Llegamos a ustedes gracias a:



Reportajes y análisis

Cómo la tecnología heredada impide la confianza cero

Y qué hacer al respecto

[09/12/2022] A medida que las organizaciones adoptan el modelo de seguridad de confianza cero, la tecnología heredada ha creado algunos obstáculos. De hecho, según un estudio reciente, la sustitución o reconstrucción de las infraestructuras heredadas existentes, es el mayor reto para la implementación de la confianza cero.

El Informe de Investigación 2022 Zero Trust Research Report de General Dynamics encuestó a 300 directores de TI y de programas de agencias federales, civiles y de defensa de EE.UU., que tienen el mandato de adoptar un modelo de confianza cero en virtud de una orden ejecutiva presidencial del 2021. La encuesta reveló que el 58% de ellos mencionó el reto de la tecnología heredada, por delante de la determinación del conjunto de tecnologías necesarias (50%), la falta de experiencia del personal de TI (48%) y el costo (46%).

No solo las TI gubernamentales se enfrentan a estos retos. Los líderes de ciberseguridad encuestados para el informe Zero Trust Strategies for 2022 de la empresa de software y servicios de ciberseguridad Optiv también citaron la tecnología heredada como un reto para sus planes de confianza cero. Alrededor del 44% de los 150 encuestados, que abarcaban varios sectores, citaron como principal obstáculo el exceso de tecnologías heredadas que no soportan la confianza cero. Era el segundo factor que impedía la evolución de la confianza cero en sus organizaciones. El primero fue "demasiados silos internos/partes interesadas para los diferentes componentes de la confianza cero", citado por el 47%.

[Reciba lo último de CIO Perú suscribiéndose a nuestro newsletter semanal]

Imran Umar entiende los retos que presenta la tecnología heredada para adoptar un marco de seguridad moderno. "Las tecnologías heredadas, en general, tienden a ser muy estáticas por naturaleza, y no están diseñadas para manejar los conjuntos de reglas dinámicas necesarias para aplicar las decisiones políticas", señala Umar, que como arquitecto senior de soluciones cibernéticas en la empresa de servicios profesionales Booz Allen Hamilton, encabeza las iniciativas de confianza cero en toda la empresa, en apoyo del Departamento de Defensa de EE.UU., las agencias civiles federales y la comunidad de inteligencia.

Por ello, la tecnología heredada está complicando los planes de muchas organizaciones para implementar y madurar las prácticas de confianza cero, incluso cuando el interés por este enfoque de seguridad aumenta. Alrededor del 97% de las organizaciones encuestadas para el informe The State of Zero Trust Security 2022, del fabricante de software de gestión de identidades y accesos Okta, señalaron que o bien tenían una iniciativa de confianza cero en marcha, o que la tendrían en los próximos 12 a 18 meses. Esta cifra es superior al 16% de hace cuatro años.

El enfoque de confianza cero para la ciberseguridad empresarial elimina la noción de confianza implícita. En teoría, esto significa que la organización no debería confiar en ningún usuario, dispositivo o conexión hasta que se verifique que es digno de confianza. La confianza cero cree que todos los usuarios, dispositivos y sistemas de software deben establecer la confianza a través de varios mecanismos, antes de conectarse al entorno de TI de la empresa. Asimismo, exige que todos los usuarios, dispositivos y sistemas de software restablezcan esa confianza cuando intenten acceder a otras redes y sistemas, así como a los datos de la empresa, después de obtener la entrada inicial en el entorno de TI de la empresa.

Eso es en teoría, porque la realidad es que todos esos principios son difíciles de aplicar en la práctica diaria. Esto nos lleva de nuevo a la tecnología heredada, que puede ser un obstáculo para la implementación de una práctica de confianza cero dentro de una empresa, ya que la tecnología no es compatible, o no funciona bien con las prácticas y tecnologías necesarias para verificar el acceso autorizado y restringir el acceso no autorizado. "La confianza cero es el camino que las organizaciones necesitan seguir, pero no es una perspectiva sencilla", comenta Tony Velleca, CISO de UST, una empresa de soluciones de transformación digital.

Las limitaciones heredadas de la confianza cero provienen de la defensa perimetral

La confianza cero está sustituyendo a un antiguo modelo de seguridad que se basaba en las defensas perimetrales. Esa estrategia de defensa, como saben los CISO veteranos, básicamente construye un muro alrededor del entorno informático de la empresa para dejar fuera el mundo exterior, al tiempo que permite un acceso amplio y, en algunos casos, casi ilimitado a cualquiera que se encuentre dentro del muro.

Sin embargo, el perímetro tecnológico de la empresa se ha ido deteriorando en las últimas décadas, debido a una confluencia de factores que van desde la computación en la nube hasta los requisitos del trabajo remoto desde cualquier lugar. Ese deterioro ha dejado obsoleta la defensa del perímetro. Por eso, en lugar de tratar de cerrar el castillo, el enfoque de confianza cero busca garantizar el acceso autorizado en el momento adecuado solamente a los sistemas y datos necesarios.

"Es así que, a medida que se trasladan más sistemas desde el interior de la propia red hacia el exterior, la capacidad de validación se convierte en uno de los componentes más importantes de la seguridad", afirma Velleca, y añade que "la idea de la confianza cero es que se trata de adoptar un enfoque mucho más granular/preciso con respecto a los usuarios, los dispositivos y las conexiones".

Para ello, la confianza cero aborda la seguridad en múltiples "pilares" (identidad, dispositivo, red, carga de trabajo de la aplicación y datos), y utiliza políticas y tecnologías para permitir o restringir el acceso. Las herramientas clave para apoyar y permitir la confianza cero incluyen el software de gestión de acceso e identidad (IAM, por sus siglas en inglés), el análisis del comportamiento de usuarios y entidades (UEBA, por sus siglas en inglés) y la microsegmentación. Los defensores de la confianza cero -que son muchos- dicen que este enfoque admite el acceso autorizado, pero al mismo tiempo tiene la mejor oportunidad de impedir que los hackers entren o, si entran, se muevan por el entorno informático de la empresa.

"Hay un deseo masivo por parte de todas las organizaciones en este momento de pasar a una arquitectura de confianza cero, la razón es que se resiste al movimiento lateral", señala Christine C. Owen, directora del área de ciberseguridad de la consultora de gestión Guidehouse. Pero aquí está el problema de llevar la confianza cero a un entorno heredado: esa tecnología, que en gran parte se desarrolló e implementó en la era de la defensa perimetral, no siempre tiene los elementos necesarios para funcionar fácilmente -o incluso en lo absoluto- con este enfoque de seguridad moderno.

Umar señala como ejemplo los equipos de red heredados que dependen de las reglas estáticas de control de acceso de Nivel 4 para permitir o denegar el acceso a un recurso. Esta estructura contrasta con una arquitectura moderna de confianza cero en la que las decisiones de acceso se basan en conjuntos de reglas dinámicas, como la ubicación del acceso del usuario, la conformidad del dispositivo y la identidad del usuario. También señala que las tecnologías heredadas tienen un soporte limitado para el acceso condicional, un elemento clave para la confianza cero.

Mientras tanto, muchas organizaciones luchan por identificar y clasificar los datos contenidos en sus sistemas heredados para poder añadir controles de acceso adecuados en torno a los distintos niveles de clasificación, dicen los expertos. "Esos sistemas pueden ser una caja negra", observa Ashish Rajan, líder en seguridad empresarial, presentador del Cloud Security Podcast y capacitador de la organización de certificación y formación SANS. Esto, a su vez, hace que los componentes clave de la confianza cero, como la microsegmentación y el acceso contextualizado a esos sistemas, sean complicados.

Para complicar aún más el escenario, están los problemas de rendimiento o de experiencia del usuario que surgen cuando las organizaciones intentan añadir la confianza cero a su tecnología heredada, indica Owen. "He constatado que la confianza cero puede causar fricciones, y en ese momento la organización tiene que decidir si está bien añadir esa fricción", agrega. "Y una vez que se pone en marcha una nueva arquitectura de confianza cero, descubrirás que las cosas se rompen".

Todas estas cuestiones también hacen que las organizaciones tengan dificultades para saber por dónde y cómo empezar, sostiene Torsten Staab, director de innovación de la unidad de negocio Cyber, Intelligence and Services de Raytheon Intelligence & Space. Aun así, advierte a los responsables de seguridad de las empresas que no dejen que estos retos retrasen su viaje hacia la confianza cero. "Hay limitaciones, pero también hay oportunidades para desplegar la confianza cero incluso en esos entornos heredados".

Adoptar un enfoque de confianza cero por fases para gestionar los obstáculos tecnológicos heredados

Otros expertos se hacen eco de los comentarios de Staab, y afirman que la tecnología heredada no impide ni debe impedir que las organizaciones implementen su modelo de seguridad de confianza cero. De hecho, subrayan que uno de los principales argumentos de venta de la confianza cero es que está basada en varios pilares y capas. En otras palabras, no es un enfoque de todo o nada. "Hay cosas que se pueden hacer. Añadir lo que se pueda de la confianza cero a los sistemas heredados tiene sentido. Ayudará a reducir el riesgo", afirma.

La clave, dicen los expertos, es identificar qué componentes de confianza cero pueden añadirse y, más concretamente, cuáles pueden añadirse más fácilmente y empezar por ellos. "El enfoque general con la confianza cero, tanto si se trata de un sistema heredado como si no, es un enfoque por fases", señala Staab. "La seguridad de confianza cero se trata de múltiples niveles, no de ver solo uno. Así que hay que empezar con uno y luego desplegar más capacidades".

Staab señala, por ejemplo, que los equipos de seguridad a menudo pueden añadir la autenticación multifactor (MFA) a los sistemas heredados sin complicaciones. "Para muchas organizaciones no es difícil", anota.

Los expertos afirman que las organizaciones pueden rediseñar los sistemas heredados, dividiéndolos para aislar unas piezas de otras, y crear una arquitectura micro segmentada; añadir más capacidades de descubrimiento para crear visibilidad de los activos y las actividades y, luego, incorporar funciones de análisis y UEBA; y eliminar los controles de acceso frente a las aplicaciones más antiguas.

"A medida que una organización avanza hacia la confianza cero debe comenzar por realizar una evaluación de la madurez de su entorno actual, establecer una base de sus capacidades actuales y desarrollar una arquitectura de estado deseado y una hoja de ruta para alcanzarla. Este viaje hacia la confianza cero también requiere un plan para integrar las tecnologías heredadas en la arquitectura de confianza cero", añade Umar. "Por ejemplo, las tecnologías heredadas tienen un soporte limitado para el acceso condicional, un factor clave para la confianza cero. Por lo tanto, las organizaciones necesitan reforzarlas con tecnología más nueva para tener en cuenta estas limitaciones".

Por supuesto, todo este trabajo tiene un costo. Garantizar la financiación es otro de los obstáculos a los que se enfrentan los CISO a la hora de transitar hacia la confianza cero. Los expertos en seguridad afirman que estos, junto con sus colegas ejecutivos, tienen que decidir en qué parte de sus entornos heredados se enfrentan a los mayores riesgos, cuánto costará el paso a la confianza cero, y determinar si los beneficios de la reducción del riesgo superarán las inversiones.

En este sentido, dicen, las decisiones de confianza cero no son realmente diferentes de las que toman los CISO en otros puntos de la estrategia de seguridad. Algunos análisis mostrarán que los beneficios de implementar la confianza cero superarán el costo, otros no. "Por eso hay que ser muy conscientes", anota Staab. "No hay que hacerlo todo a la vez. Nadie espera que se cumpla totalmente en todas las áreas. Sin embargo, es bien sabido que el enfoque tradicional -la seguridad basada en el perímetro- no funciona, y eso debería llevarle a la seguridad de confianza cero. Hay cosas que puede hacer con su infraestructura actual para avanzar hacia la confianza cero. Es factible, pero hay que tener voluntad".

Puede ver también: