Acuñado por la firma de consultoría Forrester, el concepto ‘Zero Trust’ (traducida como la premisa “No confíes en nadie”) sustituyó a la mentalidad ‘Trust but verify’ (Confía, pero verifica) al referirse al cuidado que deben tener las organizaciones respecto a la seguridad de su información.
Hoy la empresa mexicana Optimiti Network retoma y actualiza el concepto bajo el nombre de “Zero Trust 3D”, en alianza con sus partners BigID, Centrify y Netskope.
Para exponer en qué consiste su propuesta, Optimiti, empresa consultora en materia de ciberseguridad, realizó un panel de discusión con sus parters, en el cual se enfatizó en la importancia de los aspectos de protección, visibilidad, descubrimiento de datos y privilegios de acceso a la información que engloba el concepto Zero Trust 3D.
“Con nuestros partners, le dimos un giro a este concepto incorporando tecnología innovadora que ayuda a resolver las problemáticas y los retos que plantea la transformación digital”, explicó Javier Luna Pérez, Director de Ingeniería de Optimiti Network.
De esta manera, dijo, “hemos desarrollado un modelo que parte de diversas premisas fundamentales: una es habilitar totalmente el ‘Nunca confío y valido’, esto es mediante mecanismos robustos de autenticación, autorización y auditoría sobre las actividades de los usuarios, en cualquier entorno, red o ambientes de nube u On Premise. Además incorporamos el concepto de menor privilegio, donde nos encargamos que los usuarios ejecuten únicamente lo que deben ejecutar como parte de su operación requerida y no realicen alguna otra tarea”.
El tema del cambio de mentalidad al interior de las organizaciones con respecto a la seguridad de la información fue una constante en el panel de representantes de socios de negocio de Optimiti.
Los participantes coincidieron en que ya no es recomendable enfocar los esfuerzos de ciberseguridad en los perímetros o tener políticas exclusivamente preventivas, ya que los atacantes, en muchos casos, logran entrar por medios simples como correos a empleados de las personas, ligas a sitios, entre otros.
“Antes, cuando se hacía referencia al tema de la seguridad de la información se proponía un modelo basado en la prevención. no asumíamos que ya somos parte de compromisos en las redes donde nos conectamos, que son ambientes hostiles, al no ser controlados por nosotros o ser parte del ambiente de un tercero, es decir, se genera un riesgo mayor al que podemos controlar”, aseveró Luna Pérez, quien se desempeñó como moderador del panel.
En qué se fundamenta el Zero Trust 3D
En el evento se expusieron los cuatro conceptos que sustentan la propuesta Zero Trust 3D de Optimiti Network, a saber: 1) Que la red es un espacio hostil, siempre hay una amenaza, no solamente en la red propia sino en cualquier plataforma que esté vinculada con la información de la empresa; 2) que las amenazas internas y externas existen todo el tiempo, y el reto consiste en detectarlas en el menor tiempo y responder de manera eficiente; 3) que cada dispositivo, usuario, uso de red y operación, siempre deben ser autenticados, autorizados y auditados; y 4) que las políticas de acceso deben dejar de tener un enfoque “cuadrado” para ser más dinámicas e incorporar nuevas tecnologías y tendencias.
Para llevar a cabo esta propuesta, cada partner de Optimiti aporta soluciones tecnológicas complementarias:
BigID ayuda a transformar la forma en que las empresas protegen y administran la privacidad de los datos personales, al llevar la ciencia de los datos a la privacidad de los mismos.
Por su parte, Centrify ofrece una plataforma para gestión de cuentas privilegiadas y con su solución Zero Trust Cloud Ready, puede proteger también las nuevas superficies de ataque provenientes de la transformación digital, tales como DevOps, Big Data, Containers, Cloud, etc.
Asimismo, mediante el Netskope for Private Access, esta compañía ofrece un servicio que minimiza riesgos, al proteger los datos y los recursos con control de acceso a nivel de aplicación basado en la identidad del usuario, la pertenencia a un grupo y la configuración de seguridad del dispositivo.
De esta forma, Zero Trust 3D “es una prueba de que la conveniencia de múltiples capas, niveles y arquitecturas combinadas pueden hacer más segura la información corporativa y la visibilidad de los datos”, concluyeron los participantes del panel.