Adrián García Porta. En la actualidad, el mundo empresarial y de los negocios, se encuentra inmerso en un entorno digitalizado en el cual el volumen de datos que se transfieren componen la piedra angular. Pero cualquier sistema digital tiene riesgo de fuga o corrupción de la información haciéndose necesaria la protección de las redes y el aumento de la seguridad en todas las organizaciones.
¿Qué es "Zero Trust"?
Uno de los sistemas más punteros en el ámbito de la ciberseguridad es la denominada arquitectura Zero Trust (Confianza Cero), un método para diseñar la infraestructura de ciberseguridad de la red de una organización basado en el principio de que no se otorga confianza implícita a ninguna parte de la red. Como explicó Marc Lueck, CISO EMEA de Zscaler en el reciente XI Foro de la Ciberseguridad de ISMS Forum, celebrado en Madrid el pasado 12 de mayo, para reforzar la ciberseguridad e las organizaciones resulta fundamental eliminar la confianza implícita entre sus miembros. Esta metodología se basa en tres principios: verificar (lo que incluye autenticar y autorizar); limitar (lo que incluye otorgar menos privilegios de acceso) y adaptar, ajustando los derechos de acceso (porque que hayas confiado ayer no significa que puedas seguir confiando mañana). Pero hay que tener en cuenta que Zero Trust no es una simple etiqueta, sino una metodología de trabajo. Que para implantarla hay que analizar previamente la confianza implícita en cada proyecto y en cada arquitectura, eliminándolo siempre que sea posible y, finalmente, elegir la tecnología que se va a aplicar, en función de sus resultados y no de que lleve la etiqueta de Zero Trust.
Confirmando la importancia de esta metodología, en agosto del 2022 el World Economic Forum (WEF) ha publicado un dossier explicativo titulado "The ‘Zero Trust’ Model in Cybersecurity: Towards understanding and deployment" (El modelo 'Zero Trust' de ciberseguridad: hacia su entendimiento y despliegue), dedicado a presentar sus características y ventajas. Dicho organismo asegura que la "confianza cero" ha ganado fuerza en el ámbito de la ciberseguridad como medio para proteger las redes y aumentar la seguridad en todas las organizaciones. Por ello, a medida que las organizaciones de todos los sectores, incluido el sector del petróleo y el gas, comienzan a diseñar y desplegar este concepto de seguridad, se hace necesario explicar y fundamentar en que consiste dicho concepto.
A estos efectos, el WEF no solo explica dicho concepto, sino que da unas pautas para poder desarrollarlo e implementarlo en la red de ciberseguridad de las empresas. Dichas pautas consisten en:
Concepto Zero Trust
En pocas palabras, podemos definir el concepto "Zero Trust" como un escudo antifugas de información ya que se plantea la idea de que, en la cadena del tráfico de datos, todos los eslabones son débiles o están expuestos a corromper la cadena, desde el ultimo empleado hasta el CEO. Se trata, como hemos indicado anteriormente, de una filosofía o mentalidad para construir un modelo de seguridad defendible que abarque una variedad de diferentes medidas de seguridad, capacidades, mejores prácticas y muros tecnológicos.
En este sentido, nuevas tecnologías, como la inteligencia artificial y la biometría, pueden ayudar a gestionar mejor los ciberriesgos y contribuir a la aplicación de los principios rectores de la Zero Trust. Por ello, este documento de la WEF aclara la definición, desarrollo y despliegue del modelo de confianza cero para mejorar la ciberseguridad en todos los sectores.
Es un cambio en el enfoque de la seguridad sobre cómo establecer de forma dinámica confianza frente a "un desconocido", ya sea un ser humano o una máquina. Es un modelo basado en principios y centrado en los datos que impone la verificación continua y la visibilidad de la confianza basada en el riesgo.
Principios rectores de la Zero Trust
"Nunca confíes, siempre verifica" es quizás el principio más citado de la confianza cero. Sin embargo, a menudo el modelo de seguridad de seguridad se basa en un conjunto más amplio de principios rectores, algunos de los cuales han sido proporcionados por el Instituto Nacional de Estándares y Tecnología y la Agencia de Seguridad Nacional de Estados Unidos. Aunque cada organización debe analizar qué principios contextuales debe tener en cuenta en función de la viabilidad de su aplicación, el grupo de acción Zero Trust ha identificado los cinco siguientes como clave para diseñar un enfoque amplio de la confianza cero:
1. -No establecer la confianza por defecto
2. -Garantizar la visibilidad
3. -Aplicar la confianza con una verificación dinámica y continua verificación
4. -Utilizar el “least privilege” (mínimo privilegio).
Pautas para implementar la metodología Zero Trust
- Establecer la no confianza por defecto.
- Garantizar la visibilidad.
- Aplicar la confianza con una verificación dinámica y continua.
- Utilizar el "mínimo privilegio".
- Garantizar la mejor experiencia posible para el usuario final.
Beneficios y conceptos de la "Zero Trust"
Los beneficios que reporta dicha técnica de Ciberseguridad son claros, ayuda a las organizaciones a tener más éxito a la hora de detener o limitar los eventos de seguridad en contraste con los modelos de seguridad basados en el perímetro, muy estructurados pero cada vez más ineficaces.
Proporciona un enfoque más estructurado y basado en el riesgo para implementar la ciberseguridad dentro de una empresa a la vez que facilita un mayor grado de comprensión en términos de disponibilidad y empleo de los activos y recursos corporativos. En este sentido, permite una mejor protección de los datos y la red.
Asimismo, permite la visibilidad de la red corporativa para garantizar que sólo los usuarios, dispositivos y servicios autorizados puedan acceder a los recursos especificados. Un mejor conocimiento de la situación, en última instancia, contribuye a mejorar el cumplimiento de los reglamentos y normas de ciberseguridad.
A medida que la fuerza de trabajo cambia a un modelo de trabajo híbrido, la confianza cero puede permitir a los trabajadores acceder de forma segura a la red y a los recursos de la empresa, independientemente de que se encuentren dentro o fuera de las instalaciones.
Ejemplo de corporacion española adscrita al Zero Trust (REPSOL)
Repsol ha adoptado la confianza cero con dos enfoques diferentes: como mentalidad y como programa.
Como mentalidad: Cada iniciativa y requerimiento de seguridad se piensa con los principios de confianza cero como parte de un proceso de diseño de seguridad.
Como programa: Para alcanzar la madurez en esta arquitectura y cambiar realmente el paradigma, Repsol reconoce que se necesitan algunos proyectos de transformación y un equipo multidisciplinar dedicado.
La pieza clave para tener éxito en el programa es el patrocinio adecuado para impulsar la transformación. La alta dirección tiene que informarse sobre el concepto y debe apoyar el programa, mientras que los equipos clave de áreas como arquitectura, aplicaciones y arquitectura, las aplicaciones y la infraestructura deben estar muy comprometidos.
La organización es consciente de que se trata de un viaje continuo en el que debe ajustar su plan de acción a la preparación del entorno y a la naturaleza siempre cambiante de las amenazas.