Cualquier empresa u organización, da igual su tamaño, está expuesta cada día a todo tipo de ciberataques. El robo de datos, el malware o el ransomware son ejemplos que, por desgracia, ya no son una excepción.
La proliferación de aplicaciones en la nube (cloud), así como el auge teletrabajo o la creciente multitud y disparidad de objetos conectados, han ampliado la superficie atacable y las zonas vulnerables. Los firewalls, gateways y redes VPN continúan siendo necesarios, pero los puntos de entrada, internos y externos, se han ampliado, situándose fuera de la zona tradicional de control.
Así pues, la ciberseguridad ya no puede basarse en la creación de una red de confianza basada en el corporativismo, simplemente porqué ha dejado de ser eficaz. En este contexto resulta imprescindible un nuevo enfoque de ciberseguridad, un cambio de paradigma.
¿De qué hablamos cuando hablamos de Zero Trust?
Ante las nuevas oportunidades que se han abierto para los cibercriminales, hoy confianza significa vulnerabilidad: confiar de manera ciega en alguien es la mejor manera de abrir una zona sensible a nuevos ataques. Y ahí es donde entra en escena el concepto de Zero Trust Security.
Aunque no es una teoría completamente nueva, hablamos de Zero Trust desde que en 2010 el analista John Kindervag de Forrester Research publicó un estudio en el que apostaba por implementar la “no confianza” por defecto en contraposición al modelo de seguridad perimetral tradicional.
Adiós confianza, bienvenida verificación de identidad
De hecho, no es únicamente asumir que la confianza no existe, ni fuera ni dentro, sino que implica denegar por defecto el acceso a todos, exigiendo una verificación de identidad, que además dará o no unos determinados permisos.
La premisa de Zero Trust Security de eliminar la confianza de la ecuación ha ido ganando terreno con la digitalización y la correspondiente aparición de nuevas amenazas para la arquitectura de seguridad de las redes empresariales.
No es extraño pues el resultado de la encuesta realizada por Cibersecurity Insiders y Pulse Secure a 400 profesionales de la ciberseguridad en 2020: un 72% de las organizaciones planea implementar una estrategia de seguridad Zero Trust próximamente.
Los pasos previos a la implementación de la Zero Trust Security
Una vez una organización ha decidido incorporar a su estrategia de seguridad la filosofía Zero Trust, hay ciertos aspectos a tener en cuenta:
El área de protección
Antes de proteger algo, hay que tener una visión detallada de lo que hay que proteger. Así pues, es necesario un análisis exhaustivo que permita identificar los datos y los dispositivos sensibles. Esto incluye los flujos de trabajo y movimiento de datos, para tener un mapa lo más completo posible.
Los usuarios
Al igual que los datos y dispositivos, hay que tener un reporte actualizado de todos los actores que van a acceder a una red corporativa y a sus datos. Da igual la frecuencia, o si son internos o externos (proveedores): lo importante es tenerlos analizados y segmentados, para su posterior verificación de identidad y asignación de permisos.
Supervisión y automatización
La política de ciberseguridad de una organización no solo debe contemplar la supervisión constante y controles periódicos, sino que, en la medida de lo posible, debe apostar por tecnologías y metodologías de automatización, que faciliten la correcta y rápida aplicación de los protocolos, incluido el de Zero Trust Security.
Los elementos clave de la Zero Trust Security
La implementación de una estrategia de ciberseguridad de confianza cero se basa en cuatro pilares imprescindibles. Y deben contemplar a toda la organización, los empleados, pero también los proveedores y socios comerciales que en algún momento necesiten acceso a la red y a los sistemas.
Verificación de la identidad del usuario
La desconfianza de base implica poner en el centro de la filosofía Zero Trust la autentificación de los usuarios. Y para que esta verificación sea lo más segura posible es importante huir de la simplicidad, siendo imprescindible la implementación de sistemas de autenticación multifactorial para todos los usuarios.
Ya no es suficiente con disponer de múltiples usuarios y contraseñas: estas credenciales deben ser reforzadas con sistemas de verificación de dos o tres pasos e incluso con el uso de seguridad biométricos. Y aunque esta autenticación debe ser aplicada por igual a todo tipo de usuarios, es incluso recomendable aumentar el número de verificaciones para aquellos usuarios con más privilegios y con mayor acceso a información sensible.
Verificación de los dispositivos
Si la correcta y segura identificación de los usuarios es clave, no lo es menos el control de los dispositivos que pueden acceder a la red corporativa. De hecho, tanto personas como equipos son las dos principales puertas de entrada de ciberamenazas, y como consecuencia deben contar con la correspondiente confianza cero.
Así, tras la identificación personal es necesario inscribir el dispositivo desde el que accedemos. Además, es deseable, para que esta verificación continua y periódica sea aún más segura, que incluya la comprobación de que el equipo en cuestión se ajusta a los mínimos de seguridad exigidos, contemplando aspectos como el cifrado del disco duro, la protección contra virus y malware y la actualización de los parches de seguridad, entre otros.
Limitación de los accesos a apps y datos
Una vez los usuarios y los dispositivos han sido verificados y disponen de la autorización de acceso, es importante acotar a qué datos y aplicaciones tienen acceso.
Una política de Zero Trust Security contempla pues una correcta administración de privilegios que debe limitarse a lo mínimo imprescindible. Por ejemplo, un empleado debe tener únicamente acceso a la información y el software necesarios para su trabajo.
De esta manera, si un ciberataque consigue vulnerar la seguridad y entrar en el sistema será como si hubiera abierto únicamente una puerta, pero no todas, comprometiendo muchos menos datos y salvaguardando la integridad del sistema.
Aprendizaje, adaptación y automatización
El control estricto de los tres anteriores aspectos no lleva implícita la rigidez, sino todo lo contrario.
Un sistema de Zero Trust Security debe estar vivo, con un análisis constante que permita no solo detectar vulnerabilidades y posibles mejoras, sino adaptarse a los cambios de la organización.
También es importante, como hemos dicho anteriormente, implementar tecnologías de aprendizaje automático (Machine Learning) con la capacidad de analizar y reconocer comportamientos sospechosos y optimizar el sistema para hacerlo más eficiente e inteligente.
Zero Trust: muchos beneficios, alguna desventaja
Aunque es evidente que las ventajas de una estrategia de Zero Trust Security son muchas, hay que tener claras también las desventajas.
Una mejor administración de la red corporativa, una mayor cobertura de seguridad o la posibilidad de poder seguir utilizando herramientas cloud o de movilidad con más tranquilidad son algunas de las ventajas.
Sin embargo, Zero Trust no equivale a Zero Threats. Evidentemente, es más fácil identificar los riesgos y amenazas potenciales, y el control es mayor, pero la seguridad absoluta no existe. Además, su implementación necesita tiempo (también un proceso de adaptación de los usuarios) y es costosa. Pero es una inversión que, a la larga, sale a cuenta.
