CXO y confianza cero: siete aspectos a tener en cuenta para una transformación digital exitosa

“La frase más peligrosa de un idioma es: "Siempre lo hemos hecho así". Grace Hopper, científica informática

 

La forma de hacer negocios ha cambiado drásticamente en los últimos años. Para seguir siendo ágiles y competitivas, las organizaciones deben adoptar la transformación digital. Pero hacerlo de forma segura significa alejarse de la vieja costumbre de establecer un perímetro de red, protegerlo y confiar en todo lo que hay dentro de él. Hacer las cosas como siempre se han hecho no funciona en el lugar de trabajo híbrido donde el perímetro está en todas partes. Los líderes empresariales deben asegurarse de tener la flexibilidad y la capacidad para respaldar las necesidades comerciales en evolución, hoy y en el futuro previsible. 

Garantizar que los empleados puedan seguir trabajando desde cualquier lugar mientras la empresa sigue siendo ágil y segura requiere un cambio fundamental en las redes y la seguridad hacia una arquitectura basada en la confianza cero. El liderazgo ejecutivo depende de sus arquitectos de redes, seguridad e infraestructura y líderes de TI para comprender y liderar este viaje de transformación desde un punto de vista técnico. Sin embargo, la transformación digital requiere más que experiencia técnica. La transformación afecta a todos los aspectos de una organización y requiere un cambio en la cultura y la mentalidad que sólo puede promoverse de arriba hacia abajo. 

Para nutrir a la organización en su viaje de transformación, es esencial que el equipo ejecutivo, desde el CEO y CFO hasta los CTO, CIO y CISO, intente comprender la confianza cero. Sin hacer preguntas y aclarar cualquier confusión que pueda existir, el camino será arduo y estará lleno de desafíos. 

 

"No hay nada que temer en la vida; sólo hay que entenderlo." Marie Curie, física y química 

 

En los últimos años, la confianza cero ha pasado de ser una idea confusa a un habilitador de transformación para las organizaciones. Sin embargo, su creciente popularidad ha generado mucha confusión en torno a qué es (o no es), cómo funciona (o no) y por qué es importante. Sanjit Ganguli, Nathan Howe y Daniel Ballmer han tratado de ayudar a los CXO a aclarar la confusión en torno a la confianza cero en su nuevo libro, "Siete preguntas que todo CXO debe plantearse sobre la confianza cero". Echemos un vistazo a lo que encontrará en su guía ejecutiva para proteger la transformación digital. 

 

¿Qué es la confianza cero y por qué es fundamental para la transformación digital segura?

Las organizaciones están recurriendo a la confianza cero para protegerse y habilitar el lugar de trabajo híbrido. Sin embargo, con toda la publicidad que se le ha dado, es probable que todavía no tenga claro qué significa exactamente la confianza cero y por qué la necesita en primer lugar.

La confianza cero es una estrategia, una base para su ecosistema de seguridad, basada en el principio de acceso con privilegios mínimos combinado con la idea de que no se debe confiar inherentemente en nada. Pero ¿cómo sirve eso como facilitador de la transformación digital? ¿Y, en primer lugar, por qué necesitamos transformarnos?

Explorará en qué se diferencia una arquitectura de confianza cero del modelo anterior, que consiste en una red plana con segmentos definidos, donde se confía en todo lo que se encuentra dentro del perímetro. Le mostrarán cómo la arquitectura única de confianza cero brinda la capacidad de conectar entidades de forma segura, ya sean usuarios, aplicaciones, máquinas o dispositivos IoT, a los recursos de una manera rápida, transparente y segura. 

 

¿Cuáles son los principales casos de uso de la confianza cero?

¿Cuáles son los impulsores de la adopción de la confianza cero? En la mayoría de las organizaciones, solo hay uno o una combinación de tres casos de uso principales. El libro explora en detalle los tres principales casos de uso de la confianza cero:  

• Trabajo seguro desde cualquier lugar: garantizar que sus empleados puedan ser productivos (tanto si trabajan desde la sede corporativa como en una oficina en casa, una cafetería o mientras viajan) requiere proporcionar un acceso rápido y seguro a las aplicaciones en cualquier dispositivo y desde cualquier lugar. En lugar de aprovechar las VPN para conectar a los usuarios a una red corporativa, una verdadera arquitectura de confianza cero utiliza políticas para determinar a qué pueden acceder y cómo pueden acceder, y luego proporciona de forma segura una conectividad directa, rápida y sin problemas a dichos recursos. 
• Transformación de WAN: las viejas formas de extender la red plana, enrutable y radial a cada sucursal, oficina en el hogar y usuario que está de viaje dejan a las organizaciones expuestas y vulnerables a los ataques. Una arquitectura de confianza cero permite a las organizaciones transformar la red y que pase de ser una arquitectura radial a ser un enfoque directo a la nube que reduce la MPLS y el retorno del tráfico al centro de datos y mejora la experiencia del usuario. 
• Migración segura a la nube: la confianza cero no sólo se aplica a usuarios y dispositivos, sino que también garantiza que las cargas de trabajo puedan comunicarse de forma segura con Internet y otras cargas de trabajo. Implementar una verdadera arquitectura de confianza cero también proporciona una configuración de carga de trabajo segura y sólidas capacidades de control de postura. 

 

¿Cuáles son los beneficios comerciales de pasarse a la confianza cero?

La prioridad para cualquier CXO es comprender la justificación de una transformación de confianza cero y los beneficios comerciales que ofrece. El libro analiza este tema en detalle y explora varios beneficios comerciales clave de una arquitectura de confianza cero.

Optimización de los costes tecnológicos: una arquitectura de confianza cero conecta de forma segura a usuarios, dispositivos, cargas de trabajo y aplicaciones, sin conectarlos a la red corporativa. Ofrece una conectividad rápida, segura y directa a la aplicación que elimina la necesidad de retornar el tráfico y minimiza el gasto en MPLS. Los autores analizan cómo una plataforma de confianza cero entregada en la nube puede consolidar el hardware de productos puntuales y eliminar la necesidad de inversiones de capital en cortafuegos, VPN, VDI y más. En última instancia, esto genera ahorros en productos de red y seguridad y aumenta el retorno de la inversión. 

Ahorros operativos: las organizaciones no sólo disminuyen los costes de tecnología a través de la confianza cero, sino que también reducen el tiempo, el coste y la complejidad de administrar una red radial y una amplia cartera de soluciones de productos puntuales necesarios para protegerla. Una verdadera arquitectura de confianza cero entregada en la nube también centraliza la administración de políticas de seguridad, gestiona la implementación de cambios, como parches y actualizaciones en su nube, y automatiza tareas repetibles. La simplificación de las operaciones libera tiempo para que los administradores se concentren en proyectos más estratégicos que generen valor para la organización. 

Reducción de riesgos: al pasar de un modelo basado en el perímetro a un modelo directo a la nube, una arquitectura de confianza cero proporciona una mayor protección para los usuarios, los datos y las aplicaciones. Cuando se implementa correctamente, un enfoque de confianza cero elimina la superficie de ataque y reduce el riesgo al conectar a los usuarios directamente a las aplicaciones en lugar de a la red corporativa. Los datos confidenciales se protegen evitando las conexiones de paso e inspeccionando todo el tráfico. Utilizando los principios de la confianza cero, las organizaciones pueden conectar de forma segura cualquier entidad a cualquier aplicación o servicio desde cualquier ubicación. 

Agilidad y productividad mejoradas : la confianza cero sirve como un habilitador invisible para que su empresa mejore la colaboración, la agilidad y la productividad, y brinde una excelente experiencia al usuario. La confianza cero permite a los empleados trabajar de forma segura desde cualquier lugar y en cualquier dispositivo. Y debido a que los usuarios están conectados directamente a las aplicaciones (según la identidad, el contexto y la política comercial), se reduce la latencia, disminuyen las frustraciones y los usuarios pueden ser más productivos. Y no son sólo los usuarios finales los que se benefician. También se pueden optimizar las integraciones de fusiones y adquisiciones. A través de un enfoque de confianza cero, las organizaciones pueden simplificar las complejidades operativas, reducir el riesgo y disminuir los costes únicos y recurrentes para, en última instancia, acelerar el tiempo de creación de valor. 

 

¿Cómo contribuye la confianza cero al éxito de una organización?

Puede ser tentador adoptar el mantra "Si no está roto, no lo arregles" o la frase con la que abríamos este blog, "Siempre lo hemos hecho así". Pero ceñirse al statu quo, que es a menudo la postura que adoptan las personas y equipos que tienen un interés especial en proteger la infraestructura actual o, quizá más probablemente, simplemente no están seguros de cómo proceder sin que la totalidad del sistema se desmorone. Examinar los puntos débiles a los que se han enfrentado organizaciones como la suya en su viaje de confianza cero, cómo los superaron y los beneficios que obtuvieron, también le puede guiar en su camino. 

 

¿Cómo se implementa y adopta la confianza cero? ¿Cuáles son los obstáculos más habituales?

Está de acuerdo con la idea de implementar una arquitectura de confianza cero, pero ¿cómo puede su organización realmente cumplir con ese compromiso? Como cualquier viaje significativo, es útil dividir su esfuerzo en partes más pequeñas y tangibles. Los autores dividen la transformación de confianza cero en cuatro fases y brindan orientación para ayudar a que todo el viaje transcurra sin problemas: 

• Empoderar al personal protegido: muchas organizaciones descubren que comenzar por aquí puede brindar beneficios inmediatos a la organización y servir como catalizador para impulsar el resto del viaje. Al reemplazar la tecnología de red y la seguridad heredadas con una arquitectura de confianza cero nativa en la nube, las organizaciones pueden permitir que los empleados accedan a Internet, SaaS y aplicaciones privadas de manera segura y sin problemas desde cualquier lugar, sin conectarse a la red corporativa. Esto evita el movimiento lateral y protege contra amenazas avanzadas y pérdida de datos. Al supervisar las experiencias digitales de los usuarios finales, los equipos de TI pueden optimizar el rendimiento y mejorar la productividad de la organización.   
• Proteger los datos en la nube: dado el volumen de datos que residen en las aplicaciones SaaS, como M365, Salesforce o ServiceNow, y en las aplicaciones privadas, tiene sentido que la siguiente fase sea garantizar que los datos en la nube estén protegidos. Esto incluye asegurar el acceso a Internet y SaaS para cargas de trabajo, garantizar comunicaciones seguras de carga de trabajo a carga de trabajo en la nube, además de habilitar el control de postura para cargas de trabajo locales y nativas de la nube que se ejecutan en cualquier nube, lo que, en última instancia, simplifica la seguridad de la carga de trabajo en la nube y facilita su administración. . 
• Favorecer a los clientes y proveedores: al igual que sus empleados, los socios y contratistas externos necesitan un acceso seguro y sin inconvenientes a las aplicaciones empresariales autorizadas. Desvincular de la red el acceso a las aplicaciones y aplicar los principios de confianza cero permite a las organizaciones controlar estrictamente el acceso de los socios y conectar a los usuarios a aplicaciones privadas desde cualquier dispositivo, en cualquier lugar y en cualquier momento, sin proporcionar acceso a la red. Los socios ya no necesitan seguir diferentes pasos para conectarse a las aplicaciones y la organización aumenta la postura de seguridad y reduce los riesgos que plantean las VPN y otros enfoques tradicionales de acceso de terceros.  
• Modernizar la seguridad de IoT y TO: la última fase es proporcionar conectividad de confianza cero a los dispositivos IoT y acceso remoto seguro a sistemas TO. Proporcionar un acceso rápido, seguro y sin problemas a los equipos, sin una VPN, permite operaciones de mantenimiento rápidas y seguras. Y, debido a que las redes y los sistemas OT ya no son visibles para Internet, los atacantes ya no pueden aprovechar los ataques cibernéticos para interrumpir la producción. El resultado es un mayor tiempo de actividad y una mayor seguridad para los empleados y las operaciones de la planta. 

 

¿Qué aspectos no tecnológicos hay que tener en cuenta para la adopción exitosa de la confianza cero?

La confianza cero no es simplemente un intercambio de tecnología que gestiona TI. La transformación de confianza cero es un cambio fundamental que afecta a todos los aspectos de la empresa. Los autores analizan cómo la implementación exitosa requiere remodelar la mentalidad y la cultura organizacional. Requiere comunicación y colaboración entre equipos, desarrollo de nuevas habilidades, simplificación y realineación de procesos, así como un ajuste de la estructura organizacional para respaldar la implementación y la operación. Para obtener los resultados deseados, la transformación de confianza cero debe liderarse de arriba hacia abajo y debe incluir a todos, desde los directivos hasta los profesionales de TI pasando por los usuarios finales internos y más. 

 

¿Qué busco (y no busco) en una solución de confianza cero? 

La mayoría de los líderes empresariales le dirán que la transformación digital es un viaje, no un destino. Un solo proyecto o producto no puede llevarle allí. Pero saber qué buscar en una solución marca una gran diferencia y ayuda a las organizaciones a evitar posibles escollos. Los autores examinan siete puntos clave que las soluciones deben abordar para el éxito de la transformación digital. 

• Tiene un historial comprobado y aborda completamente las necesidades específicas de su empresa 
• Basada en principios básicos de confianza cero
• Infraestructura nativa de la nube que inspecciona todo el tráfico, incluido SSL/TLS, a escala
• Flexible, diversa y escalable para cada usuario, aplicación y recurso, independientemente de su ubicación
• Ofrece una experiencia de usuario final óptima
• Sólidas integraciones de ecosistemas
• Fácil de probar e implementar, lo que le da confianza acerca de la capacidad para funcionar correctamente en producción

 

"Si acometes el problema correctamente, obtendrás la respuesta". Katherine Johnson, matemática

 

La transformación digital hace que las empresas sean más ágiles y competitivas. Pero para tener éxito en su transformación, debe comenzar por establecer una base sólida basada en la confianza cero. La breve introducción proporcionada anteriormente apenas toca la superficie de los elementos esenciales que todo CXO debe comprender para guiar con éxito el viaje de confianza cero de su organización. 

Aborde de frente los desafíos de la transformación con Sanjit, Nathan y Daniel, examinando la confianza cero y sus ventajas, implementaciones y obstáculos. Obtenga información sobre las mejores prácticas que los CXO han aprendido en sus trayectorias en la confianza cero. Descargue hoy el libro electrónico gratuito “Siete preguntas que todo CXO debe plantearse sobre la confianza cero”. Para descubrir cómo Zscaler puede ayudar a su empresa en su transformación a la confianza cero, lea nuestro documento técnico, "Acelere la transformación digital segura con Zero Trust Exchange: The One True Zero Trust Platform".