La filosofía Zero Trust o de confianza cero ha sido durante mucho tiempo la sucesora lógica del modelo de seguridad perimetral, que no ha funcionado del todo bien para proteger a las empresas y se está volviendo cada vez más obsoleto a medida que los empleados se vuelven más móviles y las aplicaciones migran a la nube. Pero la adopción de esta nueva nomenclatura está siendo lenta, debido en parte a la aversión al cambio y a la preocupación de que reemplazar la seguridad perimetral por algo nuevo es arriesgado, complejo y costoso.
Sin embargo, tras la pandemia de la COVID-19 y el teletrabajo masivo, la arquitectura Zero Trust, con la autenticación multifactor, los controles de acceso o SASE, ha repuntado sobremanera. Las compañías han iniciado un viaje de futuro, pero los directivos de TI quieren saber cuáles son los próximos pasos.
Saber lo que realmente significa Zero Trust
Tal y como expresa el ex analista de Forrester, John Kirdavag, “la confianza cero no es más que la idea de que precisamente es la confianza lo que debemos eliminar. Es una emoción humana que se ha inyectado en los sistemas digitales sin ningún motivo. Pero Zero Trust ayuda a prevenir brechas de datos y tiene sus raíces en el principio de no confiar nunca y verificar siempre”. Las organizaciones deben crear políticas diseñadas para confirmar la identidad de quienes están accediendo a sus redes, controlar los recursos que pueden evaluar y evitar que realicen acciones que se salgan de la estrategia a través de la supervisión y el registro de todas sus actividades.
En la práctica, esto significa no solo pasar de las contraseñas a la autenticación multifactor, sino también considerar cómo verificar el dispositivo en sí, su ubicación y comportamiento.
Identificar lo que se quiere proteger
El propósito de la confianza cero es proteger a la empresa de las consecuencias financieras, reglamentarias y de reputación que pueden traer las fugas de datos, por lo que el primer paso es averiguar lo que hay que proteger. Pueden ser datos de clientes, financieros, propiedad intelectual, información de procesos comerciales o datos generados por aplicaciones o dispositivos. “Hay que concentrarse en los datos comerciales”, dijo Kindervag. “Si no conoce las necesidades de su negocio, fracasará”.
Una vez que se sepa qué datos deben protegerse y se haya identificado dónde se encuentran, los principios de Zero Trust se imponen. Esto significa establecer políticas que solo permitan el acceso cuando sea necesario e inspeccionar todo el tráfico hacia y desde los puntos protegidos. Tener políticas de seguridad que protejan contra la exfiltración de datos es vital porque evita que los ciberdelincuentes configuren el comando y el control, lo que bloquea de manera efectiva muchos tipos de ataques.
Diseñar la red desde dentro hacia fuera
El modelo de seguridad perimetral se basa en la idea de que hay un interior donde se confía en todos y un exterior en el que no se confía, protegido por firewalls y otras herramientas. El modelo Zero Trust elimina la distinción entre el interior y el exterior y lo reemplaza con segmentos de red que se crean para propósitos específicos. Por ejemplo, Kindervag sugiera que las empresas pueden comenzar con un solo flujo de datos, como los de las tarjetas de crédito.
La microsegmentación es un área en la que “se puede meter en problemas si complica demasiado las cosas, pero las herramientas están evolucionando de una buena manera para hacerlo más fácil”. Lo importante es tener una estrategia de microsegmentación clara y ejecutarla correctamente, tanto en las instalaciones como en la nube.
Registrar todo el tráfico
Kindervag dijo que inspeccionar y registrar todo el tráfico es un elemento importante en una arquitectura de confianza cero. El análisis en tiempo real de los registros de tráfico puede ayudar a identificar ciberataques. La telemetría que se recopila ayuda a crear un ciclo de retroalimentación que fortalece la red con el tiempo.
Compromiso a largo plazo
La confianza cero es un viaje continuo. Hay que elegir un sistema pequeño para usarlo como caso de prueba y asegurarse de tener todos los controles, el registro y la supervisión en su lugar. Hay que empezar en pequeño para acabar en grande. Pero antes, hay que asegurarse de completar los pasos previos.
-IDG.es
