Por qué los bancos están adoptando un enfoque moderno en relación con la ciberseguridad: el modelo de Confianza cero

Actualmente, muchos bancos siguen partiendo de un enfoque de “castillo y foso” (también conocido como “seguridad perimetral”) para proteger sus datos de ataques malintencionados. Al igual que los castillos medievales protegidos por muros de piedra, fosos y compuertas, los bancos que usan la seguridad perimetral invierten cantidades considerables para fortalecer sus perímetros de red con firewalls, servidores proxy, honeypots y otras herramientas de prevención de intrusiones. La seguridad perimetral resguarda la entrada y los puntos de salida de la red comprobando los paquetes de datos y la identidad de los usuarios que entran y salen de la red de organización, y luego asume que la actividad dentro del perímetro reforzado es relativamente segura.

Las entidades financieras más conocedoras ya están superando este paradigma y empleando un enfoque moderno de ciberseguridad: el modelo de Confianza cero. El principio fundamental de un modelo de Confianza cero es no confiar en nadie (interna o externamente) por omisión y exigir una verificación estricta de cada persona o dispositivo antes de concederle acceso.

Los perímetros del castillo siguen siendo importantes, pero en lugar de simplemente invertir más y más dinero en muros más sólidos y fosos más amplios, un modelo de Confianza cero adopta un enfoque más matizado de administrar el acceso a las identidades, los datos y los dispositivos dentro del proverbial castillo. Por ello, ya sea que una persona con información privilegiada actúe de forma malintencionada o negligente, o que los atacantes encubiertos logren traspasar las paredes del castillo, el acceso automático a los datos no es un hecho.

Limitaciones de un enfoque de castillo y foso

Cuando se trata de salvaguardar la propiedad digital de una empresa actual, el enfoque de castillo y foso tiene limitaciones importantes porque la aparición de las ciberamenazas cambió el significado de defender y proteger. Las grandes organizaciones, como los bancos, lidian con redes dispersas de datos y aplicaciones a las que tienen acceso los empleados, los clientes y los socios in situ u online. Esto hace que proteger los perímetros del castillo sea mucho más difícil. E incluso si el foso es eficaz para mantener a los enemigos fuera, no ayuda mucho a los usuarios con identidades en peligro u otras amenazas internas que acechan dentro de los muros del castillo.

Las siguientes prácticas son todas fuentes de exposición y son comunes en los bancos que se basan en un enfoque de seguridad de castillo y foso:

  • Una sola revisión anual de los derechos de acceso del personal a las aplicaciones.
  • Directivas de derechos de acceso ambiguas e incoherentes a discreción del director, y una gobernanza deficiente cuando hay traslados de personal.
  • Uso excesivo de cuentas con privilegios administrativos por parte de TI.
  • Datos del cliente almacenados en varios recursos compartidos de archivos y poca idea de quién tiene acceso a estos.
  • Dependencia excesiva de las contraseñas para autenticar a los usuarios.
  • Falta de clasificación de datos e informes para comprender dónde están los datos.
  • Uso frecuente de unidades flash USB para transferir archivos que incluyen datos altamente confidenciales.

Cómo ayuda el modelo de Confianza cero a los bancos y a los clientes

Las ventajas de un enfoque de Confianza cero se han documentado muy bien y un número cada vez mayor de ejemplos del mundo real muestra que este enfoque habría podido evitar ciberataques sofisticados. Sin embargo, muchos bancos siguen ateniéndose a prácticas que divergen de los principios de Confianza cero.

Adoptar un modelo de Confianza cero puede ayudar a los bancos a fortalecer su posición de seguridad, para que puedan apoyar de forma segura las iniciativas que les dan a sus empleados y clientes una mayor flexibilidad. Por ejemplo, a los ejecutivos bancarios les gustaría liberar a sus empleados orientados al cliente (como los directores de relaciones y los asesores financieros) de sus escritorios y reunirse con los clientes fuera de las instalaciones del banco. Hoy, muchas entidades financieras apoyan esta agilidad geográfica con herramientas análogas como copias impresas en papel o vistas estáticas de su abogado. Sin embargo, tanto los empleados como los clientes del banco esperan una experiencia más dinámica con datos en tiempo real.

Los bancos que adoptan un enfoque de seguridad de castillo y foso son renuentes a dispersar datos fuera de la red física. Por lo tanto, sus banqueros y asesores financieros solo pueden aprovechar los modelos dinámicos de las estrategias de inversión probados y disciplinados si las reuniones con sus clientes se llevan a cabo en las instalaciones del banco.

Históricamente, ha sido complejo para los banqueros o asesores financieros que están fuera compartir actualizaciones del modelo en tiempo real o colaborar de manera activa con otros banqueros o comerciantes, al menos no sin una VPN. Con todo, esta agilidad es un motor importante de decisiones de inversión sensatas y satisfacción del cliente. Un modelo de Confianza cero permite que un director de relaciones o un analista aprovechen información de los proveedores de datos del mercado, los sinteticen con sus propios modelos y trabajen de forma dinámica en diferentes escenarios de clientes a toda hora y en todo lugar.

La buena noticia es que estamos en una nueva era de seguridad inteligente (con tecnología de la nube y arquitectura de Confianza cero) que puede simplificar y modernizar la seguridad y el cumplimiento para los bancos.

Microsoft 365 ayuda a transformar la seguridad bancaria

Con Microsoft 365, los bancos pueden adoptar medidas inmediatas hacia un modelo de seguridad de Confianza cero implementando tres estrategias clave:

  • Identidad y autenticación: ante todo, los bancos necesitan garantizar que los usuarios sean quienes dicen que son y darles acceso según sus roles. Con Azure Active Directory (Azure AD), los bancos pueden usar el inicio de sesión único (SSO) para permitir que los usuarios autenticados se conecten a las aplicaciones desde cualquier lugar, lo cual permite que los empleados móviles tengan acceso a los recursos de forma segura sin poner en peligro su productividad.

Los bancos también pueden implementar métodos de autenticación sólida como la autenticación multifactor (MFA) en dos fases o sin contraseña, que puede reducir el riesgo de una vulneración en un 99.9 por ciento. Microsoft Authenticator es compatible con las notificaciones de inserción, los códigos de acceso de un solo uso y la biometría para cualquier aplicación conectada de Azure AD.

Para los dispositivos de Windows, los empleados bancarios pueden usar Windows Hello, una característica de reconocimiento facial segura y práctica para iniciar sesión en los dispositivos. Por último, los bancos pueden usar el acceso condicional de Azure AD para proteger recursos de solicitudes sospechosas aplicando las directivas de acceso adecuadas. Microsoft Intune y Azure AD trabajan en conjunto para ayudar a garantizar que solo los dispositivos administrados y compatibles pueden tener acceso a los servicios de Office 365, como el correo y las aplicaciones locales. A través de Intune, también puedes evaluar el estado de cumplimiento de los dispositivos. La directiva de acceso condicional se aplica en función del estado de cumplimiento del dispositivo en el momento en que el usuario intenta obtener acceso a los datos.

Infografía que expone el acceso condicional. Señales (ubicación del usuario, dispositivo, riesgo en tiempo real, aplicación), Verificar cada intento de acceso (permitir acceso, requerir MFA o bloquear el acceso), y aplicaciones y datos.

Ilustración sobre acceso condicional.

  • Protección contra amenazas: con Microsoft 365, los bancos también pueden reforzar su capacidad para proteger, detectar y responder a los ataques con la seguridad integrada y automatizada de la Protección contra amenazas de Microsoft. Utiliza una de las señales de amenaza más grandes del mundo disponible en Microsoft Intelligent Security Graph, así como automatización avanzada con tecnología de la inteligencia artificial (IA) para mejorar la identificación de incidentes y respuesta ante estos, lo cual permite que los equipos de seguridad resuelvan las amenazas con exactitud, eficiencia y prontitud. El Centro de seguridad de Microsoft 365 proporciona un hub centralizado y un área de trabajo especializada para administrar y aprovechar al máximo las soluciones de seguridad inteligente de Microsoft 365 para la administración de acceso e identidades, la protección contra amenazas, la protección de información y la administración de seguridad.

Captura de pantalla que muestra el panel del Centro de seguridad de Microsoft 365.

El Centro de seguridad de Microsoft 365.

  • Protección de la información: si bien la identidad y los dispositivos son los vectores principales de la vulnerabilidad para los ciberataques, lo que los ciberdelincuentes quieren en última instancia es la información. Con Microsoft Information Protection, los bancos pueden mejorar la protección de su información confidencial, dondequiera que viva o viaje. Microsoft 365 permite a los clientes 1) identificar y clasificar sus datos confidenciales, 2) aplicar directivas de protección flexibles y 3) supervisar y corregir los datos confidenciales en riesgo.

Captura de pantalla que muestra cómo Microsoft Azure Information Protection requiere una justificación para un correo clasificado.

Ejemplo de un escenario de clasificación y protección.

Simplificar la administración de seguridad con Confianza cero

Microsoft 365 ayuda a simplificar la administración de seguridad en una arquitectura moderna de Confianza cero, aprovechando la visibilidad, la escala y la inteligencia que se necesitan para combatir el ciberdelito.

Cuando consideres cómo proteger tu “castillo” moderno, un entorno de Confianza cero es óptimo para las amenazas de ciberseguridad modernas. Un entorno de Confianza cero requiere una supervisión actualizada de quiénes tienen acceso a qué, dónde y cuándo, así como si realmente debieran tener acceso.

Las capacidades de seguridad y cumplimiento de Microsoft 365 ayudan a las organizaciones a verificar antes de confiar en un usuario o dispositivo. Microsoft 365 también ofrece una solución completa de trabajo en equipo y productividad. En conjunto, Microsoft 365 ofrece una solución completa para ayudar a los ejecutivos bancarios a centrarse en los clientes y la innovación.

Ten en cuenta que el contenido incluido en estas publicaciones de blog describe características y funcionalidades que pueden variar según el mercado. Para conocer todos los detalles de las ofertas de un producto específico en tu mercado, visita Microsoft 365, Office 365, Windows 10 o Enterprise Mobility + Security.
Es posible que el contenido vinculado en esas publicaciones no esté disponible en tu idioma.