Hubo un tiempo en que toda la informática de las organizaciones —incluidas las dedicadas al cuidado de la salud— se desarrollaba en las instalaciones. Por ende, los perímetros de las redes eran fáciles de definir. Todo lo que se necesita para mantenerlo seguros era un software antivirus y un firewall con detección y prevención.
Los departamentos de TIC de hoy se enfrentan a un panorama mucho más complejo. Muchos usuarios de las redes hospitalarias suelen utilizar sus propios dispositivos y, a menudo, no son empleados. Eso crea otra capa de riesgo. Los activos de TIC también están dispersos. Se encuentran repartidos entre nubes híbridas, centros de datos locales, implementaciones de borde y dispositivos de la IoMT. El desarrollo de aplicaciones se distribuye entre varios departamentos que desarrollan sus propias aplicaciones. De esta manera, incluso el perímetro entre TIC y operaciones queda oculto.
No pasa un día sin que la confianza cero sea elogiada como la solución milagrosa para todas las preocupaciones de seguridad. Pero los CISO, que están en las trincheras, son escépticos.
Los bemoles de la confianza cero
¿Qué estrategias de defensa funcionarán en un entorno donde aparentemente no existen los perímetros de las redes? La respuesta es repeler a los usuarios no autorizados estableciendo sus identidades mediante identificadores únicos en forma de certificados digitales para cada aspecto: usuarios, dispositivos, servidores, bases de datos, contenedores y todos los demás activos digitales.
De esta manera, la identidad crea nuevos perímetros de las redes al formar un firewall lógico. Así, las entidades que carecen de los certificados digitales correctos se puedan detectar y rechazar fácilmente.
Administrar tantas identidades puede parecer una carga en comparación con el enfoque de confianza cero. Ésta, en pocas palabras, significa que no se confía en nadie de forma predeterminada, ni dentro ni fuera de la red. La confianza cero requiere un cambio fundamental en los procesos de gestión de la confianza, la autenticación y la autorización. Muchas empresas descubrirán que requiere un sacrificio demasiado grande en la experiencia del usuario y la productividad. Para la mayoría de las organizaciones, la confianza cero debe considerarse más como un objetivo a largo plazo que como una solución inmediata.
Perímetros de las redes en la época de las nubes
Otra gran pregunta en torno a la seguridad y la identidad es la migración continua de aplicaciones locales a entornos de software como servicio (SaaS) alojados en la nube. Los métodos estándar para proteger las cuentas de usuario a menudo no funcionan en un entorno SaaS. Eso dificulta el seguimiento de las personas que abandonan la organización o cambian de función.
En resumen, los usuarios que se van pueden seguir accediendo a las aplicaciones y los datos. En estos casos, es probable que la identidad sea una solución de seguridad más eficaz que la confianza cero.
Es importante tener en cuenta que las cuentas de servicio también representan un gran vector de ataque. Regularmente, una vez que se crean nunca se gestionan correctamente. Las contraseñas nunca cambian, los privilegios nunca evolucionan y dichas cuentas no se eliminan cuando ya no son necesarias.
Defenderse de los hackers
Si observamos las recientes infracciones, queda claro que la identidad es lo que los piratas informáticos buscan explotar. Más allá de emplear enfoques tradicionales cuando sea apropiado, los CISO y sus equipos deben buscar una mejor orquestación de la identidad. Se trata no sólo de controlar el acceso y comprender lo que hacen las personas, sino de repeler a los intrusos.
Y los piratas informáticos no solo explotan a las personas: también pueden verse comprometidas las identidades de los “no humanos”. Se trata de cuentas de administrador o de servicio para soluciones SaaS que se activan cuando se instala el software; luego, por lo general, nunca se desactivan y se ignoran, incluso después de que los administradores o compradores humanos abandonen la empresa. Sin actualizaciones, parches ni supervisión, las identidades no humanas se convierten en un objetivo principal para los piratas informáticos.
Debido a que las herramientas de seguridad tradicionales, como los firewalls, no se crearon para abordar los nuevos perímetros de las redes o las identidades (humanas y no humanas), los CISO y sus equipos deben buscar soluciones centradas en los procesos, como la gestión de acceso privilegiado. También deberían añadir herramientas como la identificación multifactorial, para no depender únicamente de la confianza o la autenticación.
De hecho, la combinación de la identidad con otras estrategias de seguridad puede ayudar a reforzar las defensas. Como informa Gartner, para 2027 el 70% de las organizaciones combinarán la prevención de pérdida de datos y las disciplinas de gestión de riesgos internos con la gestión de identidades y accesos para identificar comportamientos potencialmente maliciosos.
La realidad es que debemos centrarnos en la identidad para establecer los perímetros de las redes. Los usuarios y sus privilegios deben definirse y gestionarse de forma coherente para garantizar los niveles adecuados de acceso en un entorno.