Los cambios repentinos que hemos experimentado el año pasado fueron un desafío aún mayor para los equipos de seguridad de TI corporativos. Han aparecido nuevos agujeros de seguridad con el modelo de trabajo desde casa, y los piratas informáticos y el software malicioso los explotan ampliamente, indica Rogério Soares, director de Quest Software en Latinoamérica.
Dentro de las estrategias de ciberdefensa se utiliza el concepto de “confiar, pero verificar”, concepto que exige un plan de defensa de alto perímetro, verificando todo el entorno en el que se ubicaron sus dispositivos y usuarios. De esta manera, se garantiza que los empleados accedan a las computadoras y sistemas de una empresa dentro de un entorno controlado y seguro. Cuando estos usuarios acceden a entornos externos a través de Internet, deben estar altamente monitoreados y controlados para que los atacantes no exploten estos accesos como una oportunidad de invasión.
Sin embargo, en un escenario donde no es posible garantizar la seguridad en el lugar de trabajo y el acceso a las redes corporativas, se deben emplear nuevos conceptos de defensa.
El modelo de seguridad Zero Trust, popularizado por el analista de Forrester, John Kindervag, introduce el concepto de «nunca confíe, compruebe siempre». En este concepto, todos los usuarios y computadoras se consideran poco confiables, lo que requiere que los usuarios, dispositivos y aplicaciones se verifiquen continuamente antes de permitir cualquier nivel de acceso. Este modelo plantea la necesidad de que las empresas establezcan políticas que implementen estándares de acceso dinámico, y que cuenten con mecanismos que puedan automatizar estas autorizaciones y revocaciones de acceso según las necesidades de cada empresa.
La implementación de Zero Trust requiere tres puntos clave, que son:
- Garantizar que se acceda a todos los recursos de forma segura, independientemente de su ubicación.
- No se debe confiar en todos los usuarios y deben aplicar una estrategia para administrar la información privilegiada y el acceso.
- Automatice el proceso que le permite aplicar y monitorear políticas definidas.
Según la encuesta Zero Trust Progress Report 2020 de 400 tomadores de decisiones de seguridad, el 72% de los encuestados están implementando o planificando proyectos de adopción de Zero Trust. En esta misma encuesta, los participantes señalan que los mayores desafíos en sus corporaciones son los privilegios excesivos en las cuentas de sus empleados, la dificultad para controlar el acceso otorgado a los socios comerciales y la vulnerabilidad en los dispositivos personales de sus empleados.
Si bien es un desafío aplicar un modelo de seguridad que implica cambios importantes, implementar este nuevo modelo no tiene por qué ser difícil. Es posible adoptar este modelo de forma paulatina y, así, con una planificación realista y los socios adecuados, encontrar una implementación viable para la realidad de las empresas. Esta implementación debe ir precedida de un análisis de las principales vulnerabilidades a ser atacadas por las empresas y una evaluación de tecnologías y socios comerciales que puedan garantizar la implementación de los 3 Principios de Confianza Cero.
imagen: @sitthiphong