En las organizaciones se solía tener la concepción de que lo más relevante a la hora de implementar seguridad en redes y sistemas de información era el perímetro, y todos los esfuerzos se encaminaban a protegerlo. Pero el tiempo ha ido demostrando que esta medida es incompleta, porque hay una buena cantidad de ataques que se dan desde el interior de la red de las compañías y afectan a la protección de la información y los activos tecnológicos.

Y cuando algo sucede, es necesario poder contestar preguntas como: ¿por qué pasó?, ¿cómo pasó?, ¿dónde pasó? Y ¿a quién le pasó?

Surge entonces el concepto “Zero Trust” (John Kindervag – Forrester) que extiende la “desconfianza” del perímetro externo a la red interna y de esta forma se establece un nuevo paradigma respecto a las “libertades” de las cuales gozaban usuarios, aplicaciones y dispositivos que interactuaban en la red interna.

En la actualidad, este principio toma más relevancia por los procesos de transformación digital en los que se encuentran inmersas muchas compañías y que se apalancan en programas o proyectos con alcances tecnológicos que implican cambios profundos en las operaciones y los procesos de negocio.

La transformación digital trae implícito el reto de la seguridad, en todos los nuevos sistemas de información en sitio, en la nube o híbridos.

De acuerdo con el informe Zero Trust Architecture and Solutions elaborado por Gartner, en 2022 el 80% de los negocios digitales van a tener un ecosistema tecnológico abierto a sus socios, con lo cual habrá un nuevo espectro de usuarios y aplicaciones con acceso a los recursos de TI de las organizaciones. También para 2023 el 60% de las empresas van a tener un amplio acceso remoto vía VPN, con lo cual los perímetros externo e interno incorporarán nuevos retos de seguridad.

Una hoja de ruta

Más allá de las medidas técnicas, indispensables para enfrentar estos retos, muchas veces se olvida que éstas tienen que ir acompañadas de políticas y procesos que las soporten. A continuación, comparto una hoja de ruta para lograrlo:

• Mantener un robusto sistema de control de acceso lógico, desde la definición de quién tiene acceso a qué recursos, con qué tipo de privilegios, cada cuánto se hace una validación de dichos privilegios, cómo es el proceso de aprovisionamiento y des aprovisionamiento, y una monitorización continua de accesos versus acciones.

• Contar con mecanismos de autenticación multifactorial que permitan darle un mayor nivel de fortaleza a la identificación y autenticación de usuarios, en especial para recursos de TI críticos.

• Mantener esquemas de monitorización y evaluación permanentes para asegurar que las diferentes aristas de seguridad están siendo revisadas.

• Contar con la implementación de una arquitectura segura que contemple los dominios de negocio, datos, aplicación, infraestructura y ciberseguridad.

• Tener control de la arquitectura dispuesta en sitio, en la nube, híbrida, con el fin que el acceso a los recursos y el intercambio de datos se efectúe de manera segura.

• Contar con un modelo de seguridad para las Tecnología de las Operaciones (OT) e Internet de las Cosas (IoT), que mantenga la protección de este tipo de recursos y controle la convergencia con IT.

• Contar con un gobierno de desarrollo seguro de aplicaciones, contemplando lineamientos, acompañamiento al desarrollo, pruebas estáticas y dinámicas, previo al paso a productivo.

Por último, y no menos importante, las personas son clave en el mantenimiento de este ecosistema seguro, por lo que ningún plan de protección está completo sin la realización constante de planes de sensibilización a colaboradores y proveedores externos que prestan servicios a las organizaciones para validar su grado de concienciación respecto a la protección de la información y los activos asociados, tanto en almacenamiento como procesamiento y tránsito.

La nueva modalidad de vida y de trabajo que hemos adaptado en el último año, obliga a cualquier empresa, sin importar su tamaño o industria, a implementar ya mismo un modelo Zero Trust en la protección de sus sistemas, e información. No hacerlo, significa aceptar tener un Caballo de Troya listo para atacar en el momento menos esperado. 

María Pilar Torres, Head of Cybersecurity everis Américas.