Confianza cero
Creación de un entorno de confianza cero
La gestión de acceso adaptativa es fundamental para una confianza cero, con una autenticación sin fricción que la hace valiosa para capacitar a los trabajadores y satisfacer a los clientes.
Métodos para gestionar la identidad
Existen varias formas de gestionar la identidad. Por ejemplo, en un entorno de nube múltiple, estas soluciones maduras son los métodos más habituales:
El 81 % de inicio de sesión único y federación
El 60 % de soluciones heredadas
El 56 % de identidades gestionadas de forma centralizada
Las organizaciones tienen la oportunidad de implantar y mejorar la gestión de identidades a través de estos nuevos métodos, que tienen tasas de uso más bajas:
El 23 % de gestión de acceso adaptativo
El 23 % de confidencialidad que permite la gestión de derechos de los sujetos de los datos
El 19 % de recertificación dinámica de usuarios
Fuente: Informe "Technology and Cloud Security Maturity" de Cloud Security Alliance, 2022
¿Qué significa cero confianza?
El objetivo inicial de la confianza cero era aplicar controles más estrictos para cada segmento de la red y a los puestos finales de los recursos. Esto es como poner un guardia de seguridad en cada puerta, pasillo y ascensor, e incluso en la entrada de cada oficina. Sin embargo, a pesar de los orígenes de la red de confianza cero, es importante señalar que hoy estos mismos conceptos se han trasladado a la capa de servicios y aplicaciones.
Este enfoque significa que el departamento de TI puede utilizar metodologías de confianza cero para controlar directamente las respuestas para acceder a sus recursos protegidos. Aunque proporciona mucha más flexibilidad que el enfoque de red para los servicios basados en la nube, este nivel de control granular probablemente creará escenarios en los que las políticas de autenticación estática degraden la experiencia del usuario. Volviendo a la metáfora del guardia de seguridad en cada puerta, imagine tener que autenticarse antes de entrar a cada sala del edificio de oficinas. En cambio, la seguridad de confianza cero necesita un modelo de autenticación dinámico que sea mucho más flexible y menos intrusivo que las implementaciones estáticas actuales.
“Debido a su control en cada sesión, la autenticación continua permite una gestión de accesos adaptativa y ayuda a lograr una seguridad de confianza cero.”
Gestión de accesos adaptativa para su empresa
La facilidad de uso es uno de los principales retos de ampliar el acceso de los usuarios con la autenticación continua. Siempre habrá directivas o eventos de seguridad conductual que interrumpirán a usuarios legítimos. Por ello, aunque un mayor nivel de inteligencia contextual es el alma de la gestión de accesos adaptativa, la autenticación sin fricción es lo que la hace valiosa. La reducción de las solicitudes de autenticación sólida cuando se activa un evento de riesgo mantendrá la productividad de los usuarios y ayudará a eliminar las soluciones no deseadas.
La gestión de accesos adaptativa es fundamental para una confianza cero
Las organizaciones necesitan nuevos enfoques de gestión de accesos para alcanzar un nivel de seguridad de confianza cero, uno en el que el comportamiento de seguridad predeterminado suponga un entorno hostil. Esta autenticación continúa crea un verdadero acceso adaptativo al:
- Ampliar el control y la supervisión durante toda la sesión
- Detectar cuándo ha cambiado el nivel de riesgo desde el inicio de la sesión para iniciar después una solicitud de autenticación
- Ajustar (reduciendo o aumentando) el nivel de autorización en función del riesgo identificado y la verificación de identidades disponible
Las organizaciones actuales necesitan una detección de riesgos que vaya más allá las directivas definidas y que incluya análisis de comportamiento. La única manera de lograr métricas con la profundidad necesaria es recopilar métricas de contexto más relevantes y aplicarles el aprendizaje automático. La autenticación sin fricción o con baja fricción es esencial para un acceso adaptativo. Si no se minimiza la interrupción del usuario, la autenticación continua no es viable para la empresa. Si bien el nivel de interrupción aceptable para los usuarios varía en cada organización, cuanto más se acerque a cero, más flexibilidad tendrá para proporcionar de forma segura acceso a información confidencial.