¿Cómo adoptar una estrategia de “Zero Trust” en su organización?
Por Fabio Sánchez, Cibersecurity Lead, de OCP TECH.
Un enfoque práctico para transformar el panorama tecnológico y procesos de una organización hacia un entorno más seguro, ha sido el de utilizar el paradigma “Zero Trust” (ZT) o Cero Confianza, que como concepto abstracto no ha sido fácil de implementar realmente. Algunas herramientas de fabricantes aseguran su ejecución, pero en determinados casos sólo abordan una pequeña parte de lo que Zero Trust abarca en su totalidad.
Cero confianza no significa desconfiar de las personas que conocemos, de los procesos y herramientas que utilizamos a diario. Es que aun conociéndolos y trabajando día a día con estos dispositivos e identidades, debemos verificar constantemente su integridad y confidencialidad en cada proceso o circunstancia, debido a que desconocemos si están comprometidos, suplantados o alterados. Sólo si aceptamos y entendemos esta incapacidad, es que podremos adoptar los principios de Zero Trust.
El estándar Zero Trust Architecture (ZTA) NIST SP 800-207, establece 7 principios básicos para expandir y abordar esta arquitectura, pero no define estrictamente que una organización deba implementar todos y cada uno para obtener una arquitectura de cero confianza y son expuestos entonces como objetivos ideales que deben buscarse infatigablemente en el diseño, implementación y operación de cada proceso o tecnología en una organización.
¿Qué debemos hacer para transformar una organización y sus procesos hacia una arquitectura de cero confianza o ZTA? ¿Es necesario cambiar todas las plataformas tecnológicas? ¿Se deben reescribir los procesos de negocio y operacionales? Antes que todo, tenemos que apropiarnos y adoptar los principios Zero Trust y desglosarlos a lo que haga sentido a nuestra organización. Luego, adaptarlos a los procesos y herramientas actuales antes de pensar en nuevas adquisiciones. Adoptar el concepto y adaptarlo a nuestra realidad es el nombre del juego, y desde ahí podremos transformar la forma en que accedemos a la información: ¿quién accede?, ¿desde dóndeaccede? Reuniendo esa información contextual y confrontándola contra los principios que hayamos adoptado, podremos definir reglas, políticas, herramientas, procesos y modificaciones.
Un conjunto de herramientas de diversos fabricantes y un debido proceso habilitan estas capacidades de acceso remoto seguro a una aplicación o base datos, bajo un perfil de cargo o grupo en el directorio, su ubicación y horario, y dado el caso que se requiera verificación de segundo paso de la identidad, optar por un segundo factor de autenticación.
Para abordar una estrategia es necesario entender en qué estado de madurez en Ciberseguridad se encuentra la organización. Existen diferentes métodos y modelos de madurez agnósticos o de fabricante. Microsoft por ejemplo, en su modelo de Zero Trust [2] define 3 estados de madurez: inicial, avanzado y óptimo.
También están los modelos agnósticos como CISA’s Zero Trust Matury Model [3], que abarcan con mayor amplitud y facilitan la transición hacia ZTA de una forma más transparente, basados también en 3 niveles: tradicional, avanzado y óptimo, pero bajo 5 verticales: Identidad, Dispositivos, Redes, Cargas de Aplicaciones y Datos, que buscan guiar la construcción de una hoja de ruta de adopción clara y estratégica.
Es importante iniciar por un análisis de brecha, estrategia comúnmente usada en ejercicios de arquitectura empresarial. Este se ejecuta evaluando el estado actual de la organización tomando un modelo de referencia como CISA’s Zero Trust Matury Model, y bajo cada una de las dimensiones, establece si dicha práctica o proceso se realiza en la organización o en qué grado de adopción se encuentra. Al final obtendremos una matriz cualitativa.
Estas iniciativas se pueden agrupar de forma en que una o varias conformen proyectos de implementación de procesos, definición de políticas o adquisición de nuevas herramientas, para lograr concretar un portafolio de proyectos de Ciberseguridad a corto y largo plazo.
Referencias
[1] NIST Special Publication 800-207 – Zero Trust Architecture 2020 por Scott Rose, Oliver Borchert, Stu Mitchell, Sean Connelly. Publicación disponible sin costo en el siguiente link: https://doi.org/10.6028/NIST.SP.800-207. Agosto 2020. [2] Microsoft – Evolving Zero Trust – How real-world deployments and attacks are shaping the future of Zero Trust strategies. Noviembre 2021. https://www.microsoft.com/en- us/security/business/zero-trust [3] CISA’s Zero Trust Matury Model 2021. Version 1.0 Cybersecurity and Infrastructure Security Agency -Cybersecurity Division. https://www.cisa.gov/zero-trust-maturity-model