¿En qué consiste el texto cifrado?
El texto cifrado se refiere a los datos cifrados e ilegibles. La única forma de leer los datos cifrados es descifrándolos utilizando una clave de cifrado. Dado que el texto cifrado no se puede leer sin...
El gobierno federal de los Estados Unidos se ha comprometido a implementar la seguridad cibernética de confianza cero en todas las agencias gubernamentales. En 2021, la Casa Blanca emitió la Orden ejecutiva (EO) 14028, que exige a las agencias federales adoptar arquitecturas de red de confianza cero. Unos meses más tarde, la Agencia de Ciberseguridad y Seguridad de las Infraestructuras (CISA) presentó un borrador del modelo de madurez de confianza cero. A principios de 2022, la Oficina de Gestión y Presupuesto (OMB) publicó el memorando M-22-09, que exige a las agencias cumplir con los estándares y objetivos específicos de confianza cero antes de que finalice el año fiscal 2024. Más adelante ese año, el Departamento de Defensa (DoD) publicó su propia estrategia y hoja de ruta de confianza cero.
Es mucho movimiento en un corto período de tiempo, especialmente si se tiene en cuenta que los engranajes del gobierno suelen girar muy lentamente. No obstante, a pesar de toda esta presión por parte de sus superiores, los responsables de la toma de decisiones de las agencias gubernamentales siguen mostrándose reticentes a la hora de adoptar la tecnología basada en la nube que les permitiría alcanzar los objetivos de confianza cero: las soluciones de software como servicio (SaaS). Abundan muchos conceptos erróneos sobre la tecnología subyacente; en particular, el mito persistente de que «SaaS» significa que los datos de los usuarios se almacenan en la nube, al alcance de los cibercriminales.
En esta publicación, se explicará lo que realmente significa SaaS y se disiparán estos temores.
SaaS es un método de distribución de software en el que un proveedor externo aloja y mantiene los servidores, las bases de datos y el código que componen una aplicación. Los clientes acceden a las aplicaciones de SaaS a través de Internet generalmente mediante un navegador web. Algunas aplicaciones de SaaS también ofrecen aplicaciones de escritorio, aplicaciones móviles y extensiones de navegador.
Casi todo el mundo utiliza productos de SaaS a diario, sin siquiera darse cuenta. Algunos ejemplos de productos de SaaS son Gmail, Salesforce e incluso aplicaciones de redes sociales como Instagram.
No. SaaS no es sinónimo de computación en la nube.
El término general «computación en la nube» se refiere a cualquier solución alojada de forma remota y distribuida a los clientes a través de Internet. Todo lo que significa «SaaS» es que una aplicación está alojada y se distribuye en la nube. Sin embargo, eso no significa que la aplicación no tenga componentes locales, ni que sus datos se lancen al ciberespacio, al alcance de cualquiera.
Las plataformas de SaaS a menudo tienen componentes locales y basados en la nube. Más importante aún, si el proveedor de SaaS utiliza una arquitectura de seguridad de conocimiento cero, sus datos nunca se almacenan «a la vista de todos» en la nube. Se almacenan de forma local en su dispositivo; ni siquiera el proveedor de SaaS puede acceder a ellos, y mucho menos cualquier otra persona.
La confianza cero es un modelo de seguridad moderno que evita el acceso no autorizado a los datos y los servicios al hacer que los usuarios demuestren que son quienes dicen ser antes de permitirles acceder a una red. Además, incluso una vez que un usuario se autentica en una red, solo se le otorga acceso a los sistemas y los datos que necesita para realizar su trabajo, nada más.
La confianza cero ofrece a los administradores de TI una visibilidad completa de todos los usuarios, sistemas y dispositivos. Permite a las personas, las aplicaciones y los servicios comunicarse de forma segura, incluso en distintos entornos de red. No importa si los usuarios se conectan desde su casa, desde un hotel, desde cafeterías o desde aeropuertos, o incluso si utilizan sus propios dispositivos. Los administradores pueden ver exactamente quién se conecta a la red, desde dónde y a qué acceden, y los usuarios no pueden acceder hasta que se autentican por completo.
El término conocimiento cero se refiere a una arquitectura de seguridad que no encaja en el modelo tradicional de lo que muchos consideran «computación en la nube» en la que los datos solo se encuentran en la nube. En su lugar, garantiza los más altos niveles de seguridad y privacidad de los datos al adherirse a los siguientes principios:
Si la sección anterior ha hecho que le duela la cabeza, no se preocupe. El concepto del conocimiento cero es complicado, incluso para quienes están versados en tecnología. Nada mejor que una metáfora para explicar lo que significa el conocimiento cero en un lenguaje sencillo:
Imagine una caja mágica con una llave mágica. Cuando coloca algo dentro de la caja y la cierra con esa llave, el contenido se convierte en polvo. Solo la llave mágica puede volver a recomponer el contenido, por lo que incluso si alguien consigue abrir la caja por la fuerza, lo único que encontraría sería polvo.
Así es como funciona un proveedor de SaaS de conocimiento cero:
En este caso, la «caja mágica» contiene sus datos cifrados (que son tan útiles como el polvo) y la llave mágica es su clave de descifrado, a la que solo usted tiene acceso, porque está almacenada en su dispositivo, no en la nube.
Además, esta llave mágica no está en ningún lugar del que pueda ser robada. Se obtiene a partir de su contraseña, por lo que ni siquiera existe hasta que introduce su contraseña y un segundo factor de autenticación, como una llave de hardware o una tarjeta de acceso común (CAC). Una vez que cierra sesión o esta expira, la clave desaparece hasta que vuelva a autenticarse.
Las soluciones SaaS de conocimiento cero permiten a las organizaciones disfrutar de todas las ventajas de la computación en la nube, así como de los más altos niveles de seguridad, privacidad y control total sobre sus datos. Estas ventajas incluyen:
Costos más bajos: las plataformas de SaaS más robustas se integran prácticamente en cualquier pila tecnológica, sin necesidad de software ni hardware adicionales. El proveedor de SaaS se ocupa de todos los mantenimientos y actualizaciones.
Integración sencilla con los sistemas de identificación centralizados: la estrategia de confianza cero del gobierno federal, tal como se describe en el documento EO 14028 y el memorando M-22-0-9 de la OMB, hace hincapié en los controles de identificación y acceso empresariales seguros, incluida la autenticación multifactor (MFA). Las plataformas de SaaS de conocimiento cero se integran más fácilmente con los sistemas modernos de gestión de la identidad que las soluciones locales tradicionales.
Seguridad mejorada: el documento EO 14028 exige que todos los datos se cifren durante el tránsito, un requisito que las soluciones de conocimiento cero ofrecen desde el primer momento.
Instalación e implementación rápidas: sin hardware que configurar y sin necesidad de descargar software en el equipo de cada usuario de forma individual, las soluciones de SaaS son mucho más fáciles de instalar y configurar que las soluciones locales.
Escalabilidad y flexibilidad: los productos de SaaS pueden adaptarse a cualquier tamaño de organización y, como se venden por suscripción, los clientes pueden ajustar fácilmente sus licencias a medida que cambian las necesidades empresariales.
No hay ninguna razón que justifique la reticencia de los responsables de la toma de decisiones gubernamentales respecto a los productos de SaaS, siempre y cuando elijan una solución de conocimiento cero y, por supuesto, esté autorizada por el Programa de Administración de Autorizaciones y Riesgos Federales (FedRAMP). Las soluciones de SaaS de conocimiento cero autorizadas por el FedRAMP, ofrecen una mejor seguridad a un costo menor que el software local tradicional, al tiempo que permiten a las agencias federales mejorar los servicios que ofrecen a los ciudadanos estadounidenses comunes y hacerlo de forma más eficiente.