Zero Trust: Pasado, presente y un llamado a la acción para el futuro
Por Dave Russell, vicepresidente de Estrategia Empresarial de Veeam; y Rick Vanover, director Senior de Estrategia de Productos de Veeam.
Un estudio reciente de CyberRisk Alliance[1] reveló algunos datos sorprendentes sobre la seguridad Zero Trust. Aunque el término se remonta a casi 30 años atrás, sólo el 35% de los responsables de seguridad encuestados estaban muy familiarizados con esta práctica y, a pesar de la oleada de incidentes de seguridad de los últimos años, el mismo porcentaje estaba muy seguro de sus capacidades de Zero Trust.
Hay una desconexión. Según nuestra experiencia, aunque el interés por la “confianza cero” está creciendo, muchos responsables de seguridad parecen estar confundidos sobre cómo aplicarla correctamente. Una gran cantidad de ellos cree que puede resolverse simplemente conectando un nuevo producto o actualizando los antiguos. Lo que realmente se necesita es una mejor comprensión de lo que es la seguridad Zero Trust y cómo incorporar una combinación de productos, procesos y personas para proteger los activos corporativos críticos.
El concepto Zero Trust es sencillo: nunca confiar, siempre verificar. Puede parecer duro para los usuarios, que se han acostumbrado a un acceso fácil y sin problemas a la información, pero es una política sólida. Preferimos utilizar la frase “mutuamente sospechoso”, que es similar. Significa: “Muestro quién soy yo; demuéstrame quién eres tú”.
Hasta cierto punto la práctica, al igual que el término, es antigua, ya que se remonta a los miniordenadores y los mainframes. Se trata de exigir una buena higiene digital. Lo que ha variado es que nuestro entorno ha cambiado y se ha ampliado. Ahora, con la nube, los dispositivos Edge y los centros de datos, que abren más puntos finales a los ataques, las organizaciones tienen que confiar en algo más que en los firewalls para mantener a los intrusos fuera.
Las empresas necesitan alinear sus procesos y personas, junto con sus productos, para lograr una verdadera “confianza cero”.
Los productos son un paso sencillo. Básicamente, lo que se requiere es una línea completa de tecnologías de seguridad que verifiquen la identidad, ubicación y salud del dispositivo. El objetivo es minimizar el radio de explosión y limitar el acceso al segmento. Aunque no hay un sólo producto o plataforma que logre todos estos objetivos, un programa Zero Trust que tenga éxito incorporará elementos de gestión de identidades, autenticación multi-factor y acceso con menos privilegios.
Involucrar a las personas
Las tecnologías Zero Trust pueden cubrir todas las superficies de ataque y proteger a las organizaciones, pero no son nada sin las personas que las utilizan, por lo que es fundamental alinear el éxito y la seguridad de la empresa con el éxito y la seguridad de los empleados. Esto significa dar prioridad a una cultura de transparencia, comunicación abierta y confianza en el proceso y en la capacidad de los demás para obrar bien.
Para implementar con éxito la tecnología Zero Trust en una cultura corporativa, las organizaciones deben involucrar a los colaboradores en el proceso. No hay que limitarse a lanzar un mandato de arriba abajo y esperar que funcione. Hay que alertar sobre lo que está ocurriendo, qué implica el proceso, cómo les afecta y beneficia a ellos y a la empresa, a qué deben prestar atención y cómo pueden apoyarlos.
Haciendo partícipes a los colaboradores y desafiándolos a adoptar una dosis saludable de escepticismo hacia las amenazas potenciales, los empleadores están plantando las semillas de la seguridad en todo su esqueleto organizacional. Una vez que entienden lo que está pasando y el valor de la “confianza cero”, ellos también empiezan a sentir confianza y se sienten capacitados para formar parte de una red de ciberseguridad más amplia. Esto, a su vez, les permite identificar proactivamente las amenazas internas y externas a la empresa, cubriendo todas las superficies y fomentando una buena higiene de seguridad.
Reevaluar los procesos
La seguridad Zero Trust requiere una importante remodelación de los procesos generales de la organización.
Uno de los movimientos más importantes es definir y evaluar cada aspecto del entorno de seguridad de datos. Esto incluye identificar dónde se almacenan todos los datos no estructurados de la compañía, a qué fines organizacionales sirven los almacenes de datos específicos, quién tiene acceso a ellos y qué tipo de controles de seguridad existen ya. Una evaluación exhaustiva de los permisos ayudará a orientar el desarrollo de una política integral de gestión de accesos. Algunos activos requerirán una protección Zero Trust; otros no. Todos los dispositivos que se conecten a una red tendrán que ser contabilizados, para que puedan defenderse de los ataques externos de phishing.
Un mecanismo tecnológico clave que puede ayudar a las organizaciones en un mundo de “confianza cero” es la inmutabilidad, es decir, la creación de copias de datos que no pueden modificarse ni eliminarse. Esto garantiza que los negocios no pierdan datos ni permitan que acaben en manos equivocadas.
Una práctica que se pasa por alto es definir un marco de Zero Trust común para toda la empresa. No sirve de nada que los equipos tengan que interpretar conjuntos de convenciones confusos o reinventar lo que significa “confianza cero” proyecto por proyecto.
Por último, y quizás lo más importante, es la necesidad de reevaluar y revisar los procesos. Es como ir al gimnasio: el ejercicio se convierte en una forma de vida, y las personas activas modifican sus rutinas de entrenamiento todo el tiempo. Lo mismo ocurre con la seguridad. La “confianza cero” es un proceso continuo. Nunca se acaba.
Los escenarios amenazantes seguirán evolucionando con el tiempo. Las organizaciones que adopten un enfoque Zero Trust tendrán que seguir desarrollando un plan integral y revisar continuamente sus tecnologías, procesos y prácticas internas para satisfacer sus necesidades futuras.