bienvenido a t-cert
Vamos a explicarlo con un ejemplo fácil de entender: para imprimir un documento, un empleado debe estar «en la misma red» que la impresora. La topología de la red crea una relación de confianza implícita. El simple hecho de estar «en la red» implica que el empleado está autorizado a acceder a la impresora. Pero, si en lugar de la impresora, el recurso ahora es una base de datos que contiene información de la tarjeta de crédito del cliente, debemos tener mucho cuidado con quién tiene acceso a la red.
Si en cambio, confiáramos en autenticar primero al empleado para asegurarnos de que es quien dice ser, luego otorgarle acceso autorizado basado en una política corporativa, no necesitaríamos ceder. Esto significa que nuestra base de datos de tarjetas de crédito tiene cierto nivel de protección contra atacantes que se encuentran en la misma red.
El modelo de seguridad empresarial tradicional se basaba en un perímetro «reforzado». Había menos aplicaciones, ejecutándose en unos pocos centros de datos centralizados, completamente bajo el control de la TI empresarial; en aquella época, asegurar la empresa en el perímetro era suficientemente buen nivel de ciberseguridad para la empresa media.
Sin embargo, las aplicaciones empresariales de hoy en día se ejecutan en un entorno cada vez más complejo. Las aplicaciones y los datos se han movido cada vez más más allá del perímetro corporativo tradicional hacia la nube pública, lo que ya hace hincapié en el modelo de perímetro. Además, se le añade una fuerza laboral cada vez más móvil, requisitos crecientes para la colaboración del ecosistema e iniciativas de múltiples nubes. Al mismo tiempo, se digitalizan más operaciones comerciales que antes: las empresas son más susceptibles a las amenazas cibernéticas de lo que solían ser.
Las herramientas probadas y verdaderas del arsenal de TI, es decir, firewalls, VPN y VLAN, tienen ahora más de veinte años. Con estas herramientas, la política se define por topología. Se definieron para admitir redes estáticas, y la gestión de cambios para admitir requisitos complejos y dinámicos, es una lucha.
El acceso desde el punto A al punto B se define mediante la programación de direcciones IP y todos los enrutadores y cortafuegos a lo largo de la ruta. Ya es bastante difícil visualizar que está conectado con que, además deba tratar de administrar el riesgo en función de la interacción de estos componentes administrados por separado.
.jpg){kind=small}