funciona (o no) y por qué es importante. Sanjit Ganguli, Nathan Howe y Daniel Ballmer han tratado de ayudar a los CXO a aclarar la confusión en torno a la confianza cero en su nuevo libro, "Seven Questions Every CXO Must Ask About Zero Trust". Echemos un vistazo a lo que encontrará en su guía del ejecutivo para una transformación digital segura. 

 

¿Qué es la confianza cero y por qué es fundamental para una transformación digital segura?

Las organizaciones están recurriendo a la confianza cero para protegerse y crear un lugar de trabajo híbrido. Sin embargo, si escucha todo el bombo publicitario, es probable que siga confundido acerca de qué significa exactamente la confianza cero y por qué es necesaria en primer lugar.

La confianza cero es una estrategia, una base para su ecosistema de seguridad, basada en el principio del acceso con menos privilegios combinado con la idea de que no se debe confiar en nada en forma inherente. Pero, ¿de qué sirve esto para facilitar la transformación digital? ¿Y por qué necesitamos transformarnos en primer lugar?

Descubrirá en qué se diferencia una arquitectura de confianza cero del antiguo modelo de red plana con segmentos definidos, en la que todo lo que se encuentra dentro del perímetro es de confianza. Verá cómo la exclusiva arquitectura de confianza cero proporciona la capacidad de conectar de forma segura entidades, ya sean usuarios, aplicaciones, máquinas o dispositivos IoT, a recursos de forma rápida, continua y segura. 

 

¿Cuáles son los principales casos de uso de la confianza cero?

¿Cuáles son los factores que impulsan la adopción de la confianza cero? En la mayoría de las organizaciones se trata de un caso de uso principal o de la combinación de tres casos de uso principales. El libro explora en detalle los tres principales casos de uso de la confianza cero:  

• Trabajo seguro desde cualquier lugar: Garantizar que sus empleados puedan ser productivos. Ya sea que trabajen desde la sede corporativa, una oficina en casa, en una cafetería o en la carretera, se debe ofrecer un acceso rápido y seguro a las aplicaciones en cualquier dispositivo y desde cualquier lugar. En lugar de recurrir a las VPN para conectar a los usuarios a una red corporativa, una verdadera arquitectura zero trust se basa en políticas para determinar a qué pueden acceder y cómo pueden hacerlo y, posteriormente, proporciona de forma segura una conectividad rápida, fluida y directa a esos recursos. 
• Transformación WAN: Las antiguas formas de extender las redes planas, enrutables y radiales a cada sucursal, oficina en casa y al usuario que esté de viaje deja a las organizaciones expuestas y vulnerables a los ataques. Una arquitectura de confianza cero permite a las organizaciones convertir la red de una arquitectura radial en un modelo directo a la nube que reduce el MPLS y el retorno del tráfico al centro de datos y mejora la experiencia del usuario. 
• Migración segura a la nube: La confianza cero no solo se utiliza con los usuarios y los dispositivos, sino que también garantiza que las cargas de trabajo puedan comunicarse de forma segura con Internet y con otras cargas de trabajo. La implementación de una verdadera arquitectura zero trust también permite una configuración segura de la carga de trabajo y capacidades sólidas de control de la postura.

 

¿Cuáles son las ventajas para su empresa de pasar a la confianza cero?

Lo primero en que piensa cualquier CXO es en entender la necesidad de una transformación de confianza cero y los beneficios empresariales que esto aporta. El libro profundiza en este tema y describe varias ventajas empresariales clave de una arquitectura de confianza cero.

Optimización de los costos tecnológicos: Una arquitectura de confianza cero conecta de forma segura usuarios, dispositivos, cargas de trabajo y aplicaciones, sin conectarse a la red corporativa. Ofrece una conectividad rápida, segura y directa a la aplicación que elimina la necesidad de redireccionar el tráfico y minimiza el gasto en MPLS. Los autores explican cómo una plataforma de confianza cero en la nube puede consolidar el hardware de productos puntuales y prescindir de las inversiones CapEx en firewalls, VPN, VDI, etc. En última instancia, esto impulsa el ahorro en productos de red y seguridad y aumenta la rentabilidad de la inversión. 

Ahorro operativo: Las organizaciones no solo reducen los costos tecnológicos gracias a la confianza cero, sino que también reducen el tiempo, el costo y la complejidad de administrar una red radial y la amplia cartera de soluciones de productos puntuales necesarios para protegerla. Una verdadera arquitectura zero trust en la nube también centraliza la administración de las políticas de seguridad, controla la implementación de cambios como parches y actualizaciones en su nube y automatiza las tareas repetibles. Simplificar las operaciones libera tiempo para que los administradores se centren en proyectos más estratégicos que aporten valor a la organización. 

Reducción de riesgos: Al pasar de un modelo basado en el perímetro a otro directo a la nube, una arquitectura de confianza cero aporta una mayor protección a los usuarios, los datos y las aplicaciones. Cuando se utiliza correctamente, un modelo de confianza cero elimina la superficie de ataque y reduce el riesgo al conectar a los usuarios directamente a las aplicaciones en lugar de a la red corporativa. Los datos sensibles se protegen impidiendo las conexiones de paso e inspeccionando todo el tráfico. Gracias a los principios de confianza cero, las organizaciones pueden conectar de forma segura cualquier entidad a cualquier aplicación o servicio sin importar el lugar. 

Agilidad y productividad mejoradas: La confianza cero actúa como una herramienta invisible para que su empresa mejore la colaboración, aumente la agilidad y la productividad y ofrezca una excelente experiencia de usuario. La confianza cero permite a los empleados trabajar de forma segura desde cualquier lugar y en cualquier dispositivo. Y como los usuarios están conectados directamente a las aplicaciones (basándose en la identidad, el contexto y la política empresarial), se reduce la latencia, disminuyen las frustraciones y los usuarios pueden ser más productivos. Y no solo se benefician los usuarios finales. Las integraciones de fusiones y adquisiciones pueden agilizarse. Cuando utilizan un modelo de confianza cero, las organizaciones pueden simplificar las complejidades operativas, reducir el riesgo y disminuir los costos únicos y recurrentes para, en última instancia, acelerar la obtención de valor. 

 

¿Cómo favorece la confianza cero el éxito de una organización?

Puede resultar tentador adoptar el mantra: "Si no está roto, no lo arregles", o la frase con la que se abría este blog: "Siempre lo hemos hecho así". Pero, apoyar el statu quo es a menudo la postura adoptada por individuos y equipos que, o bien tienen un interés personal en proteger la infraestructura actual, o quizás y lo más probable, simplemente no están seguros de cómo proceder sin que todo el sistema se derrumbe. Examinar los puntos débiles a los que se enfrentan organizaciones como la suya en su ruta hacia la confianza cero, cómo los superaron y los beneficios que obtuvieron, permite iluminar el camino que debe recorrer. 

 

¿Cómo se implementa y adopta la confianza cero? ¿Cuáles son los obstáculos más comunes?

Usted desea implementar una arquitectura de confianza cero, pero ¿cómo puede su organización materializar realmente tal compromiso? Como en cualquier proceso importante, es recomendable dividir su esfuerzo en partes más pequeñas y tangibles. Los autores dividen la transformación de la confianza cero en cuatro etapas y proporcionan una guía para que todo el proceso resulte más sencillo: 

• Capacitar a la mano de obra segura: Muchas organizaciones descubren que empezar por este punto puede reportar beneficios inmediatos a la organización y servir de catalizador para impulsar el resto del proceso. Al sustituir la tecnología de redes y seguridad heredada por una arquitectura de confianza cero nativa de la nube, las organizaciones pueden permitir que los empleados accedan de forma segura y sin problemas a Internet, SaaS y aplicaciones privadas desde cualquier lugar, sin necesidad de conectarse a la red corporativa. Esto evita el movimiento lateral y protege contra las amenazas avanzadas y la pérdida de datos. Al supervisar las experiencias digitales de los usuarios finales, los equipos de TI pueden optimizar el rendimiento y mejorar la productividad de la organización.   
• Proteger los datos en la nube: Dado el volumen de datos que se encuentran en aplicaciones SaaS, como M365, Salesforce o ServiceNow, y en aplicaciones privadas, es lógico que la siguiente etapa consista en garantizar la protección de los datos en la nube. Esto implica asegurar el acceso de las cargas de trabajo a Internet y a SaaS, garantizar la seguridad de las comunicaciones entre cargas de trabajo en la nube y permitir el control de la postura de las cargas de trabajo propias y nativas de la nube que se ejecutan en cualquier nube, simplificando en última instancia la seguridad de las cargas de trabajo en la nube y facilitando su control.
• Capacitar a clientes y proveedores: Al igual que sus empleados, los socios y contratistas externos necesitan un acceso continuo y seguro a las aplicaciones empresariales autorizadas. Desvincular el acceso a las aplicaciones de la red y aplicar los principios de confianza cero les permite a las organizaciones controlar estrictamente el acceso de los socios, conectando a los usuarios a aplicaciones privadas desde cualquier dispositivo, en cualquier lugar y en cualquier momento, sin necesidad de proporcionar acceso a la red. Los socios ya no tienen que pasar por obstáculos para conectarse a las aplicaciones, y la organización aumenta la postura de seguridad y reduce los riesgos propios de las VPN y otros modelos tradicionales de acceso de terceros. 
• Modernizar la seguridad de IoT y OT: La última fase consiste en proporcionar una conectividad de confianza cero para los dispositivos IoT y un acceso remoto seguro a los sistemas de OT. Proporcionar un acceso rápido, seguro y sin problemas a los equipos sin necesidad de una VPN permite realizar operaciones de mantenimiento rápidas y seguras. Y como las redes y los sistemas OT ya no son visibles para Internet, los atacantes ya no pueden aprovechar los ciberataques para interrumpir la producción. El resultado es un mayor tiempo de actividad y una mayor seguridad para los empleados y las operaciones de la planta. 

 

¿Cuáles son las consideraciones no tecnológicas para adoptar con éxito la confianza cero?

La confianza cero no es simplemente un cambio de tecnología administrado por TI. La transformación de la confianza cero es un cambio fundacional que afecta a todos los aspectos de la empresa. Los autores examinan cómo el éxito de la aplicación requiere cambios en la cultura y la mentalidad de la organización. Requiere comunicación y colaboración entre los equipos, desarrollar nuevas habilidades, simplificar y reorientar los procesos y modificar la estructura organizativa para apoyar la implementación y el funcionamiento. Para obtener los resultados deseados, la transformación de la confianza cero debe realizarse en forma vertical y debe incluir a todos, desde los líderes de más alto nivel hasta los profesionales de TI, pasando por sus usuarios finales internos y otros usuarios más. 

 

¿Qué busco (y qué no busco) en una solución de confianza cero?

La mayoría de los líderes empresariales le dirán que la transformación digital es un viaje, no un destino. No se puede lograr con un solo proyecto o producto. Pero, saber qué buscar en una solución es muy importante y ayuda a las organizaciones a evitar posibles tropiezos. Los autores analizan siete características clave que las soluciones deben tener en cuenta para lograr el éxito de la transformación digital. 

• Un historial sólido y que responde plenamente a las necesidades específicas de su empresa
• Deben estar desarrolladas sobre los principios básicos de la confianza cero
• Deben tener una infraestructura nativa en la nube que inspecciona todo el tráfico, incluido SSL/TLS a escala
• Deben ofrecer flexibilidad, diversidad y escalabilidad para cada usuario, aplicación y recurso, independientemente de su ubicación
• Deben ofrecer una experiencia óptima al usuario final
• Deben integrarse en forma sólida en el ecosistema
• Deben ser fáciles de dirigir e implementar, dándole confianza en su capacidad de puesta en marcha en producción

 

"Si definimos bien el problema, daremos con la solución". Katherine Johnson, matemática

 

La transformación digital hace que las empresas sean más ágiles y productivas. Pero para tener éxito en su transformación, debe empezar por establecer unos cimientos sólidos basados en la confianza cero. La breve introducción anterior constituye solo la superficie de los aspectos esenciales que todo CXO debe comprender para dirigir con éxito el viaje hacia la confianza cero de su organización. 

Resuelva los obstáculos de la transformación con la ayuda de Sanjit, Nathan y Daniel, quienes analizan la confianza cero, sus ventajas, su aplicación y sus obstáculos. Conozca las mejores prácticas aprendidas de los CXO en sus viajes hacia la confianza cero. Descargue hoy mismo el libro electrónico gratuito “Seven Questions Every CXO Must Ask About Zero Trust". Para descubrir cómo Zscaler puede ayudar a su empresa durante el camino de su transformación a la confianza cero, lea nuestro documento técnico, "Acelerar la transformación digital segura con Zero Trust Exchange: La única y verdadera plataforma de confianza cero."