El modelo Zero Trust ha ganado popularidad entre las organizaciones en años recientes. De acuerdo con los datos del 2019, 78% de los equipos de seguridad de la información implementaron este modelo o al menos planeaban esta jugada. Aquí explicamos el concepto Zero Trust para ver qué lo hace atractivo para los negocios.
Se acabó el perímetro
La seguridad del perímetro, un término común en la protección de la infraestructura corporativa, comprende el uso de las verificaciones exhaustivas para cualquier intento de conectarse a los recursos corporativos desde el exterior de la infraestructura. Básicamente, establece una frontera entre la red corporativa y el resto del mundo. Sin embargo, el interior del perímetro (dentro de la red corporativa) se convierte en una zona de confianza en la cual los usuarios, los dispositivos y las aplicaciones gozan de cierta libertad.
La seguridad del perímetro funcionaba, siempre que la zona de confianza se limitara a la red de acceso local y los dispositivos fijos conectados a ella. Pero el concepto “perímetro” se vio difuminado a medida que crecía el número de gadgets móviles y servicios en la nube en funcionamiento. Actualmente, por lo menos una parte de los recursos corporativos está situada fuera de la oficina o incluso en el extranjero. Intentar ocultarlos incluso detrás de la pared más alta es, como mucho, impráctico. Penetrar en la zona de confianza y moverse sin enfrentar resistencia se ha vuelto más fácil.
En 2010, John Kindervag , el analista principal de investigación de Forrester, presentó el concepto Zero Trust como alternativa a la seguridad del perímetro. Propuso desechar la distinción entre lo externo y lo interno y más bien centrarse en los recursos. En esencia, Zero Trust es una ausencia de zonas de confianza de cualquier tipo. En este modelo, los usuarios, los dispositivos y las aplicaciones se ven sometidas a verificaciones cada vez que solicitan el acceso a un recurso corporativo.
Zero Trust en la práctica
No existe una sola estrategia para desplegar un sistema de seguridad basado en Zero Trust. A pesar de esto, uno puede identificar varios principios centrales que pueden ayudar a construir dicho sistema.
Superficie de protección en lugar de la superficie de ataque
El concepto Zero Trust implica normalmente “superficie de protección,” lo cual incluye todo lo que la organización debe proteger contra el acceso no autorizado: datos confidenciales, componentes de la infraestructura y demás. La superficie de protección es significativamente más pequeña que la superficie de ataque, la cual incluye a todos los activos, proceso y actores de la infraestructura potencialmente vulnerables. De este modo, resulta más fácil garantizar la seguridad de la superficie de protección que reducir a cero la superficie de ataque.
Microsegmentación
A diferencia de la estrategia clásica, que proporciona una protección al perímetro externo, el modelo Zero Trust desglosa la infraestructura corporativa y otros recursos en nodos pequeños, que pueden ser tan escasos como un solo dispositivo o aplicación. El resultado son múltiples perímetros microscópicos, cada uno con sus propias políticas de seguridad y permisos de acceso, lo que facilita una flexibilidad al gestionar el acceso y le permite a las empresas bloquear la expansión incontrolable de una amenaza dentro de la red.
El principio de los menores privilegios posibles
A cada usuario se le otorgan solamente los privilegios necesarios para realizar sus tareas. Así, la vulneración de una cuenta de usuario individual compromete solamente una parte de la infraestructura.
Autenticación
La doctrina Zero Trust señala que uno debe tratar todo intento de ganar acceso a la información corporativo como una amenaza potencial hasta que se demuestre lo contrario. Así, para todas las sesiones, cada usuario, dispositivo y aplicación debe pasar el procedimiento de autenticación y demostrar que tiene derecho a acceder a los datos en cuestión.
Control total
Para que la implementación de Zero Trust sea eficiente, el equipo de TI debe tener la capacidad de controlar todos los dispositivos y aplicaciones de trabajo. También es esencial registrar y analizar la información sobre cada evento en los endpoints y otros componentes de la infraestructura.
Beneficios de Zero Trust
Además de eliminar la necesidad de proteger el perímetro, el cual se difumina progresivamente a medida que el negocio se vuelve más y más móvil, Zero Trust soluciona otros problemas. Especialmente, con las verificaciones y las nuevas verificaciones de todos los actores del proceso, las empresas pueden adaptarse más fácilmente al cambio; por ejemplo, al retirar los privilegios de acceso a los empleados que se marchan o al ajustar los privilegios de aquellos cuyas responsabilidades han cambiado.
Los retos de implementar Zero Trust
La transición hacia Zero Trust puede resultar muy larga y llena de dificultades para algunas organizaciones. Si tus empleados utilizan el equipo de la oficina y sus dispositivos personales para trabajar, entonces todos los equipos deben registrarse en el inventario; se deben establecer políticas corporativas sobre los dispositivos necesarios para el trabajo; y se debe bloquear el acceso a los recursos corporativos desde otros dispositivos. Para las grandes empresas con filiales en varias ciudades y países, el proceso tomará algún tiempo.
No todos los sistemas se adaptan de igual manera a la transición hacia Zero Trust. Si tu empresa tiene una infraestructura compleja, por ejemplo, puede incluir dispositivos o software obsoletos que no son compatibles con los estándares de seguridad actuales. Sustituir estos sistemas tomará tiempo y dinero.
Puede que tus empleados, incluyendo a los miembros de tus equipos de TI y de seguridad de la información, no estén listos para el cambio de esquema. Después de todo, ellos serán los responsables del control de acceso y de gestionar tu infraestructura.
Eso significa que en muchos casos las empresas pueden necesitar un plan de transición gradual de Zero Trust. Por ejemplo, Google necesitó siete años para diseñar el marco BeyondCorp basado en Zero Trust. El tiempo de implementación puede ser significativamente más breve para las empresas con menos filiales, pero no esperes acelerar el proceso en algunas semanas o incluso meses.
Zero Trust, seguridad del futuro
Así, la transición de la seguridad del perímetro tradicional hacia el aseguramiento de la superficie de protección bajo el marco de Zero Trust, a pesar de asumir el uso de la tecnología disponible, puede ser todavía un proyecto menos simple o rápido, en términos de ingeniería y cambio de mentalidad de los empleados. Sin embargo, esto garantizará que la empresa se beneficie de tener menores gastos en seguridad de la información, así como de la reducción del número de incidentes y los daños que se le asocian.