Eduard Seseras, Consultor Senior Experto en Ciberseguridad, Fortra.

Cloud Security Alliance (CSA) reveló que la Seguridad Zero Trust es una prioridad para el 80% de los ejecutivos de altos mandos en sus organizaciones. Sin embargo, todavía existen barreras que frenan su implementación, tales como el desconocimiento de qué es o, simplemente, no saber por dónde empezar.

Zero Trust es una estrategia y un marco de Ciberseguridad que se fundamenta en la noción de que los riesgos de Seguridad no provienen solo de amenazas externas, sino que también puede haber peligros dentro del perímetro de la organización.

Este modelo minimiza el riesgo de ataques al “no confiar en nadie” y aplicar múltiples criterios de autenticación para proteger y asegurar los datos y la productividad. Se basa en tres principios fundamentales: asumir una brecha, no confiar en nadie y verificar todo.

Todo debe controlarse antes de otorgar el acceso e, inclusive, una vez que ya ha ingresado al sistema. Además, los accesos deben ser revocados periódicamente para reducir el riesgo de permisos excesivos. Así se previenen ataques, al eliminar el acceso no autorizado mediante la autenticación, autorización y cifrado de todos los accesos y solicitudes.

La Transformación Digital ha dejado obsoleta a la Seguridad enfocada en el perímetro

Con el aumento del trabajo remoto y un 94% de las empresas migrando a la computación en la Cloud, los datos residen más allá del perímetro tradicional y, por tanto, se accede a ellos desde diversas fuentes, dispositivos y a través de redes no confiables. Como resultado, la información sensible transita ecosistemas complejos, que comprenden plataformas Cloud públicas y privadas en modalidad SaaS.

En este entorno, confiar en una entidad dentro del perímetro crea una vulnerabilidad inherente: las personas pueden no ser quienes dicen ser, debido a un robo de identidad o al uso indebido de accesos. Y si la línea de defensa inicial ha sufrido una brecha, los activos internos quedan severamente expuestos.

Una estrategia Zero Trust más simple

Implementar una metodología de Zero Trust es un proyecto crítico, que puede volverse muy complejo. No obstante, siguiendo estos pasos puede llevarse adelante de forma más simple y bien organizada:

1) Crear las bases del marco

El primer paso consiste en seleccionar al equipo que estará a cargo. Se recomienda que esté formado por entre 6 a 10 personas que representen a las áreas claves de Seguridad y Negocio. 

2) Categorizar activos

A continuación, es necesario categorizar los riesgos por prioridad, valorando las consecuencias de que cada tipo de activo se vea comprometido. Se deben priorizar las vulnerabilidades y abordar primero los riesgos más altos, centrándose en los activos y flujos de trabajo más críticos y calificándolos todos según su nivel de impacto: “alto”, “moderado” o “bajo”.

3) Seleccionar el conjunto inicial de activos

Luego, se deben seleccionar los activos y procesos con los cuales se empezará a trabajar, para centrarse en la superficie de ataque de mayor valor y en los usuarios de mayor riesgo. El equipo debe reducir las prioridades a las 3 zonas de protección más importantes a abordar.

4) Implementar los primeros controles

A continuación, se puede comenzar a implementar controles que protejan los activos que se han priorizado de entrada. Esto puede requerir la definición de procesos nuevos o la reutilización de procedimientos existentes.  

5) Valorar la eficacia de los controles

Para valorar la eficacia de los controles de gestión de accesos es necesario tener en cuenta que la Seguridad es dinámica y está en constante evolución. Por lo tanto, el sistema, el entorno y los procesos que se utilizan para gestionarlos deben evaluarse continuamente. Para detectar cambios en los sistemas y comportamientos sospechosos, es recomendable utilizar una combinación de herramientas de monitoreo.

6) Autorizar el plan

En este punto el responsable del proyecto deberá decidir si autoriza el plan. La propuesta puede incluir una combinación de un resumen ejecutivo, informes de evaluación basados en pruebas, determinación de riesgos y respuestas a los riesgos. Si no se consigue autorización, se deberá revisar el plan nuevamente y perfeccionar los pasos para obtenerla.

7) Monitorear los resultados y perfeccionar a medida que lo necesite

Zero Trust requiere que la organización monitoree los recursos dedicados y siempre que sea posible, implemente herramientas y técnicas que disparen acciones automáticas basadas en los eventos monitorizados. Además, debido a los continuos cambios en el ámbito de la Ciberseguridad, es fundamental alinear su estrategia de Seguridad con una fuente externa de inteligencia de amenazas.

Solo cuando los profesionales de Seguridad y la Gerencia sean conscientes de que el riesgo ya se encuentra dentro de la empresa y no se trata solo de amenazas que provienen del exterior, elevarán el grado de su Seguridad a los niveles apropiados y bloquearán correctamente la información confidencial para dar acceso únicamente a los usuarios que la necesitan.

La transición hacia una metodología de Zero Trust puede ser un camino gradual, pero no tiene por qué ser difícil de transitar. Implementar un enfoque de Seguridad basado en capas de protección requiere de la colaboración de las áreas de Negocios, junto a los equipos de IT y Seguridad, y el apoyo de un socio tecnológico de confianza.