El modelo Zero Trust ha ganado popularidad entre las organizaciones en los últimos años. De acuerdo con los datos del 2019, el 78 % de los equipos de seguridad de la información implementaron este modelo o al menos lo han planeado. A continuación, te explicamos el concepto Zero Trust para que descubras qué es lo que lo hace tan atractivo para las empresas.
Adiós al perímetro
La seguridad del perímetro, un término común en la protección de infraestructuras corporativas, comprende el uso de las verificaciones exhaustivas para cualquier intento de conexión a los recursos corporativos desde el exterior de la infraestructura. Básicamente, establece una frontera entre la red corporativa y el resto del mundo. Sin embargo, el interior del perímetro (dentro de la red corporativa) se convierte en una zona de confianza en la cual los usuarios, los dispositivos y las aplicaciones gozan de cierta libertad.
La seguridad del perímetro funcionaba, siempre que la zona de confianza se limitara a la red de acceso local y los dispositivos fijos conectados a ella. Pero el concepto “perímetro” se vio difuminado a medida que crecía el número de dispositivos móviles y servicios en funcionamiento en la nube. Actualmente, al menos una parte de los recursos corporativos está ubicada fuera de la oficina o incluso en el extranjero. Intentar ocultarlos, aunque sea detrás de la pared más alta es, como mucho, poco práctico. Penetrar en la zona de confianza y moverse sin enfrentar resistencia se ha hecho más fácil.
En el 2010, John Kindervag, el analista principal de investigación de Forrester, presentó el concepto Zero Trust como alternativa a la seguridad del perímetro. Propuso desechar la distinción entre lo externo y lo interno y centrarse en los recursos. En esencia, Zero Trust supone la ausencia de zonas de confianza de cualquier tipo. En este modelo, los usuarios, los dispositivos y las aplicaciones se ven sometidos a procesos de verificación cada vez que solicitan el acceso a un recurso corporativo.
Zero Trust en la práctica
No existe una única estrategia para implementar un sistema de seguridad basado en Zero Trust. A pesar de esto, se pueden identificar varios principios fundamentales que pueden ayudar a construir dicho sistema.
Superficie de protección en lugar de la superficie de ataque
El concepto Zero Trust implica normalmente una “superficie de protección”, lo que incluye todo lo que la organización debe proteger contra el acceso no autorizado: datos confidenciales, componentes de la infraestructura, etc. La superficie de protección es significativamente más pequeña que la superficie de ataque, que incluye a todos los activos, procesos y actores potencialmente vulnerables de la infraestructura. De este modo, resulta más fácil garantizar la seguridad de la superficie de protección que reducir a cero la superficie de ataque.
Microsegmentación
A diferencia de la estrategia clásica, que proporciona una protección sobre el perímetro externo, el modelo Zero Trust desglosa la infraestructura corporativa y otros recursos en nodos pequeños, que pueden ser tan escasos como un solo dispositivo o aplicación. El resultado son múltiples perímetros microscópicos, cada uno con sus propias políticas de seguridad y permisos de acceso, lo que facilita la flexibilidad a la hora de gestionar el acceso y permite a las empresas bloquear la expansión incontrolable de una amenaza dentro de la red.
El principio de los menores privilegios posibles
A cada usuario se le otorgan solamente los privilegios necesarios para realizar sus tareas. Así, la vulneración de una cuenta de usuario individual compromete solamente una parte de la infraestructura.
Autentificación
La doctrina Zero Trust señala que se debe tratar todo intento de conseguir acceso a la información corporativa como una amenaza potencial hasta que se demuestre lo contrario. Así, para todas las sesiones, cada usuario, dispositivo y aplicación debe pasar el procedimiento de autentificación y demostrar que tiene derecho a acceder a los datos en cuestión.
Control total
Para que la implementación de Zero Trust sea eficiente, el equipo informático debe contar con la capacidad para controlar todos los dispositivos y aplicaciones de trabajo. También es esencial registrar y analizar la información sobre cada evento en los endpoints y otros componentes de la infraestructura.
Beneficios de Zero Trust
Además de eliminar la necesidad de proteger el perímetro, que se difumina progresivamente a medida que la empresa adquiere un carácter más móvil, Zero Trust soluciona otros problemas. Especialmente, con las verificaciones y las nuevas verificaciones de todos los actores del proceso, las empresas pueden adaptarse más fácilmente al cambio; por ejemplo, al retirar los privilegios de acceso a los empleados que se marchan o al ajustar los privilegios de aquellos cuyas responsabilidades han cambiado.
Los retos de implementar Zero Trust
La transición hacia Zero Trust puede resultar muy larga y llena de dificultades para algunas organizaciones. Si tus empleados utilizan el equipo de la oficina y sus dispositivos personales para trabajar, todos los equipos deberán registrarse en el inventario; hay que establecer políticas corporativas sobre los dispositivos necesarios para el trabajo y bloquear el acceso a los recursos corporativos desde otros dispositivos. Para las grandes empresas con filiales en varias ciudades y países, este proceso llevará algún tiempo.
No todos los sistemas se adaptan de igual forma a la transición hacia Zero Trust. Por ejemplo, si tu empresa tiene una infraestructura compleja puede incluir dispositivos o software obsoletos que no sean compatibles con los estándares de seguridad actuales. Sustituir estos sistemas llevará algo de tiempo y dinero.
Puede que tus empleados, incluyendo a los miembros del equipo informático y de la seguridad de la información, no estén listos para el cambio de estrategia. Después de todo, ellos serán los responsables del control de acceso y de gestionar tu infraestructura.
Eso significa que en muchos casos las empresas pueden necesitar un plan de transición gradual hacia Zero Trust. Por ejemplo, Google necesitó siete años para diseñar el marco BeyondCorp basado en Zero Trust. El tiempo de implementación puede ser significativamente más breve para las empresas con menos filiales, pero no esperes acelerar el proceso a algunas semanas o incluso meses.
Zero Trust, la seguridad del futuro
Por lo tanto, la transición de la seguridad del perímetro tradicional hacia la de la superficie de protección bajo el marco de Zero Trust, a pesar del uso de la tecnología disponible, puede resultar un proyecto muy lejos de lo simple o lo rápido, en términos de ingeniería y cambio de mentalidad de los empleados. Sin embargo, esto garantizará que la empresa se beneficie de una menor inversión en seguridad de la información, así como de la reducción del número de incidentes y los daños que se le asocian.