Por Dave Russell y Rick Vanover, ambos de Veeam.
Un estudio reciente de CyberRisk Alliance reveló algunos datos sorprendentes sobre la seguridad “zero trust” (confianza cero). Aunque el término se remonta a casi 30 años atrás, sólo el 35% de los responsables de seguridad encuestados estaban muy familiarizados con esta práctica y, a pesar de la oleada de incidentes de seguridad de los últimos años, el mismo porcentaje estaba muy seguro de sus capacidades de confianza cero.
Hay una desconexión. Según nuestra experiencia, aunque el interés por la confianza cero está creciendo, muchos responsables de seguridad parecen estar confundidos sobre cómo aplicarla correctamente. Muchos creen que puede resolverse simplemente conectando un nuevo producto o actualizando los antiguos. Lo que realmente se necesita es una mejor comprensión de lo que es la seguridad “zero trust”: cómo incorpora una combinación de productos, procesos y personas para proteger los activos corporativos críticos.
El concepto de confianza cero es sencillo: «nunca confiar, siempre verificar». Puede parecer duro para los usuarios que se han acostumbrado a un acceso fácil y sin problemas a la información, pero es una política sólida. Preferimos utilizar la frase «mutuamente sospechoso», que es similar. Significa «Muestro quién soy yo; demostrame quién sos vos».
Hasta cierto punto, la práctica -así como el término- es antigua, ya que se remonta a los miniordenadores y los mainframes. Se trata de exigir una buena higiene digital. Lo que ha variado es que nuestro entorno ha cambiado y se ha ampliado. Ahora, con la nube, los dispositivos de borde y los centros de datos que abren más puntos finales a los ataques, las organizaciones tienen que confiar en algo más que en los cortafuegos para mantener a los intrusos fuera.
Las organizaciones necesitan alinear sus procesos y sus personas, junto con sus productos, para lograr una verdadera confianza cero.
Los productos son un paso sencillo. Básicamente, lo que se necesita es una línea completa de tecnologías de seguridad que verifiquen la identidad, la ubicación y la salud del dispositivo. El objetivo es minimizar el radio de explosión y limitar el acceso al segmento. Aunque no hay un solo producto o plataforma que logre todos estos objetivos, un programa de confianza cero que tenga éxito incorporará elementos de gestión de identidades, autenticación multifactor y acceso con menos privilegios.
Involucrar a las personas
Las tecnologías de confianza cero pueden cubrir todas las superficies de ataque y proteger a las organizaciones, pero no significan nada sin las personas que las utilizan, por lo que es fundamental alinear el éxito y la seguridad de la empresa con el éxito y la seguridad de los empleados. Esto significa dar prioridad a una cultura de transparencia, comunicación abierta, confianza en el proceso y en la capacidad de los demás para obrar bien.
Para implementar con éxito la tecnología “zero trust” en una cultura corporativa, las organizaciones deben involucrar a los colaboradores en el proceso. No hay que limitarse a lanzar un mandato de arriba a abajo y esperar que funcione. Hay que alertar sobre lo que está ocurriendo, qué implica el proceso, cómo les afecta y beneficia a ellos y a la empresa, a qué deben prestar atención y cómo pueden apoyarlo.
Haciendo partícipes a los colaboradores y desafiándolos a adoptar una dosis saludable de escepticismo hacia las amenazas potenciales, los empleadores están plantando las semillas de la seguridad en todo su esqueleto organizacional. Una vez que entienden lo que está pasando y el valor de la confianza cero, ellos también empiezan a sentir confianza y se sienten capacitados para formar parte de una red de ciberseguridad más amplia. Esto, a su vez, les permite identificar proactivamente las amenazas internas y externas a la empresa, cubriendo todas las superficies y fomentando una buena higiene de seguridad.
Reevaluar los procesos
La seguridad “zero trust” requiere una importante remodelación de los procesos generales de la organización.
Uno de los movimientos más importantes es definir y evaluar cada aspecto del entorno de seguridad de datos. Esto incluye identificar dónde se almacenan todos los datos no estructurados de la organización, a qué fines organizacionales sirven los almacenes de datos específicos, quién tiene acceso a ellos y qué tipo de controles de seguridad existen ya. Una evaluación exhaustiva de los permisos ayudará a orientar el desarrollo de una política integral de gestión de accesos. Algunos activos requerirán una protección de confianza cero; otros no. Todos los dispositivos que se conecten a una red tendrán que ser contabilizados, para que puedan defenderse de los ataques externos de phishing.
Un mecanismo tecnológico clave que puede ayudar a las organizaciones en un mundo de confianza cero es la inmutabilidad, es decir, la creación de copias de datos que no pueden modificarse ni eliminarse. Esto garantiza que las organizaciones no pierdan datos ni permitan que acaben en manos equivocadas.
Una práctica que se pasa por alto es definir un marco común de confianza cero para toda la organización. No sirve de nada que los equipos tengan que interpretar conjuntos de convenciones confusos o reinventar lo que significa «confianza cero» proyecto por proyecto.
Por último, y quizás lo más importante, es la necesidad de reevaluar y revisar los procesos. Es como ir al gimnasio: El ejercicio se convierte en una forma de vida, y las personas activas modifican sus rutinas de entrenamiento todo el tiempo. Lo mismo ocurre con la seguridad. La confianza cero es un proceso continuo. Nunca se acaba.
Mantener la flexibilidad
Los escenarios amenazantes seguirán evolucionando con el tiempo. Las organizaciones que adopten un enfoque de confianza cero tendrán que seguir desarrollando un plan integral y revisar continuamente sus tecnologías, procesos y prácticas internas para satisfacer sus necesidades futuras.