Zero Trust: Pasado, presente y futuro
Un estudio reciente de CyberRisk Alliance reveló algunas estadísticas sorprendentes sobre la seguridad de Zero Trust.
Aunque el término se remonta a casi 30 años atrás, sólo el 35% de los responsables de seguridad encuestados estaban muy familiarizados con esta práctica. Y a pesar de la oleada de incidentes de seguridad de los últimos años, el mismo porcentaje estaba muy seguro de sus capacidades de Zero Trust.
Hay una desconexión. Según nuestra experiencia, aunque el interés por Zero Trust está creciendo, muchos responsables de seguridad parecen estar confundidos sobre cómo aplicar esta práctica correctamente. Demasiados creen que puede resolverse simplemente incorporando un nuevo producto o actualizando los antiguos, pero lo que realmente se necesita es una mejor comprensión de lo que es la seguridad Zero Trust: cómo incorpora una mezcla de productos, procesos y personas para proteger los activos corporativos de misión crítica.
El concepto de Zero Trust es sencillo: "nunca confíes, siempre verifica". Puede parecer duro para los usuarios que se han acostumbrado a un acceso fácil y sin problemas a la información, pero es una política sólida. Preferimos utilizar la frase "mutuamente sospechoso", que es similar. Significa, en efecto, "aquí tienes quién soy yo; demuéstrame quién eres tú".
Hasta cierto punto, la práctica -así como el término- es antigua, ya que se remonta a los miniordenadores y los mainframes. Se trata de exigir una buena higiene digital, acorde con el cambio y amplificación de nuestro entorno. Ahora, con la nube, los dispositivos de borde y los centros de datos que abren más puntos finales a los ataques, las organizaciones tienen que confiar en algo más que en los cortafuegos para mantener a los intrusos fuera.
Las organizaciones necesitan alinear sus procesos y personas, junto con sus productos, para lograr una verdadera Zero Trust.
Los productos son un paso sencillo. Básicamente, lo que se necesita es una línea completa de tecnologías de seguridad que verifiquen la identidad, la ubicación y la salud del dispositivo. El objetivo es minimizar el radio de explosión y limitar el acceso al segmento. Aunque no hay un solo producto o plataforma que logre todos estos objetivos, un programa exitoso Zero Trust incorporará elementos de gestión de identidades, autenticación multifactorial y acceso con mínimos privilegios.
Implicar a las personas
Las tecnologías de Zero Trust están disponibles para cubrir todas las superficies de ataque y proteger a las organizaciones, pero no significan nada sin las personas que las utilizan, por lo que es fundamental alinear el éxito y la seguridad de la empresa con el éxito y la seguridad de los empleados. Esto significa dar prioridad a una cultura de transparencia, comunicación abierta, confianza en el proceso y fe en la capacidad de los demás para hacer el bien.
Para implantar con éxito la tecnología de Zero Trust en una cultura corporativa, las organizaciones deben implicar a los empleados en el proceso. No hay que limitarse a lanzar un mandato de arriba abajo y esperar que funcione. Alerte a los empleados sobre lo que está ocurriendo, lo que implica el proceso de Zero Trust, cómo les afecta y beneficia a ellos y a la empresa, a qué deben prestar atención y cómo pueden apoyar el proceso de confianza cero.
Al involucrar a los empleados y desafiarlos a adoptar una dosis saludable de escepticismo hacia las amenazas potenciales, los empleadores están plantando las semillas de la seguridad en todo su esqueleto organizacional. Una vez que los empleados comprenden lo que ocurre y el valor del Zero Trust, ellos también empiezan a sentir confianza y se sienten capacitados para formar parte de la red de ciberseguridad más amplia. Esto permite a los empleados identificar proactivamente las amenazas internas y externas a la empresa, cubriendo todas las superficies y fomentando una buena higiene de seguridad.
Reevaluar los procesos
La seguridad de Zero Trust requiere una importante reelaboración de los procesos generales de la organización.
Uno de los movimientos más importantes que pueden hacer es definir y evaluar cada aspecto de su entorno de seguridad de datos. Esto incluye identificar dónde se almacenan todos los datos no estructurados de la organización, a qué fines empresariales sirven los almacenes de datos específicos, quién tiene acceso a ellos y qué tipo de controles de seguridad existen ya. Una evaluación exhaustiva de los permisos ayudará a orientar el desarrollo de una política integral de gestión de accesos. Algunos activos requerirán una protección de Zero Trust; otros no. Todos los dispositivos que se conecten a una red tendrán que ser contabilizados, para que puedan defenderse de los ataques externos de phishing.
Un mecanismo tecnológico clave que puede ayudar a las organizaciones en un mundo de Zero Trust es la inmutabilidad, es decir, la creación de copias de datos que no pueden modificarse ni eliminarse. Esto garantiza que las organizaciones no pierdan datos ni permitan que acaben en manos equivocadas.
Una práctica que se pasa por alto es definir un marco común de Zero Trust para toda la organización. No sirve de nada que los equipos tengan que interpretar conjuntos de convenciones confusos o reinventar lo que significa "Zero Trust" proyecto por proyecto.
Por último, y quizás lo más importante, es la necesidad de reevaluar y revisar sus procesos de Zero Trust. Es como ir al gimnasio: el ejercicio se convierte en una forma de vida, y las personas activas modifican sus rutinas de entrenamiento todo el tiempo. Lo mismo ocurre con la seguridad. Zero Trust es un proceso continuo. Nunca se acaba.
Mantener la flexibilidad
Los paisajes de las amenazas seguirán evolucionando con el tiempo. Las organizaciones que adopten un enfoque Zero Trust tendrán que seguir desarrollando un plan integral y, a continuación, revisar continuamente sus tecnologías, procesos y prácticas de personal para satisfacer sus necesidades futuras.
Dave Russell, vicepresidente de estrategia empresarial de Veeam Software
Rick Vanover, Senior Director Product Strategy de Veeam Software