Zero Trust | Qué deben saber los directivos
¿Cuál es el verdadero significado de «Zero Trust»?
Inventado en 2010 por Forrester Research, Zero Trust (confianza cero) es un modelo de ciberseguridad que pueden utilizar las empresas para eliminar las interacciones entre usuarios, máquinas y datos que son de riesgo pero se consideran fiables de forma implícita. El modelo Zero Trust (confianza cero) ofrece un proceso para que las organizaciones se protejan de las amenazas procedentes de cualquier vector, tanto si se originan en el otro extremo del mundo como en la oficina contigua. Los tres principios fundamentales que había que seguir para aprovechar las ventajas de este modelo eran:
- Garantizar que se puede acceder a todos los recursos de forma segura, independientemente de la ubicación.
- Adoptar una estrategia de privilegios mínimos y aplicar un control de acceso estricto.
- Inspeccionar y registrar todo el tráfico.
Tras 11 años, estas ideas y principios han madurado ante el crecimiento de la transformación digital, la adopción del teletrabajo y el uso de dispositivos personales para trabajar. A raíz de que el Gobierno Federal de EE. UU. exigiera la arquitectura Zero Trust, se han desarrollado una serie de principios nuevos, establecidos en la publicación especial 800-207 del NIST (Instituto Nacional de Estándares y Tecnología estadounidense), cuya información se amplía en el proyecto «Zero Trust Architecture» del NCCoE(Centro Nacional de Excelencia en Ciberseguridad de EE. UU.). Esos principios son los siguientes:
- Cambiar la segmentación de la red por la protección de los recursos (activos, servicios, flujos de trabajo y cuentas de red).
- Integrar la autenticación y autorización (tanto del sujeto/usuario como del dispositivo) como funciones discretas que se ejecuten en cada sesión, utilizando un sistema de autenticación sólido.
- Garantizar la supervisión continua.
¿Por qué es importante para la ciberseguridad?
La transición al modelo Zero Trust (confianza cero) ha sido uno de los cambios más significativos en la forma en que las empresas abordan la seguridad. Antes de adoptar una mentalidad basada en este modelo, la mayoría de las empresas intentaban gestionar la seguridad mediante una especie de zona de contención: una vez que una transacción se validaba en esta zona de contención, pasaba a considerarse fiable.
Esta estrategia supone un problema, porque los vectores de amenazas no siempre se originan fuera de esa zona. Además, en todo el mundo se sigue apostando por la transformación digital y las plantillas híbridas, lo que rompe con la idea de que los recursos solo se encuentran en una zona delimitada. Los métodos Zero Trust (confianza cero) requieren la validación continua de cada elemento de cada interacción —independientemente de dónde se produzca—, lo que incluye a todos los usuarios, máquinas, aplicaciones y datos. No existe ninguna zona de confianza implícita.
¿Qué se está diciendo del modelo Zero Trust?
Hoy en día, muchos proveedores mercantilizan el concepto Zero Trust (confianza cero), denominando a sus productos como «soluciones Zero Trust» o «de confianza cero», en lugar de reconocer que Zero Trust es un modelo y un marco estratégico, y no un producto propiamente dicho. En el mercado de la ciberseguridad, los proveedores intentan hacer ver que su producto es la panacea del Zero Trust.
Sin embargo, si nos fijamos bien, vemos que, normalmente, esos proveedores solo abordan uno de los principios de este modelo; por ejemplo, creando servicios de tunelización entre usuarios y aplicaciones. Esto se correspondería con el segundo principio original (adoptar una estrategia de privilegios mínimos y aplicar un control de acceso estricto), pero ese mismo proveedor podría estarse saltando el primer principio: garantizar que se pueda acceder a todos los recursos de forma segura, independientemente de la ubicación. Cuando confían implícitamente en que el usuario no es un vector de amenazas, no buscan malware o exploits dentro del túnel.
Otros se limitan a cubrir algunos de los aspectos del primer principio original, como tratar de solicitar la identidad, y las comprobaciones de autorización son la esencia del modelo Zero Trust (confianza cero). Los proveedores también pueden plantear que solo es necesario analizar el tráfico basado en la web. Sin embargo, cuando solo aplican el modelo parcialmente, las empresas corren el riesgo de generar una confianza implícita que las expone a unas vulnerabilidades que, de haberlo aplicado íntegramente, estarían cubiertas por los otros principios.
Nuestro consejo: ¿qué deben tener en cuenta los directivos para adoptar el modelo Zero Trust?
Lo primero es replantearse el modo de proteger las empresas, pasando de una estrategia basada en compartimentos estancos a otra en la que se validen continuamente todas las interacciones. Para facilitar el cambio, le recomendamos hacer lo siguiente:
- Defina los recursos que necesita proteger su empresa, dónde se encuentran y qué interacciones deben producirse entre ellos o a través de ellos.
- Recuerde que todas las interacciones que creen los usuarios, las aplicaciones, la infraestructura y los dispositivos deben estar cubiertas.
- Tenga en cuenta que las interacciones engloban identidades, accesos, dispositivos, cargas de trabajo y transacciones.
A continuación, diseñe un plan para aplicar los cambios, priorizando los usuarios, activos e interacciones más cruciales de su empresa. Esas son las joyas de la corona en su empresa, así como todo aquello que guarde relación con las finanzas o la propiedad intelectual. Con el tiempo, vaya ampliando el marco de actuación para incluir todas las interacciones. El plan debe contemplar cómo los usuarios, las aplicaciones y la infraestructura pasan por cada una de las cuatro partes de una interacción al solicitar un recurso.
El último paso de esta transformación es una tarea recurrente: el mantenimiento y la supervisión.
- Aplique la supervisión continua para dar cuenta de todo lo que ocurre, en lugar de realizar comprobaciones intermitentes.
- Busque fórmulas para mejorar el modelo actual a medida que las normas vayan evolucionando y cubran cada vez más interacciones.
Preguntas que debe plantear a su equipo para adoptar el modelo Zero Trust con éxito
- uáles son los conjuntos de datos, las aplicaciones y las funciones cruciales para nuestros sistemas?
- ¿Cómo podemos proteger cada una de las cuatro partes de todas las interacciones que se realicen con estos recursos, independientemente de quién o qué los solicite?
- ¿Cómo podemos proteger cada una de las cuatro partes de todas las interacciones que se realicen con estos recursos, independientemente de quién o qué los solicite?
- ¿Cuál es la estrategia para seleccionar a proveedores que nos ayuden a alcanzar nuestros objetivos en materia de Zero Trust (confianza cero), y qué cosas tendremos que hacer que no ofrezcan sus productos?
- ¿Cuál es la estrategia para pasar de cubrir un único recurso a cubrirlos todos, y qué tipo de escalabilidad necesitaremos para ello en términos de productos y de personal