Estado del modelo Zero Trust en la nube
Se van acercando a la totalidad las empresas que, habiendo migrado a la nube, recorren el camino hacia la confianza cero.
Zscaler, el líder en seguridad en la nube, ha encontrado que más del 90 % (89 % en España) de los responsables de TI de empresas y organizaciones que han comenzado su migración a la nube han implementado, están implementando o están planeando implementar una arquitectura de seguridad de confianza cero.
Apoyando la migración masiva a la confianza cero para proteger a los usuarios y a la nube, más de dos tercios (68 % mundial y 63 % en España) creen que la transformación segura de la nube es imposible de realizar con infraestructuras de seguridad de red heredadas o que la ZTNA tiene claras ventajas sobre los cortafuegos y VPN tradicionales para el acceso remoto a las aplicaciones. Así lo evidencia el informe The State of Zero Trust Transformation 2023, elaborado a partir de una encuesta global realizada a más de 1.900 directivos de TI de organizaciones de todo el mundo, que ya han comenzado a migrar aplicaciones y servicios a la nube.
El estudio de Zscaler evidencia que, en un contexto de rápida transformación digital, los responsables de TI creen que la confianza cero -construida sobre el principio de que ningún usuario, dispositivo o aplicación debe ser intrínsecamente de confianza- es el marco ideal para proteger a los usuarios de la empresa, las cargas de trabajo y los entornos IoT/OT en un mundo muy distribuido centrado en la nube y la movilidad. Si se aborda desde una perspectiva integral de TI, la confianza cero tiene el potencial de desbloquear las oportunidades de negocio en todo el proceso de digitalización, desde promover el aumento de la innovación hasta respaldar un mejor compromiso de los empleados, o proporcionar eficiencias de costes tangibles.
Principales preocupaciones sobre la nube
Los responsables de TI identificaron la seguridad, el acceso y la complejidad como sus principales preocupaciones sobre la nube, generando un claro argumento a favor de la confianza cero para superar todos estos obstáculos. Cuando se les preguntó por las infraestructuras de red y seguridad heredadas, el 54 % (55 % en España) manifestó que creía que las redes privadas virtuales (VPN) o los firewalls basados en el perímetro eran ineficaces para proteger contra los ciberataques o proporcionaban poca visibilidad del tráfico de aplicaciones y los ataques. Esto refuerza los resultados de que el 68% (63 % en España) está de acuerdo en que la transformación segura de la nube es imposible con una infraestructura de seguridad de red heredada o que la ZTNA tiene claras ventajas sobre los cortafuegos tradicionales y las VPN para el acceso remoto seguro a las aplicaciones críticas.
Falta de confianza en la nube
Mientras se avanza hacia la confianza cero, Zscaler ha encontrado que, a nivel mundial, sólo el 22 % de las organizaciones están totalmente convencidas de que están beneficiándose de todo el potencial de su infraestructura en la nube, por lo que, si bien las organizaciones han dado unos pasos iniciales sólidos en su viaje al cloud, existe una oportunidad enorme para aprovechar las ventajas de la nube.
A nivel regional, los resultados son diferentes, ya que el 42 % de las organizaciones de América se sienten totalmente confiadas en el uso de su infraestructura en la nube, en comparación con el 14 % de las organizaciones de EMEA y el 24 % de APAC. Mientras que la India (55 %) y Brasil (51 %) lideran a nivel de país, seguidos de EE.UU. (41 %) y México (36 %), los europeos y asiáticos se muestran menos confiados. Suecia (21 %) y el Reino Unido (19 %) lideran en Europa, seguidos de Australia (17 %), Japón (17 %) y Singapur (16 %). El resto de los países europeos van a la zaga: Países Bajos con un 14 %, Italia con el 12 %, Francia y España con el 11 % y Alemania con el 9 %. La diferencia entre el país en cabeza, que multiplica hasta por seis el nivel de confianza en la nube según la región, y el más rezagado, supone una oportunidad para la capacitación y el desarrollo de habilidades.
Aunque a primera vista puede parecer que la seguridad es un obstáculo para aprovechar todo el potencial de la nube, las motivaciones detrás de la migración al cloud sugieren una barrera más importante en la forma en que los líderes de TI ven la nube. Los responsables de TI citaron su preocupación por la privacidad de los datos, los retos de la seguridad de los datos en la nube y los retos de la ampliación de la seguridad de la red como los principales obstáculos para aprovechar todo el potencial de la nube. Sin embargo, cuando se les preguntó por los principales factores que impulsan las iniciativas de transformación digital en sus organizaciones, los tres principales globalmente fueron la reducción de costes, la gestión de la ciberseguridad y la posibilidad de facilitar tecnologías emergentes como el 5G y el Edge Computing, mientras que en España junto a las dos primeras se encuentra la optimización de los procesos de negocio. Todo ello apunta a que aún existe una clara falta de comprensión sobre cómo aprovechar plenamente sus ventajas.
Cómo afrontar el mix híbrido con Zero Trust
Los directivos de TI entrevistados en el estudio de Zscaler prevén que en los próximos 12 meses, la plantilla de sus organizaciones seguirá aprovechando al máximo las diferentes opciones de estilo de trabajo disponibles, divididas entre personal de oficina a tiempo completo (38 % mundial frente al 40 % en España), totalmente remoto (35 % mundial y 31 % en España) e híbrido (27 % mundial y 26 % en España). Sin embargo, también se encontró que las organizaciones pueden estar todavía no preparadas para hacer frente a la siempre cambiante variedad de requisitos del trabajo híbrido.
De forma global, solo el 19 % (26 % en España) indicó que ya cuenta con una infraestructura híbrida basada en zero trust para el trabajo híbrido, lo que indica que las organizaciones se encuentran poco preparadas para gestionar la seguridad de este entorno de trabajo altamente distribuido de forma generalizada. Junto a los que ya han actualizado su infraestructura, otro 50 % (46 % en España) está en proceso de implementar o está planeando una estrategia híbrida basada en la confianza cero.
La experiencia de usuario de los empleados se mencionó como el principal motivo para poner en marcha una infraestructura de trabajo híbrida basada en la confianza cero. Aproximadamente la mitad (52 % mundial y 45 % en España) está de acuerdo en que la implementación ayudaría a abordar los problemas de acceso a las aplicaciones y los datos en local y en la nube, el 46 % (frente al 48 % en España) dijo que solucionaría la pérdida de productividad debida a los problemas de acceso a la red, y el 39 % (35 % en España) dijo que el uso de la confianza cero permitiría a los empleados acceder a las aplicaciones y los datos desde sus dispositivos personales. Estas opiniones reflejan un problema más amplio, más allá de la seguridad, que presenta el trabajo híbrido en relación con el acceso, la experiencia y el rendimiento, y el papel que desempeña la confianza cero como respuesta.
El potencial del modelo del zero trust como herramienta facilitadora para el negocio
En consonancia con las motivaciones detrás de la migración a la nube, Zscaler encontró que falta centrarse en resultados estratégicos más amplios en la forma en que las organizaciones están planificando las iniciativas de tecnología emergente. Cuando se les preguntó por el elemento más problemático a la hora de implementar proyectos de tecnología emergente, el 30 % (35 % en España) citó disponer de la seguridad adecuada, seguida de la necesidad de más presupuesto para una mayor digitalización (23 % frente al 17 % en España). Sin embargo, sólo el 19 % (15 % en España) citó la dependencia de las decisiones empresariales estratégicas como un reto.
Aunque la preocupación por los presupuestos es algo normal, el hecho de poner el foco en la seguridad de la red mientras se ignora la alineación estratégica con el negocio, sugiere que las organizaciones se han centrado en la seguridad sin comprender del todo cuál es su beneficio para el negocio, y que la confianza cero en sí misma todavía no se entiende como un elemento facilitador del negocio.
"La presencia de la confianza cero en las organizaciones hoy en día es esperanzador: las tasas de implementación son cada vez mayores", dijo Nathan Howe, vicepresidente de tecnología emergente, 5G en Zscaler. "Pero las organizaciones podrían ser mucho más ambiciosas. Hay una oportunidad increíble para que los directores de TI eduquen a los decisores empresariales sobre la confianza cero como un activador de negocios de alto valor, especialmente cuando se enfrentan a suministrar un nuevo tipo de trabajo híbrido o entorno de producción y dependen de una serie de tecnologías emergentes, como IoT y OT, 5G e incluso el metaverso. Una plataforma de confianza cero tiene el poder de rediseñar los requisitos de la infraestructura empresarial y organizativa: para convertirse en un verdadero impulsor del negocio que no solo permite el modelo de trabajo híbrido que los empleados están demandando, sino que permite a las organizaciones digitalizarse por completo, beneficiándose de la agilidad, la eficiencia y la infraestructura a prueba de futuro".
Zscaler hace cuatro sugerencias clave para que las organizaciones saquen provecho de la confianza cero:
1. No todas las ofertas de confianza cero son iguales: Es importante implementar una verdadera arquitectura de confianza cero construida sobre el principio de que ningún usuario o aplicación es de confianza por naturaleza. Comienza con la validación de la identidad del usuario combinada con la aplicación de políticas empresariales basadas en datos contextuales para proporcionar a los usuarios, dispositivos y cargas de trabajo acceso directo a las aplicaciones y recursos, nunca a la red corporativa. Esto elimina la superficie de ataque para que las amenazas no puedan acceder a la red corporativa y moverse lateralmente, mejorando así la postura de seguridad.
2. Zero Trust como habilitador de la transformación y los resultados empresariales: Con sus mayores niveles de seguridad, visibilidad y control, aprovechar la arquitectura integral basada en la confianza cero para eliminar la complejidad de las operaciones de TI y permitir que las organizaciones se centren en obtener mejores resultados empresariales como parte de sus iniciativas de transformación digital y seguir siendo competitivas.
3. Zero Trust en el Consejo de Administración: Para alinearse con las estrategias de negocio de las organizaciones, los CIO y los CISO pueden aprovechar las conclusiones de este estudio para ayudar a disipar el miedo, la incertidumbre y las dudas en torno a lo que significa la confianza cero y promover todo su impacto empresarial ante los principales responsables de la toma de decisiones de la empresa.
4. Infraestructuras de confianza cero como base para el futuro: Las tecnologías emergentes deben considerarse como una ventaja empresarial muy competitiva, y la confianza cero permitirá satisfacer los requisitos de conectividad segura y eficaz de las nuevas tendencias.