Los modelos tradicionales de seguridad empresarial se basan en la confianza. Si un usuario es de confianza, ese usuario obtiene acceso a la red corporativa y a todo lo que la red conlleva. En este modelo de "castillo y foso", la seguridad basada en hardware protege toda la red autónoma de propiedad corporativa, con acceso administrado a través de puertas de enlace de hardware.
Pero el modelo de castillo y foso se diseñó hace medio siglo para asegurar el trabajo realizado in situ, dentro de un edificio de oficinas seguro. En la actualidad, los empleados trabajan fuera de los muros del castillo corporativo, en Internet, en la nube e incluso desde casa. Además, ahora existen más retos de seguridad que nunca, lo que significa que se necesitan pilas de hardware más caras alojadas cerca de los usuarios.
Los recientes ciberataques (como el sufrido por la empresa cárnica JBS) ponen de manifiesto las deficiencias del modelo de castillo y foso: la fortaleza de su seguridad es realmente la de su punto más débil (por ejemplo, la vulnerabilidad de los empleados a los correos electrónicos de suplantación de identidad), y una vez que se vulnera la seguridad de la red, todos los sistemas conectados a ella se encuentran en peligro. La mayor limitación del modelo es quizá la falta de concienciación sobre la seguridad. Los responsables de las tecnologías de la información (TI) que se basan en los modelos de seguridad tradicionales no suelen tener forma de medir la "seguridad" de sus entornos. De hecho, la mayoría no saben que sus empresas han sido hackeadas hasta que ven pruebas (como datos rescatados) tras un ataque.
La confianza cero es una solución más eficaz para preservar la ciberseguridad empresarial. En concepto, la confianza cero es un marco para proteger los datos de la empresa, aplicando controles de acceso de privilegio mínimo y disociando efectivamente la seguridad de la red corporativa.
La confianza cero en la teoría
En 2010, los analistas de seguridad de Forrester esbozaron un nuevo enfoque de la ciberseguridad que la sacaba del ámbito de los controles del perímetro de la red y la aplicaba a todos los datos en movimiento. La confianza cero afirma que todo el tráfico de datos de cualquier persona, a cualquier lugar, a través de cualquier ruta es potencialmente hostil y desafía la legitimidad de los datos en cada etapa del viaje.
Para profundizar, la confianza cero se caracteriza por cuatro principios clave:
- Cualquier nivel de autenticación requiere un acceso con los privilegios mínimos para todos y todo, en todas partes: nunca se concede una confianza implícita a usuarios, dispositivos o cargas de trabajo.
- Tanto si se trata de unir al usuario a la aplicación, la aplicación a la aplicación o la carga de trabajo a la carga de trabajo, la conectividad es directa y efímera y se basa en la microsegmentación a nivel de aplicación, sin segmentación de red.
- Las aplicaciones, los usuarios y los sistemas corporativos siguen siendo invisibles en el Internet abierto.
- Internet es la nueva red corporativa.
En cuanto a los términos de seguridad, la confianza cero es una propuesta atractiva. Si los hackers se aprovechan de la confianza, los responsables de seguridad minimizan la emisión de confianza para reducir el riesgo de ciberataque. Pero cuando se introdujo por primera vez en 2010, el concepto de confianza cero estaba por delante de su tiempo y su adopción comercial tardó en despegar. Las arquitecturas de seguridad heredadas no podían adaptarse ni rediseñarse fácilmente para acomodar un modelo de seguridad dinámico de seguimiento de datos.
La confianza cero en el mundo real
Una década después de su introducción, la implantación y la promoción de la confianza cero está aumentando como una forma de asegurar la nueva forma de trabajo en la nube, agnóstica a dispositivos y de acceso remoto. El uso de la confianza cero en un entorno empresarial obliga a los líderes a replantearse las conexiones de red.
Con la confianza cero, las conexiones individuales son aisladas, efímeras y directas, suplantando la noción tradicional de una red corporativa "siempre activa, siempre abierta". La seguridad se aplica a través de un proxy y se adapta específicamente a cada instancia de conectividad. El proxy (un sistema basado en la nube, idealmente replicado cerca de donde se encuentra cada usuario) inspecciona, evalúa y protege cada paquete de datos del usuario que llega o sale, blindando eficazmente al usuario final de los ataques y de la visibilidad de los autores de las amenazas.
En agosto de 2020, después de una consulta prolongada con un consorcio de expertos en la industria de la ciberseguridad, el Instituto Nacional de Estándares y Tecnología (NIST, por sus siglas en inglés) emitió sus pautas para una arquitectura de confianza cero (ZTA, por sus siglas en inglés). El estándar del NIST enfatiza dos requisitos para un ZTA moderno: la seguridad se basa en la política y la seguridad se entrega a través de proxy.
Por ejemplo, un usuario se conecta de forma remota y va directamente a un proxy cercano basado en la nube que autentifica al usuario basándose en la política empresarial definida por la dirección de la empresa. A partir de ahí, el usuario se conecta directamente y solo a los recursos autorizados.
En el modelo ZTA definido por el NIST, no hay confianza asociada porque técnicamente no se concede acceso a la red, ya que los usuarios se conectan solo a recursos de destino específicos e individuales, como un sitio web o una aplicación corporativa. Los datos que llegan al usuario individual también se cuestionan, con una seguridad adaptable que se ofrece en el perímetro del servicio de la nube basado en proxy. Ni entra ni sale nada malo.
Menor exposición, radio de explosión limitado y supervisión exhaustiva
En un entorno ZTA, Internet actúa como el equivalente de una columna vertebral de red. Los datos (autorizados por la política de seguridad basada en proxy) viajan directamente a su destino, incluidos los centros de datos corporativos o los recursos privados alojados en la nube, a través de los intercambios de Internet, aliviando la necesidad de una organización de poseer y gestionar la infraestructura de red física.
Los autores de las amenazas atacan lo que pueden ver. Un modelo ZTA oculta cada dispositivo, sistema, usuario, aplicación y carga de trabajo individual detrás de esa seguridad adaptable en el perímetro de la nube entregada por proxy. Y eso desalienta bastante a los hackers.
Además, puesto que la red está efectivamente suplantada, se minimizan los daños potenciales. Si un atacante rompe de alguna manera la defensa de confianza cero, ese autor de la amenaza (o el malware del autor de la amenaza) no puede moverse lateralmente a otros sistemas dentro de una organización. Compare esto con los recientes ataques de ramsomware en los que los ciberdelincuentes que violan un perímetro pueden moverse de sistema en sistema dentro de la red corporativa y apoderarse de los datos con impunidad.
Quizá la ventaja de seguridad más atractiva de la confianza cero sea el control que proporciona, sobre todo en lo que respecta a la supervisión. En un entorno ZTA, los recursos pueden ser invisibles para el mundo exterior, pero el tráfico de datos es totalmente visible para la administración. Esto permite a los responsables de TI controlar el acceso a la nube y a Internet y gestionar las actividades de TI tradicionalmente clandestinas, como el desarrollo no autorizado de terceros o el trabajo incontrolado fuera del perímetro.
Lo que las juntas directivas pueden pedir a los directivos
El riesgo cibernético es un riesgo empresarial y la gestión de la ciberseguridad es un imperativo ejecutivo. Los miembros de la junta directiva tienen la oportunidad de guiar a sus organizaciones hacia un presente y un futuro ciberseguros, empezando por plantear las siguientes cuestiones a la dirección:
- En la organización, ¿quién se encarga de la ciberseguridad, incluida su valoración, las operaciones y la planificación?
- ¿Cuál es la exposición al riesgo de la organización?
- ¿Cómo mide la organización la postura de amenazas?
- ¿En qué punto del recorrido hacia un ZTA compatible con el NIST se encuentra la organización?
Dada la creciente frecuencia, riesgo y gravedad potencial de las amenazas cibernéticas globales en la actualidad, la adopción de la confianza cero ya no puede ser una cuestión de cuándo, sino más bien de por qué aún no.
Kavitha Mariappan es vicepresidenta ejecutiva de experiencia del cliente y transformación en Zscaler, una empresa de ciberseguridad basada en la nube.
NACD: Herramientas y recursos para guiarle en tiempos impredecibles.
