{"id":27319,"date":"2022-06-03T08:56:08","date_gmt":"2022-06-03T14:56:08","guid":{"rendered":"https:\/\/otech.uaeh.edu.mx\/noti\/?p=27319"},"modified":"2022-06-03T08:56:18","modified_gmt":"2022-06-03T14:56:18","slug":"teniendo-en-cuenta-la-confianza-digital-por-que-la-confianza-cero-necesita-un-replanteamiento","status":"publish","type":"post","link":"https:\/\/otech.uaeh.edu.mx\/noti\/tech\/teniendo-en-cuenta-la-confianza-digital-por-que-la-confianza-cero-necesita-un-replanteamiento\/","title":{"rendered":"Teniendo en cuenta la confianza digital: por qu\u00e9 la confianza cero necesita un replanteamiento"},"content":{"rendered":"

‘\u00a0Confianza cero<\/a>\u00a0‘ es una palabra de moda en la seguridad cibern\u00e9tica hoy en d\u00eda, gracias en parte a la exageraci\u00f3n del marketing, pero todav\u00eda hay confusi\u00f3n entre los l\u00edderes de seguridad sobre lo que realmente significa.\u00a0La confianza cero es un marco de seguridad cibern\u00e9tica que establece esencialmente que no se debe confiar en entidades, como humanos y m\u00e1quinas (es decir, software, cargas de trabajo, contenedores y dispositivos) de manera predeterminada.\u00a0Con confianza cero, la confianza nunca es impl\u00edcita y siempre debe verificarse.\u00a0La confianza cero a menudo se considera la mejor soluci\u00f3n para los muchos problemas de autenticaci\u00f3n y acceso que enfrentan las empresas, y esos problemas son innumerables ahora que los entornos de trabajo\u00a0remotos<\/a>\u00a0e\u00a0h\u00edbridos<\/a> son la norma.<\/span><\/p>\n

Ya no es posible que las empresas simplemente asuman la confianza, ya que una gran cantidad de usuarios y dispositivos ahora operan desde fuera de la supuesta seguridad del firewall corporativo.\u00a0Las empresas ahora se encuentran con un problema: la necesidad de verificar, incorporar y autenticar individualmente cada dispositivo, usuario, software y entidad que interact\u00faa con la red de la organizaci\u00f3n para garantizar la legitimidad, sin importar de d\u00f3nde provengan las conexiones.\u00a0La implementaci\u00f3n de un enfoque de confianza cero es esencial, pero los l\u00edderes de seguridad no deber\u00edan obsesionarse demasiado porque es solo la primera pieza de un rompecabezas mucho m\u00e1s grande para finalmente establecer y mantener la ‘confianza digital’, la piedra angular del negocio digital seguro.<\/span><\/p>\n

La confianza digital es el objetivo, la confianza cero es el marco<\/span><\/h3>\n

Entonces, \u00bfqu\u00e9 es la confianza digital y c\u00f3mo sabemos que la tenemos?\u00a0Desde un nivel muy alto, el mundo f\u00edsico funciona con confianza.\u00a0Sabemos que podemos usar d\u00f3lares estadounidenses, ya que el gobierno de los EE. UU. los respalda, por lo tanto, todos y cada uno de los usuarios pueden esperar usarlos para el intercambio de valor.\u00a0Centr\u00e1ndose en el mundo digital, la confianza digital es la noci\u00f3n de garantizar que todas y cada una de las entidades puedan confiar en su negocio.\u00a0Un ejemplo simple ser\u00eda visitar un sitio web y realizar negocios;\u00a0\u00bfDeber\u00edas confiar en que es el sitio que crees que es?\u00a0Y si es as\u00ed, \u00bftiene suficiente confianza en ese negocio como para compartir pagos o informaci\u00f3n personal?\u00a0Cuando las organizaciones sufren violaciones de seguridad cibern\u00e9tica, especialmente si han vuelto a ocurrir, los clientes de hoy en d\u00eda ahora se preguntan si esa empresa tiene una tienda digital confiable.\u00a0Sin confianza digital, el negocio digital no puede existir ni existir\u00e1.CISOs<\/a>\u00a0, pero el negocio en general.<\/span><\/p>\n

Sabiendo que la confianza digital ahora es fundamental para todas las empresas y organizaciones de hoy;\u00a0\u00bfPor qu\u00e9 la confianza cero ha ganado tanta atenci\u00f3n?\u00a0Bueno, en pocas palabras, no podemos asumir que debemos confiar en todo, adoptar un enfoque de confianza cero y luego establecer y mantener la confianza.<\/span><\/p>\n

Desde la perspectiva de un l\u00edder de seguridad y CISO, eso significa que debemos establecer y mantener la confianza con todas las entidades que conforman e interact\u00faan con el negocio.\u00a0Como tal, la confianza digital aqu\u00ed es la confianza en las m\u00e1quinas, el software, los dispositivos y los humanos que interact\u00faan con los servicios digitales que ahora impulsan nuestro mundo.\u00a0No debe confundirse con la confianza cero, que a menudo se malinterpreta.\u00a0El ‘cero’ implica que no existe confianza en absoluto.\u00a0La confianza es din\u00e1mica y necesita ser mantenida constantemente.\u00a0La forma en que las empresas abordan el establecimiento de la confianza digital es importante para garantizar el funcionamiento del negocio, pero espec\u00edficamente la seguridad de las identidades tanto de las personas como de las m\u00e1quinas.<\/span><\/p>\n

Si bien muchas organizaciones se centraron en iniciativas de confianza cero en los \u00faltimos a\u00f1os, muchas reconocieron que la confianza en los humanos y las m\u00e1quinas es la capa fundamental.\u00a0En la empresa moderna, los l\u00edderes de seguridad deben dise\u00f1ar marcos de seguridad s\u00f3lidos que prioricen la identidad profundamente arraigados en\u00a0la criptograf\u00eda<\/a>\u00a0para que se establezca la confianza digital.\u00a0Este marco debe comenzar con una mentalidad de confianza cero, es decir, primero verificar la identidad de la entidad, validar su estado y determinar, si en ese momento actual, se le debe otorgar acceso.<\/span><\/p>\n

La criptograf\u00eda en el coraz\u00f3n de la seguridad de identidad primero<\/span><\/h3>\n

Los certificados digitales con tecnolog\u00eda de infraestructura de clave p\u00fablica (\u00a0PKI<\/a>\u00a0) son el est\u00e1ndar de oro para proteger y autenticar las identidades de personas y m\u00e1quinas y ayudan a establecer y mantener la confianza digital.\u00a0Los certificados proporcionan el nivel m\u00e1s s\u00f3lido de autenticaci\u00f3n de usuarios y dispositivos.\u00a0Emitidos por autoridades de certificaci\u00f3n (CA), respaldan la seguridad del mundo digital y cuentan con la confianza de todas las tecnolog\u00edas, desde las m\u00e1s antiguas hasta las m\u00e1s nuevas, como\u00a0blockchain<\/a>\u00a0y\u00a0Web3<\/a>\u00a0.\u00a0Idealmente, cada usuario y m\u00e1quina que intente acceder a una red o recurso (\u00a0h\u00edbrido<\/a>\u00a0\/\u00a0nube m\u00faltiple)<\/a>) debe comenzar con una fuerte identidad digital criptogr\u00e1fica para que una empresa pueda verificar con qui\u00e9n o con qu\u00e9 est\u00e1 interactuando.\u00a0Esto es fundamental ya que la mayor\u00eda de los atacantes tienden a centrarse en robar credenciales para acceder a recursos confidenciales.\u00a0En otras palabras, explotan la identidad como principal superficie de ataque;\u00a0en realidad, son “violaciones de identidad” per se.<\/span><\/p>\n

Independientemente de la l\u00ednea de negocio en la que se encuentre, es fundamental asegurarse de que est\u00e1 protegiendo todas las identidades, humanas, no humanas\/m\u00e1quinas en todo su entorno.\u00a0Y cuando se trata de no humanos o m\u00e1quinas, un informe reciente de\u00a0CyberArk<\/a>\u00a0encontr\u00f3 que estas identidades\u00a0superan en n\u00famero a las identidades humanas<\/a>\u00a0por 45 veces .\u00a0Gracias a\u00a0la transformaci\u00f3n digital<\/a>\u00a0y los casos de uso nuevos y emergentes que requieren certificados que respalden resultados comerciales cr\u00edticos (es decir, aprovechar las firmas digitales y la automatizaci\u00f3n rob\u00f3tica de procesos (\u00a0RPA<\/a>\u00a0), asegurar\u00a0DevOps<\/a>, habilitaci\u00f3n segura de entornos en la nube y muchos otros), ha habido una explosi\u00f3n en la cantidad de identidades digitales que requieren certificados.\u00a0M\u00e1s all\u00e1 de requerir certificados, muchos casos de uso estar\u00edan mejor aprovech\u00e1ndolos para ayudar a mitigar los ataques relacionados con la identidad.<\/span><\/p>\n

Por cr\u00edticos que sean, los certificados digitales en s\u00ed mismos requieren cuidado y gesti\u00f3n.\u00a0Administrar los vol\u00famenes masivos de certificados digitales puede resultar un desaf\u00edo para las empresas porque los certificados pueden provenir de diferentes CA, todos deben renovarse en diferentes momentos y fechas, su vida \u00fatil var\u00eda enormemente y muchos incluso est\u00e1n enterrados en\u00a0la sombra<\/a>\u00a0.\u00a0Esto presenta un problema enorme porque un solo certificado que no se administra puede significar interrupciones, interrupciones operativas o dejar una puerta abierta para intrusos hostiles.<\/span><\/p>\n

Hoy en d\u00eda, muchas organizaciones a\u00fan administran los certificados digitales de forma manual o utilizan enfoques obsoletos, como hojas de c\u00e1lculo, para administrar una cantidad abrumadora de certificados digitales.\u00a0Esto hace que las empresas sean susceptibles a\u00a0interrupciones<\/a>\u00a0o ataques cibern\u00e9ticos.\u00a0La estrategia de seguridad de identidad primero de una empresa debe incluir una soluci\u00f3n \u00fanica y centralizada para administrar la explosi\u00f3n de identidades que requieren confianza digital para acceder a redes y recursos.\u00a0Un nuevo enfoque automatizado, que incluye la gesti\u00f3n del ciclo de vida de los certificados (CLM), garantiza que los certificados se renueven o revoquen cuando sea necesario, evitando la p\u00e9rdida de ingresos y reputaci\u00f3n.<\/span><\/p>\n

Por supuesto, debemos tener en cuenta la explosi\u00f3n de consolas y productos de seguridad que las empresas pueden experimentar.\u00a0Hay demasiados productos de seguridad y consolas para administrar.\u00a0Un Gartner<\/a>\u00a0recienteEl informe Top Security and Risk encontr\u00f3 que el 80 % de los CISO tienen una estrategia para consolidar proveedores y productos de seguridad.\u00a0Las soluciones de administraci\u00f3n de certificados y PKI ciertamente han estado sujetas a esta expansi\u00f3n y complejidad de soluciones.\u00a0Y quiz\u00e1s lo que tambi\u00e9n ha afectado a muchas organizaciones es la cantidad de dinero gastado en lo que deber\u00eda ser una soluci\u00f3n \u00fanica.\u00a0En la b\u00fasqueda de simplificar los productos de seguridad, ahorrar dinero y tiempo, los l\u00edderes de seguridad ahora tienen la oportunidad de consolidar sus operaciones de certificados y PKI con soluciones modernas de gesti\u00f3n del ciclo de vida de certificados (CLM) que priorizan la identidad de m\u00e1quinas y personas.<\/span><\/p>\n

La soluci\u00f3n CLM m\u00e1s moderna deber\u00eda:<\/span><\/p>\n