MobileIron tiene claro que la seguridad pasa por el enfoque Zero Trust. Durante una rueda de prensa Daniel Madero, su director general, explicó en qué consiste esta estrategia. Tal y como expuso, el nacimiento de la compañía vino porque los fundadores vieron que los móviles se iban a convertir en un elemento más de los entornos de trabajo. «Ahora mismo, tenemos más de 17.000 empresas como clientes en todo el mundo, sumamos más de 11 millones de dispositivos gestionados por MobileIron y, a diferencia de otros proveedores no nos cerramos a ningún sistema operativo».
Cloud Computing ha sido el factor determinante en el cambio de la estrategia que se ha producido en el ámbito de la ciberseguridad. Hasta la aparición de la nube las aplicaciones se encontraban dentro del perímetro de la red corporativa y eso ya no existe: el perímetro se ha abierto. Asi que se trata de dar seguridad a lo que hay fuera del perímetro. Eso es la estrategia Zero Trust.
Zero Trust es un concepto de seguridad basado en la creencia de que la organización no debe confiar en nada, ni dentro ni fuera de sus perímetros, lo que conlleva la actitud de “nunca confíes, verifica siempre”. En la actualidad no es posible confiar en los sistemas tradicionales de seguridad como los cortafuegos, redes y gateway, simplemente porque el tráfico ya no tiene lugar dentro del perímetro. La mejor solución “Zero Trust” verifica un amplio abanico de señales, como el dipositivo, la aplicación y el usuario, además de comprobar el status de la red e identificar las amenazas como paso previo a la concesión de acceso a las aplicaciones y a los datos corporativos.
Con Zero Trust hay que verificar de forma continua que todo está OK, porque ya no tienes el control de la red
Tal y como aseguró Madero, «con Zero Trust hay que verificar de forma continua que todo está OK, porque ya no tienes el control de la red. Todo esto significa que ya no puedes confiar en accesos a través de contraseñas. Lo que hay que verificar es el dispositivo. Se trata de gestionar el dispositivo porque un móvil es otra entrada a los datos de la empresa».
Para poner en marcha un modelo Zero Trust, las empresas deben seguir los siguientes pasos:
– Provisionar: El primer paso para la correcta implementación de un modelo Zero Trust es asegurar que el usuario tenga un dispositivo con las aplicaciones adecuadas, perfiles y políticas. Para construir una base que asegure su correcto funcionamiento, es necesario inscribir el dispositivo en una solución de gestión del dispositivo (UEM), para que los técnicos de la empresa puedan proteger tanto los datos corporativos que alberga el dispositivo como reforzar las políticas de acceso.
– Otorgar acceso: Los requerimientos de acceso deben poner todo en contexto, asegurando que verifican al usuario, la posición del dispositivo, si la aplicación está autorizada y el tipo de red, además de comprobar las amenazas y otros indicadores. Este chequeo de control de acceso adaptado es la base para el modelo “Zero Trust”.
– Hacer cumplir: Las estrictas políticas de seguridad deben vigilar el cumplimiento con una monitorización continua que asegure que cualquier cambio en las señales disparará las políticas adaptativas para mitigar las amenazas, dispositivos en cuarentena y mantener el cumplimiento.
– Proteger: Desplegar el software adecuado de seguridad para mitigar y remediar las amenazas cuando tienen lugar.
El fin último del modelo sin perímetro / “Zero Trust” es proteger los datos en un entorno en el que la información fragmentada crece sin parar. Con la tendencia actual de trabajar en la nube y en los dispositivos móviles, es esencial que las empresas utilicen un marco de seguridad enfocado en la movilidad. Implementar un modelo “Zero Trust” enfocado íntegramente desde la movilidad no solo otorga el nivel adecuado de seguridad sobre todos los puntos de acceso, sino que ofrece además la experiencia de usuario más fluida sin que afecte a la productividad del empleado.
