La actividad remota de empleados viajeros y consultores externos primero, la difusión de la nube a posteriori y al cambio radical impuesto por la pandemia, no han conseguido un cambio de postura definitivo con respecto a una noción que de hecho pertenece ya al siglo pasado. Como profesionales de seguridad, es crucial orientar nuestra energía en concienciar sobre el riesgo de esta posición caduca y potencialmente fatal. 

En honor a la verdad, no es el principio de perímetro el que está caduco o resulta fatal: en efecto, el hecho de proteger algo está bien fundado en el negar su disponibilidad a quien no tiene privilegios adecuados. El aspecto anacrónico y censurable es su reducción geográfica en sí mismo, que intenta encerrar entre cuatro paredes elementos y actores que en un mundo siempre más global y distribuido no se pueden acordonar en un perímetro físico.

El cambio de perspectiva que necesitamos se hace efectivo en pensar en dicho perímetro como  lógico. Un perímetro lógico alrededor de una entidad se convierte de forma inmediata en una noción fundamental en el paradigma Zero Trust: el micro perímetro. 

¿No parece esto más adecuado a la situación tecnológica moderna, donde seres humanos y dispositivos se conectan y autentican desde lugares diferentes, utilizando servicios que se proporcionan desde arquitecturas separadas, como nubes hibridas e incluso multiplataforma?  

Además, el principio de micro perímetros permite el aislamiento necesario para investigar y solucionar problemas que ocurran en porciones específicas del ecosistema, sin afectar a otras, con dedicación más quirúrgica y enfocada, sin las complicaciones que de frecuente resultan cuando distintos problemas se mezclan. 

De todas maneras, aunque crucial, abrazar este punto de vista es sólo el principio: incorporarse al paradigma Zero Trust es mucho más. Una vez trazado un perímetro lógico, el reto se convierte en la necesidad de definir los criterios para traducir dicho perímetro en concreto.  

¿Podemos tener confianza en algo o alguien solo porque se encuentra en un perímetro? Por supuesto que no. Hace falta verificar su identidad. 

A la hora de verificar una identidad hoy debemos tener en cuenta el hecho de que el número de dispositivos conectados supera en número al de personas, una diferencia que sólo puede ser cada vez más marcada. Un dispositivo reacciona y se relaciona de forma distinta con cada persona y se encuentra conectado por un tiempo más largo que una persona física. 

Los vectores de ataque también cambian: por ejemplo, un dispositivo no se engaña a través de phishing o ingeniería social, sino que es vulnerable a la manipulación del firmware. 

¿Podemos tenerla confianza de qué alguien que hubiera sido identificado siga siendo confiable todo el tiempo? Por supuesto que no. Hay que verificar su identidad y sus acciones, constantemente. 

Soluciones que permitan verificar tanto usuarios físicos como dispositivos y lo hagan con el equilibrio necesario para garantizar una autentificación funcional a la seguridad, sin afectar operatividad, son aliados imprescindibles para implementar una estrategia de protección moderna.