Boletines de Sistemas
21-09-2022
Confianza Digital
Los directores de seguridad de la información deben desempeñar un papel clave a la hora de fomentar la confianza, porque esto se traduce en una mejor captación de clientes, en mayor lealtad de parte de éstos y en más ganancias.
El mundo de hoy es Internet y estar conectados de manera continua. El ritmo de la transformación digital se ha acelerado vertiginosamente, aumentando los medios cómo se conectan las empresas, las personas y las cosas.
Varios estudios muestran que ya existen millones de dispositivos digitales de uso doméstico o corporativo en el país. En el caso de Latinoamérica, la transformación digital sigue avanzando, pues según la consultora IDC, el 50% de las PYMES de la región ya son digitales de alguna manera.
En este marco la confianza digital es imprescindible, y es lo que permite crecer y participar a las empresas en el mundo interconectado en el que se vive ahora. Es lo que permite a todos tener la confianza de que las actividades en línea ya sean interacciones, transacciones o procesos comerciales, son realmente seguros. Con este aumento de la conectividad, la confianza digital ahora debe integrarse en arquitecturas de TI que son en sí mismas más complejas.
En los últimos años especialmente por el período de la pandemia que forzó el teletrabajo, se demostró que la actividad profesional en la nube, así como el trabajo remoto, hizo aumentar la forma y los medios de acceso de comunicación corporativos.
Las arquitecturas de red de confianza cero (Zero Trust Network o ZTN) es un modelo de seguridad utilizado por profesionales de TI que requiere una estricta identidad y verificación del dispositivo, independientemente de la ubicación del usuario en relación con el perímetro de la red. Al limitar qué partes tienen acceso privilegiado a cada segmento de una red, o cada máquina en una organización segura, el número de oportunidades para que un hacker obtenga acceso a contenido seguro se reduce considerablemente. Por lo tanto, el modelo sugiere que no se debe confiar en ningún usuario, ya sea dentro o fuera de la red, de manera predeterminada.
Fundamentos de la confianza digital
Si bien hay varias tecnologías y principios que pueden usarse para hacer cumplir la seguridad de confianza digital, los fundamentos básicos incluyen:
- Confianza cero: No se debe confiar en ningún usuario o dispositivo de forma predeterminada.
- Acceso con privilegios mínimos: Los usuarios deben recibir la cantidad mínima de acceso necesaria.
- Microsegmentación: Los perímetros de seguridad y los componentes de red se dividen en segmentos más pequeños con requisitos de acceso individuales.
- Análisis de gestión de riesgos: Todo el tráfico de red debe registrarse e inspeccionarse para detectar actividades sospechosas.
Los componentes básicos de la confianza digital que derivan de cuatro componentes clave:
Estándares: Los estándares son los que definen la confianza para una determinada tecnología o industria. El CA/Browser Forum, por ejemplo, se organizó en 2005 para reunir a un grupo de autoridades de certificación (CA), proveedores de navegadores de Internet y proveedores de otras aplicaciones que utilizan certificados digitales X.509 v.3 para TLS/SSL, firma de código y S/MIME. En el año 2011 fue publicada una nueva propuesta de “Requisitos básicos para emitir y gestionar los Certificados de confianza pública”. Su principal objetivo es una colaboración mutua y sin problema de todos los navegadores y software de terceros. Desde el año 2012, todas las autoridades certificadoras acreditadas que quieren que su certificado raíz sea de confianza deben cumplir con los requisitos básicos.
Cumplimiento y operaciones: El cumplimiento y las operaciones son el conjunto de actividades que establecen la confianza. El cumplimiento es el conjunto de políticas y auditorías que verifican que las operaciones se realicen de acuerdo con los estándares establecidos por un órgano de gobierno. Las operaciones, con centros de datos en su núcleo, verifican el estado del certificado a través de OCSP u otros protocolos.
Gestión de la confianza: Las empresas confían cada vez más en la gestión del ciclo de vida de los certificados y otros tipos de software para gestionar la confianza. Este software reduce la interrupción del negocio por interrupciones de certificados, reduce la actividad no autorizada al impulsar el cumplimiento de la política de seguridad corporativa y reduce la carga administrativa de administrar los ciclos de vida de los certificados y otras identidades empresariales a través de la automatización de procesos comerciales.
Confianza conectada: Las empresas también necesitan formas de extender la confianza a cadenas de suministro o ecosistemas más complejos. Algunos ejemplos son garantizar la continuidad de la confianza a lo largo del ciclo de vida de un dispositivo, a lo largo de una cadena de suministro de software o en el establecimiento de la procedencia de los derechos digitales en una comunidad de contenido.
Estos cuatro componentes básicos, con PKI como base, brindan el tejido de confianza del que todos dependemos para operar en el mundo digital.
La confianza digital como un imperativo de TI
La importancia estratégica de la confianza digital se extiende más allá de la creación y manejo de certificados digitales. Puede parecer un proceso limitante desde una perspectiva externa. Pero la implementación exitosa de un modelo de confianza digital puede ayudar a brindar contexto y conocimiento sobre una superficie de ataque en rápida evolución al equipo de seguridad y mejorar la experiencia de los usuarios.
La confianza digital es esencial para nuestro futuro conectado. Las empresas que están invirtiendo estratégicamente en la confianza digital se están posicionando ahora como administradores de un mundo seguro y conectado.
Fuentes: https://mercado.com.ar/, computerworld, IDC y otros
Si tiene alguna consulta en relación a esta temática, por favor no dude en contactarse con nosotros.
Departamento de Sistemas
Septiembre 2022
Este boletín informativo ha sido preparado por mgi Jebsen & Co. para información de clientes y amigos. Si bien ha sido confeccionado con el mayor cuidado y celo profesional, mgi Jebsen & Co. no asume responsabilidades por eventuales inexactitudes que este boletín pudiera presentar.