[16/03/2023] Los líderes de seguridad están adoptando Zero Trust (o confianza cero), y la gran mayoría de las organizaciones están implementando o planean adoptar la estrategia. El informe 2022 State of Zero-Trust Security reveló que el 97% de los encuestados ya tienen o planean tener implementada una iniciativa de Zero Trust dentro de los próximos 18 meses.
De hecho, el porcentaje de organizaciones con Zero Trust ya en marcha creció más del doble en solo un año, saltando de 24% en el 2021 a 55% en la encuesta del 2022 publicada por Okta, proveedor de tecnología de gestión de identidad y acceso.
[Reciba lo último de CIO Perú suscribiéndose a nuestro newsletter semanal]
Y ese 55% es más de tres veces la cifra que era hace cuatro años. Cuando Okta les preguntó por primera vez a los líderes de seguridad si tenían una iniciativa de Zero Trust puesta en marcha o estaban planeando implementar una dentro de los siguientes 18 meses para su informe del 2018, solo el 16% respondió que sí.
El uso ascendente de Zero Trust refleja los crecientes desafíos de seguridad que enfrentan los líderes empresariales. Las organizaciones han visto crecer sus superficies de ataque, especialmente a medida que han habilitado las políticas de trabajo remoto a gran escala y han extendido el número de dispositivos de punto final que residen fuera de las paredes corporativas. Al mismo tiempo, el volumen y la velocidad de los ataques cibernéticos se han disparado.
"El panorama tecnológico está evolucionando, y a medida que las organizaciones adoptan la nube y empieza a haber más dispositivos móviles y dispositivos 'traiga el suyo propio', trabajo remoto e híbrido, y los adversarios se vuelven más sofisticados, todo ello provoca cambios en el panorama de amenazas. Como resultado, el antiguo modelo de seguridad ya no es escalable”, explica Imran Umar, quien como arquitecto senior de soluciones cibernéticas en Booz Allen Hamilton encabeza iniciativas de confianza cero en apoyo del Departamento de Defensa de los Estados Unidos, agencias civiles federales y la comunidad de inteligencia.
El antiguo modelo de seguridad perimetral ha muerto
Ese antiguo modelo de seguridad se centraba en las defensas perimetrales, un enfoque que se comparó con la creación de un foso alrededor de un castillo, en el que se trabaja para mantener los peligros alejados mientras se permite que todos y cada uno de los que se encuentran dentro de las paredes del castillo se muevan con poco o ningún impedimento.
Sin embargo, ese modelo suponía falsamente que los usuarios y dispositivos dentro del entorno corporativo podían ser confiables. Descartaba las amenazas internas y la posibilidad de que los actores maliciosos penetraran con éxito el perímetro y se disfrazasen de entidades de confianza que pertenecían al entorno.
Además, ese modelo se volvió incompatible con una arquitectura de TI del siglo XXI que, con cloud computing y una explosión de dispositivos de punto final que requieren acceso a sistemas empresariales desde fuera del entorno de TI corporativo, borró el perímetro. Los líderes de seguridad comenzaron a cambiar sus estrategias en respuesta a esos cambios. Dejaron de confiar principal o únicamente en las defensas perimetrales y, en cambio, comenzaron a implementar controles como la autenticación a nivel de datos y el cifrado para asegurar los activos empresariales a un nivel más granular.
En el 2010, John Kindervag, entonces analista de Forrester Research (y ahora vicepresidente senior de estrategia de ciberseguridad y miembro del grupo en ON2IT Cybersecurity), promovió la idea de que una organización no debería extender la confianza a nada dentro o fuera de sus perímetros. En ese proceso, creó el concepto de Zero Trust. El interés y la adopción de los principios de confianza cero han crecido constantemente desde entonces.
La Casa Blanca le dio un impulso adicional a la confianza cero en mayo del 2021, cuando en una orden ejecutiva declaró que el gobierno federal "debe adoptar las mejores prácticas de seguridad” y "avanzar hacia la arquitectura Zero Trust”.
¿Qué es Zero Trust?
En esencia, Zero Trust es una forma de pensar y estructurar una estrategia de seguridad basada en la idea de "no confiar en nadie ni nada, comprobarlo todo”.
"Zero Trust quiere decir: No asuma nada. Proporcióneles a los agentes y usuarios el menor privilegio y acceso que necesiten para realizar sus trabajos. Y no asuma ningún privilegio sin verificarlo”, señala Steve Wilson, analista principal de Constellation Research.
A menudo denominado modelo de seguridad Zero Trust o marco de confianza cero, es un enfoque para diseñar e implementar un programa de seguridad basado en la noción de que ningún usuario, dispositivo o agente debe tener confianza implícita. En cambio, cualquiera o cualquier cosa, sea un dispositivo o sistema, que pretenda acceder a los activos corporativos debe demostrar que es de fiar.
"Es una filosofía. Es una mentalidad. Es una evolución de la defensa profunda”, afirma Ismael Valenzuela, instructor senior de SANS Institute, que ofrece formación, certificaciones e investigación en seguridad. Él señala que este enfoque, cuando se aplica correctamente, no solo ayuda a prevenir que actores maliciosos obtengan acceso a las redes, sistemas y datos, sino que también acorta los tiempos de detección y reacción cuando algo nefasto consigue entrar.
Este modelo de seguridad requiere la implementación de controles que eliminen la confianza implícita y, en su lugar, requieran verificación a través de varios pilares. El número de pilares varía entre los diferentes marcos; la mayoría tienen entre cinco y siete.
Los pilares de Zero Trust
El marco de cinco pilares generalmente enumera los pilares individuales como:
- Identidad,
- Dispositivo,
- Red,
- Carga de trabajo de la aplicación y
- Datos
La Agencia de Ciberseguridad y Seguridad de Infraestructura de los Estados Unidos, más conocida como CISA, utiliza cinco pilares en su modelo de madurez.
Otros enumeran siete pilares. Forrester, por ejemplo, presentó su concepto Zero Trust eXtended Ecosystem en el 2018, identificando los siete pilares básicos de Zero Trust como:
- Seguridad laboral,
- Seguridad del dispositivo,
- Seguridad de la carga de trabajo,
- Seguridad de la red,
- Seguridad de datos,
- Visibilidad y analítica, y
- Automatización y orquestación.
Otros, incluidos los proveedores de tecnología de seguridad, ofrecen variaciones adicionales de estos pilares, algunos enumeran seis y otros dan nombres alternativos como "supervisar y remediar” y "protección de punto final”.
Algunos también describen varias áreas específicamente de "confianza cero”, como la arquitectura de confianza cero (ZTA) y el acceso a la red de confianza cero (ZTNA); términos que indican que los principios de confianza cero se han aplicado a esas partes de la infraestructura de TI. Independientemente de tales diferencias, los expertos enfatizan que el objetivo sigue siendo el mismo: eliminar la confianza implícita en todo el entorno y, en su lugar, utilizar procesos, políticas y tecnologías para autenticar y autorizar continuamente a las entidades como confiables antes de otorgar acceso.
El camino hacia Zero Trust
Según los expertos, quitar esa confianza implícita toma tiempo, y la mayoría de las organizaciones están lejos de lograr ese objetivo. "Es un viaje de cambio”, indica Chalan Aras, miembro del departamento de Riesgo Cibernético y Estratégico de Deloitte Risk & Financial Advisory.
Zero Trust también es una colección de políticas, procedimientos y tecnologías. Las organizaciones que deseen implementar una estrategia efectiva de confianza cero deben tener un inventario preciso de activos, incluidos los datos. Deben disponer de un inventario preciso de usuarios y dispositivos, así como un programa sólido de clasificación de datos con gestión de accesos privilegiados, afirma Valenzuela.
Otros componentes incluyen la gestión integral de identidades, el control de acceso a nivel de aplicación y la microsegmentación (que ayuda a controlar el acceso y limitar los movimientos dentro del entorno de TI).
Un elemento importante adicional es el análisis del comportamiento de los usuarios y las entidades, que utiliza la automatización y la inteligencia para distinguir los comportamientos normales de usuarios y entidades (y, por lo tanto, aceptados y confiables) de los comportamientos anómalos en los que no se debe confiar (y, por lo tanto, a los que se les niega el acceso).
Otras tecnologías para Zero Trust incluyen herramientas de detección y respuesta de red (NDR, por sus siglas en inglés), soluciones de detección y respuesta de punto final (EDR, por sus siglas en inglés) y capacidades de autenticación multifactor.
Desafíos para la implementación de Zero Trust
Esta plétora de políticas, procedimientos y tecnologías necesarias para habilitar una estrategia Zero Trust puede ser un obstáculo para muchas organizaciones, advierte Valenzuela. Otro desafío para el éxito es la tecnología heredada, ya que los sistemas más antiguos muchas veces no funcionan con los elementos de un modelo de seguridad de confianza cero o no son compatibles con ellos.
Las restricciones financieras y la resistencia al cambio son barreras adicionales. Por lo general, las organizaciones no pueden darse el lujo de reemplazar las tecnologías de seguridad existentes y modernizar la tecnología heredada todo a la vez, ni tampoco pueden lograr que los trabajadores adopten nuevas políticas y procedimientos inmediatamente. "Hay muchas inversiones realizadas a lo largo de los años que no se pueden desperdiciar”, explica Valenzuela.
Otro desafío es el rechazo por parte de los usuarios que la confianza cero inevitablemente producirá en el entorno, señala Wilson, y agrega que "la confianza cero genera fricción, y la fricción es el enemigo de la experiencia del usuario”.
Wilson cita un desafío más que se debe superar: la complejidad adicional que trae consigo Zero Trust. La mayoría de las organizaciones se encuentran en las primeras etapas de implementación de los controles necesarios para permitir este enfoque, y pocas han alcanzado la madurez completa. El informe de Okta del 2022, por ejemplo, indica que solo el 2% de todas las empresas a nivel mundial han implementado el acceso sin contraseña, lo que indica que su madurez de Zero Trust está "evolucionada” o que se consiguió el nivel de madurez más alto de los cinco enumerados por Okta.
La implementación de Zero Trust por etapas
Dado el alcance del trabajo que implica la confianza cero y los desafíos que conlleva, los expertos aconsejan avanzar por etapas. "El objetivo debería ser: ¿Qué puedo hacer hoy, esta semana, este mes para implementar menos confianza implícita?”, asegura Valenzuela.
Del mismo modo, Aras aconseja a los líderes empresariales que dividan sus caminos hacia Zero Trust en tres categorías: hacer ahora, hacer a continuación y hacer más tarde. Él coloca, por ejemplo, las iniciativas de identidad en la categoría "hacer ahora”, del mismo modo que ZTNA, "donde, dependiendo de la antigüedad de la tecnología, podría ser un cambio menor o un cambio importante”.
Aras señala que la segmentación de la red y la segmentación de la aplicación podrían ser actividades para "hacer ahora” o "hacer a continuación”, según la madurez tecnológica y de seguridad de una organización. "Es importante comenzar respondiéndose ¿dónde estoy ahora? Cuanto mejor se realice ese análisis, más probable será que las recomendaciones de "hacer ahora”, "hacer a continuación” y "hacer más tarde” sean precisas”.
Basado en el artículo de Mary K. Pratt (CSO) y editado por CIO Perú
Puede ver también: