Desconfiar de todo dentro y fuera de los perímetros de la empresa puede ser la clave para la seguridad.
El modelo de Zero Trust Network, también conocido como Zero Trust Architecture, creado por John Kindervag en 2010, es actualmente implementado por CIOs, CISOs y demás ejecutivos; gracias a la creciente demanda para proteger los sistemas y datos empresariales.
¿En qué consiste Zero Trust?
Es un concepto de seguridad basado en la creencia de que las organizaciones deben desconfiar automática de todo dentro y fuera de sus perímetros, y deben verificar todo lo que trate de conectarse a sus sistemas antes de darles acceso.
“La estrategia en torno a Zero Trust se reduce a no confiar en nadie. Estamos hablando de: ‘Vamos a cortar todo acceso hasta que la red sepa quién es usted’. No permite el acceso a direcciones IP, máquinas, etc. hasta que sepa quién es ese usuario y si está autorizado o no “, comentó Charlie Gero, CTO del Enterprise and Advanced Projects Group en Akamai Technologies.
Seguridad para un mundo cambiante
Este modelo de seguridad deja de lado la vieja mentalidad que tenías las corporaciones de defender sus perímetros, asumiendo que todo lo que se encontraba dentro de ellas no presentaba amenaza alguna, autorizando su acceso.
Expertos en seguridad son claros al decir que este tipo de enfoques no son funcionales, señalando que muchas de las violaciones de datos realizadas por hackers, utilizaron a su favor la facilidad con las que pueden mover a través de los sistemas internos casi sin resistencia luego de obtener acceso dentro de los firewalls.
“Uno de los problemas inherentes que tenemos en TI es que permitimos que demasiadas cosas se ejecuten abiertamente con demasiadas conexiones predeterminadas. Básicamente confiamos demasiado. Por eso despegó Internet, porque todos podían compartir todo el tiempo. Pero también es un punto clave de falla: si confías en todo, entonces no tienes la oportunidad de cambiar nada de seguridad”, agregó Chase Cunningham, analista principal de Forrester.
Los departamentos de TI deben cambiar su manera de pensar, ya que el mundo digital está en constante cambio. Actualmente las empresas no cuentan con centros de datos corporativos que prestan servicios a una red de sistemas contenida, si no que tienen tanto aplicaciones tanto locales como en la nube, accediendo a aplicaciones desde una variedad de dispositivos.
Las tecnologías detrás de Zero Trust
Zero Trust se basa en tecnologías existentes y diversos procesos de gobierno con la meta de lograr un entorno de TI seguro. Exige que las empresas aprovechen la microsegmentación y la aplicación de perímetro granular en función de los usuarios, sus ubicaciones y otros datos para determinar si se debe confiar en un usuario, máquina o aplicación que busque acceder a una parte específica de la empresa.
Para lograr lo mencionado anteriormente, se recurre a tecnologías como la autenticación multifactorial, el análisis, cifrado, clasificación y permisos del sistema de archivos. Además, se exigen políticas de gobernabilidad como lo es dar la menor cantidad de acceso a los usuarios del necesario para realizar una tarea específica.
Cunningham dice que piensa en Zero Trust como organizaciones que retoman el control del campo de batalla.
“Tomemos la segmentación de red y los firewalls de próxima generación y coloquémoslos en segmentos y controlemos quién, qué, dónde y cuándo alguien se conecta. Entonces diseñamos desde el interior de la red hacia afuera y de afuera hacia adentro. Como es el caso con las TI en general en estos días, Zero Trust no es solo tecnología; también se trata de procesos y mentalidad “, reiteró Bill Mann, vicepresidente senior de productos y director de productos en Centrify Corp.
Comenzando con Zero Trust
Diferentes empresas de TI ya están implementando herramientas de Zero Trust, como la autenticación multifactor, IAM y permisos de acceso a archivos funcionando. Sin embargo, la idea no es implementar las tecnologías individualmente, si no utilizar estas y otras tecnologías para lograr cumplir la meta de que nadie ni nada tiene acceso hasta demostrarse que son de confianza.
Es importante recalcar que las empresas no van a llegar a Zero Trust de un día para otro, especialmente aquellas que heredaron sistemas que no se adaptan bien a los nuevos modelos.
“Muchas empresas se están cambiando a la nube y, por lo tanto, a entornos de campo ecológico. Esos son los lugares perfectos para ir a Zero Trust. Allí es donde comienza su viaje de Zero Trust “, afirmó Cunningham.
Otro aspecto importante que se debe tomar en cuenta al pasarse a Zero trust, es lograr que el personal piense de esta manera.
“La mayoría de los expertos en TI organizacionales han sido entrenados a confiar implícitamente en sus entornos, desafortunadamente. Todos han sido (enseñados) a pensar que el firewall está manteniendo a los malos fuera. La gente necesita ajustar su mentalidad y comprender que los malhechores ya están en su entorno “, expresó Cunningham.
Kieran Norton, director de la práctica de Cyber Risk Services dentro de Deloitte Risk and Financial Advisory, explica que la complejidad que presenta la aplicación de Zero Trust a entornos heredados y existentes, reside en que las empresas no han sido capaces de implementar de manera completa este modelo.
Norton a su vez aconseja que la innovación hacia el modelo de Zero Trust se debe implementar como parte de la estrategia global de transformación digital, implementando tecnologías que permitan una migración hacia el Zero Trust y hacia la nube.
“Pienso en esto como una transformación de la infraestructura. La seguridad de la información no ha seguido el ritmo de esta transformación digital. Pero tienes que transformar la manera en que administras la seguridad. Deberías pensar en la seguridad ubicua, quieres ser predictivo, por lo que realmente debes pensar en eso de manera diferente “, concluyó Norton.
Fuente: revistaitnow.com
