[20/07/2022] El interés en la seguridad de confianza cero ha aumentado significativamente en los últimos dos años, sobre todo en las organizaciones que buscan mejores formas de controlar el acceso a los datos empresariales en la nube y ambientes on premises para trabajadores remotos, contratistas y terceros.
Varios factores están impulsando esta tendencia: la cada vez mayor sofisticación de las amenazas, la adopción acelerada de la nube, y el generalizado cambio a ambientes de trabajo remotos e híbridos, debido a la pandemia. Muchas organizaciones han descubierto que los modelos de seguridad tradicionales, donde se confía implícitamente en todo lo que se encuentra dentro del perímetro, no funcionan en ambientes en los que no existen perímetros y los datos empresariales -junto a las personas que acceden a ellos- están cada vez más distribuidos y descentralizados.
[Reciba lo último de CIO Perú suscribiéndose a nuestro newsletter semanal]
En mayo del 2021, una orden ejecutiva de la Administración Biden, que solicita que las entidades federales implementen la seguridad de confianza cero, ha aumentado el interés en todos los ámbitos. El año pasado, en una encuesta que incluyó a 362 líderes de seguridad -realizada por Forrester Research en nombre de Illumio- dos tercios de los encuestados afirmó que sus organizaciones planeaban aumentar los presupuestos de confianza cero en el 2022. Más de la mitad (52%) esperaba que su programa de confianza cero brindara beneficios significativos para toda la organización, y el 50% afirmó que permitiría migraciones a la nube más seguras.
Al percibir una gran oportunidad, los proveedores de ciberseguridad se apresuraron a comercializar una variedad de productos etiquetados como tecnologías de confianza cero. IT-Harvest, una firma de analistas, realizó una encuesta informal aplicada a páginas web pertenecientes a unos 2.800 proveedores. La encuesta mostró que 238 de ellos presentaban, de manera prominente, la confianza cero. "Después de que la Casa Blanca y la CISA emitieran una guía para adoptar un enfoque de confianza cero, todos quieren alinearse con el concepto”, afirma Richard Stiennon, analista principal de investigación de IT-Harvest.
La exagerada publicidad en torno a estas tecnologías ha causado una confusión considerable, lo que llevó a Forrester Research, la firma de analistas que introdujo el concepto por primera vez, a aclarar su definición de confianza cero moderna a principios de este año. "Las noticias falsas, propagadas por los proveedores de seguridad respecto a la confianza cero, causaron confusión entre los profesionales de seguridad”, sostuvo Forrester. "La confianza cero es un modelo de seguridad de la información que, por defecto, les niega el acceso a aplicaciones y datos. La prevención de amenazas se logra solo otorgando acceso a redes y cargas de trabajo por medio de políticas informadas a través de verificación continua, contextual y basada en riesgos entre usuarios y sus dispositivos asociados”.
A continuación, cinco errores que las organizaciones deben evitar al implementar una estrategia de seguridad de confianza cero:
1. Asumir que la confianza cero tiene que ver con ZTNA
La implementación del acceso a la red de confianza cero (ZTNA, por sus siglas en inglés) es fundamental para lograr la confianza cero. Pero ZTNA, por sí solo, no es confianza cero.
ZTNA es un enfoque para garantizar que los empleados remotos, los contratistas, los socios de negocios y otros tengan acceso seguro, basado en políticas, que sea adaptable a las aplicaciones y los datos de la empresa. Con ZTNA, a los usuarios se les otorga acceso con privilegios mínimos, en función de su identidad, rol e información en tiempo real sobre el estado de seguridad de su dispositivo, ubicación y una variedad de otros factores de riesgo.
Cada solicitud de acceso a una aplicación, datos o servicio empresarial se examina según estos criterios de riesgo y se otorga acceso solo al recurso específico solicitado y no a la red subyacente.
En los últimos dos años, muchas organizaciones implementaron o comenzaron a implementar ZTNA como un reemplazo del acceso remoto para las VPN. Debido a la pandemia, el cambio repentino a un ambiente de trabajo más distribuido desbordó las infraestructuras de VPN en muchas organizaciones y las obligó a buscar alternativas con mayor adaptabilidad de escala.
"Un caso de uso importante que impulsa a ZTNA es el aumento o reemplazo de las VPN, promovido por una escala de trabajo remoto sin precedentes”, afirma Daniel Kennedy, analista de 451 Research, una parte de S&P Global Market Intelligence.
Históricamente, las VPN se encargaban de proporcionar acceso a una red corporativa, en lugar de recursos específicos, que en estos días podrían alojarse en cualquier lugar. A través de una VPN, el tráfico de retorno y luego de regreso a los recursos alojados fuera de una red corporativa es un paso innecesario, afirma Kennedy. "ZTNA le brinda acceso a un nivel más detallado y revalida ese acceso en lugar de solo proporcionar una puerta de autenticación al comienzo del acceso”.
Pero ZTNA es solo una parte de la historia de confianza cero. Una organización no puede decir, de manera creíble, que ha implementado la confianza cero sin haber implementado la administración de identidad privilegiada y la microsegmentación -o preferiblemente ambas- afirma David Holmes, analista de Forrester Research.
Forrester define la microsegmentación como un enfoque para reducir el impacto de una filtración de datos mediante el aislamiento de los datos y sistemas confidenciales, colocándolos en segmentos de red protegidos, y luego limitando el acceso de los usuarios a esos segmentos protegidos con una sólida administración y gestión de identidad.
El objetivo es minimizar la superficie de ataque y limitar las consecuencias de una filtración. Según Forrester, la clave de la confianza cero es garantizar que los usuarios, incluyendo aquellos con acceso privilegiado a las funciones de administración, no obtengan más acceso a las aplicaciones y los datos de la que necesitan.
2. Confundir la confianza cero con un producto
Existen muchas herramientas y productos que pueden ayudar a las organizaciones a implementar una estrategia de confianza cero. Pero no los confunda con la estrategia en sí.
"Básicamente, una filosofía de confianza cero ya no extiende la confianza implícita a las aplicaciones, dispositivos o usuarios en función de su fuente”, afirma Kennedy. En cambio, Kennedy aclara que se trata de la implementación de un enfoque predeterminado de denegación/privilegio mínimo, obteniendo acceso mediante una evaluación continua del riesgo, la cual puede cambiar en función de factores como el comportamiento del usuario o la entidad, por ejemplo.
Al considerar tecnologías para implementar la estrategia, ignore las etiquetas y busque productos con capacidades que se relacionen con los principios fundamentales de confianza cero, como se definieron originalmente.
"Los términos evolucionan, por supuesto, como lo ha hecho este”, afirma Kennedy. "Pero vienen con connotaciones. Por lo tanto, las asociaciones con los enfoques de productos deben estar arraigadas en alguna conexión realista con la filosofía descrita”. Esto significa tener tecnologías que soporten principios clave de confianza cero, como la microsegmentación, el perímetro definido por software y la integridad del dispositivo.
"La mayor desconexión que veo, y que está generando falsas expectativas, es confundir una estrategia o filosofía de confianza cero con la implementación de un producto específico”, afirma Kennedy.
3. Asumir que puede lograr la confianza cero sin una higiene de seguridad básica
La implementación de las herramientas adecuadas, por sí sola, no es suficiente si no se presta atención a los fundamentos, afirma John Pescatore, director de tendencias de seguridad emergentes en el Instituto SANS.
"Por el lado de las operaciones, el gran error es pensar que se puede lograr la confianza cero sin lograr primero una higiene de seguridad básica”, afirma. "Si no puede confiar en que los puntos finales se configuren de forma segura y se mantengan parchados; si no puede confiar en las identidades porque se utilizan contraseñas reutilizables; y si no puede confiar en el software porque no ha sido probado, entonces es imposible lograr beneficios con la confianza cero”, afirma Pescatore.
Las herramientas pueden ayudar con el aspecto tecnológico de la seguridad de confianza cero. Pero incluso con ellas, hay mucho trabajo intelectual que no se puede evitar, afirma Holmes de Forrester. "Por ejemplo, una organización aún necesita un enfoque convincente para la clasificación de datos, y alguien debe auditar los privilegios de los empleados y de terceros”, afirma Holmes. "Ambas son tareas de no poca importancia y, por lo general, manuales”.
Stiennon, de IT-Harvest, afirma que un buen enfoque para las organizaciones es empezar por identificar y revisar áreas, dentro de la infraestructura de TI, donde la protección se basa en alguna forma de confianza. Por ejemplo, podría ser un contrato de trabajo cuando una organización confía en que los usuarios cumplan con sus políticas. O podría ser un contrato, o acuerdo de nivel de servicio con un proveedor de la nube, con respecto a cómo usarían (o no) los datos de la organización.
"Una vez que haya identificado esos vacíos, comience a llenarlos con controles técnicos”, afirma Stiennon. "Usted podría monitorear a los empleados para ver si están cumpliendo con las políticas y si, ciertamente, deberían estar cifrando sus datos en la nube para no tener que depender del comportamiento del proveedor”, afirma Stiennon.
4. Tener políticas de acceso de usuarios mal definidas
Un enfoque de confianza cero puede ayudar a las organizaciones a aplicar un control de acceso adaptable, y basado en políticas, a los recursos empresariales que considere una variedad de factores de riesgo en tiempo real, como la seguridad del dispositivo, la ubicación y el tipo de recurso que se solicita. Cuando se implementa correctamente, el enfoque garantiza que los usuarios solo tengan acceso al recurso específico que solicitan, y de la manera menos privilegiada.
Para hacerlo de manera efectiva, los administradores de seguridad y de TI deben tener una comprensión clara de quién necesita acceso a qué, afirma Patrick Tiquet, vicepresidente de seguridad y arquitectura de Keeper Security. Eso significa enumerar todos los roles de usuario posibles y luego asignarlos según los requisitos y roles del trabajo.
"La confianza cero es realmente un concepto simple: a los usuarios se les otorga acceso a los recursos necesarios para realizar su función laboral y no se les otorga acceso a los recursos que no son necesarios”, aclara Tiquet.
Por ejemplo, él señala una unidad de red compartida a la que todos, en una empresa de 10 empleados, podrían tener acceso. La unidad contiene información de ventas, recursos humanos, contabilidad y clientes a la que todos los miembros de la empresa pueden acceder, independientemente de su función. "Existe un alto riesgo de acceso no autorizado, pérdida de datos, robo de datos y divulgación no autorizada”, afirma Tiquet. "En esta situación, aplicar correctamente la confianza cero restringiría el acceso, pero no afectaría la productividad, mientras que reduciría drásticamente el riesgo para la empresa”.
Tiquet afirma que, inicialmente, es mejor ceñirse roles de acceso bien definidos y luego -según sea necesario- asignar o cancelar la asignación de nuevos roles de acceso a usuarios individuales.
5. Descuidar la experiencia del usuario
Los modelos de confianza cero tienen un gran impacto en los usuarios finales, así que no descuide la experiencia del usuario. "La autenticación y el acceso afectan a casi todos los empleados, por lo que los pasos en falso son costosos para los CISO”, afirma Kennedy del 451 Group.
Cuando las iniciativas de confianza cero se apresuran, sin preparar adecuadamente a los usuarios para el cambio, la productividad de los empleados puede verse afectada. Una iniciativa fallida o que impacte negativamente a los usuarios también puede influir en la credibilidad de todo el esfuerzo.
"Ya todos saben cuáles son los pasos hacia el éxito”, afirma Kennedy. "Establezca un estado final deseado para su estrategia de confianza cero e implemente metódicamente las diferentes partes con socios proveedores”, añade Kennedy. Planifique, ejecute y pruebe cuidadosamente para garantizar que cualquier paso adicional, que se requiera de los usuarios, permita beneficios de seguridad acordes, afirma Kennedy.
Basado en el artículo de Jaikumar Vijayan (Network World) y editado por CIO Perú
Puede ver también: