El escenario actual de comunicación interconectada y digitalizada, sumado al incremento del trabajo en remoto, está obligando a las empresas a implementar políticas cuya base es el modelo de confianza cero en lo que respecta a la ciberseguridad, también conocido como Zero Trust. El aumento del número de ciberataques dirigidos a empresas IT y pymes ha provocado la necesidad de exigir un cambio en la protección de datos e identidad digital de usuarios, dispositivos y servicios en red.
Alrededor del 89% de organizaciones en España cuyos recursos están alojados o migrando a la nube están en proceso de adoptar o ya han adoptado una arquitectura de Zero Trust. Y el 22% de los managers TI manifiesta que tiene una buena protección de las infraestructuras alojadas en la nube. “Con este enfoque se busca mejorar la seguridad de las redes y protegerlas de amenazas internas y externas. El nombre de este modelo tiene que dejar de ser utilizado como eslogan y ser puesto en práctica de inmediato”, recalca Hervé Lambert, Global Consumer Operations Manager de Panda Security.
Integrar este modelo de confianza cero es necesario para cualquier empresa que maneje sus datos en red, pero en especial para todos aquellas que estén involucradas en entornos IoT, donde la información digital de empleados, dispositivos y equipos operan desde un sistema centralizado. “Por descontado, los gobiernos y administraciones que, todavía, siguen sin hacer caso de la necesidad de aplicar estas medidas en ciberseguridad, deben darse por aludidos, puesto que suelen ser uno de los principales objetivos de los cibercriminales”, recuerda Lambert.
¿En qué consiste el modelo Zero Trust?
El modelo Zero Trust o marco de confianza cero es un método de diseño de sistemas en el que se elimina toda la confianza en la red. Es un enfoque de seguridad que se basa en la premisa de que ningún usuario o dispositivo puede ser confiado por defecto y todos deben ser verificados antes de permitirles acceder a los recursos de la red.
En lugar de confiar en la pertenencia a una red segura o en la identificación previa, el modelo Zero Trust requiere autenticación y autorización para cada solicitud de acceso. “Digamos que este modelo se basa en la desconfianza como base de partida para actuar desde la prevención y evitar cualquier mínima posibilidad de un intento de ataque cibernético”, explica el ciberexperto. “Como ya hemos visto anteriormente, los avances tecnológicos y la IA también desencadenan en mejoras y perfeccionamiento de las técnicas de ataque con ingeniería social por parte de los hackers”.
¿Por qué utilizar el modelo de confianza implícita?
Hervé Lambert, Global Consumer Operations Manager de Panda Security aconsejaa toda organización, asociación o empresa a responder las siguientes preguntas:
- ¿Existen en la empresa recursos y capacitación técnica y humana para detener un ataque de ransomware o fugas de datos?
- ¿Se sabe cuáles son los puntos ciegos y vulnerabilidades actuales con respecto a la seguridad del usuario, los dispositivos, la red, la aplicación y los datos que se manejan en la organización?
- ¿Cuántas personas de la empresa y a qué escala tienen acceso a información confidencial que pueda comprometer datos corporativos o de propiedad intelectual?
- ¿Todavía no se ha valorado la opción de implementar una estrategia de confianza cero y un plan por etapas?
“Si no hay una respuesta clara y con total certeza de las dos primeras preguntas, el pronóstico es bastante desfavorable si hablamos de una adecuación completa en protección en ciberseguridad de la organización. Si, además, en las dos últimas ni siquiera ha existido este planteamiento de las mismas servirá para darse cuenta de que se va más que un paso por detrás de lo que se exige, como mínimo, en materia de ciberprotección en la actualidad”, puntualiza el ciberexperto.
Cinco pasos para aplicar el modelo Zero Trust y no morir en el intento
- Blinda la protección de tu empresa con autenticación multifactor (MFA). Para conseguir la mayor protección de nuestra identidad digital se pueden poner en marcha y de manera conjunta diversos mecanismos. A través del factor de conocimiento, con información que solo sabe el usuario, ya sea una contraseña o un pin; el factor de posesión, como un dispositivo inteligente o smartphone; y por último, el factor de inherencia, en este caso estaría basado en características biométricas de la persona: huella digital o escaneo de retina, por ejemplo.
- Microsegmentación. Se basa en dividir los perímetros de seguridad en zonas más acotadas y reducidas para lograr un mayor control de los datos que estos almacenen. Consistiría en crear listas de usuarios, tipos de dispositivo, dirección IP que dan acceso a la parte que se determine de la red.
- Seguridad para aplicaciones y datos a través de API. Aplicar un conjunto de definiciones y protocolos para el desarrollo de un software que permita la interacción global entre varias aplicaciones. “De esta manera se podrán conectar y comunicar de manera simultánea varios servicios y aplicaciones, pero en especial servirá para recopilar el mayor número de información sobre el comportamiento y acceso del usuario en nuestras aplicaciones y redes”, puntualiza Hervé Lambert, Global Consumer Operations Manager de Panda Security.
- Formar un equipo especializado en la implementación del modelo de confianza cero. “Como señalamos siempre, invertir en estos perfiles sólo conlleva beneficios a corto y largo plazo”, destaca Lambert. Las personas que se integren en este equipo se encargarán de velar por la seguridad de aplicaciones, datos, redes, usuarios y dispositivos. Y para ello, la empresa deberá crear su propia política de confianza cero. Esto entrañará acciones como monitoreo de la actividad en su red, informes regulares que recogen cualquier comportamiento o alerta anormal y análisis de los datos generados por el propio ecosistema que ayuden a predecir riesgos que puedan aparecer en el futuro.
- Validar todos los dispositivos de punto final. Esto pasa por no autorizar o desconfiar de cualquier dispositivo que no haya podido ser verificado. Cualquier dispositivo ha debido ser previamente registrado en el sistema para poder haber tenido acceso a los recursos y red de la empresa. De esta manera, una vez verificado, se podrá conocer la ruta de acceso que persigue el dispositivo y si está autorizado para ella.
“No existe un solo método para aplicar este tipo de política Zero Trust, ya que primero habrá que hacer un estudio y análisis de la empresa y sus necesidades. Pero sí es el único enfoque válido para frenar las amenazas de ciberseguridad”, finaliza Hervé Lambert, Global Consumer Operations Manager de Panda Security.