Zero Trust; Una alternativa a los modelos de seguridad

Corría el año 2010 cuando John Kindervag, que en aquel momento era analista principal de Forrester Research Inc., creó el modelo Zero Trust Network, o Zero Trust Architecture.

Ahora, siete años después, Cio, Ciso y otros ejecutivos corporativos implementan Zero Trust cada vez más a medida que las tecnologías que lo respaldan entran en la corriente principal, a medida que la presión para proteger los sistemas y datos empresariales crece significativamente y los ataques se vuelven más sofisticados.

"En tres años, creo que Zero Trust será citado como uno de los grandes marcos en ciberseguridad", confiesa Chase Cunningham, analista principal de Forrester.

¿Qué es Zero Trust?

Zero Trust es un concepto de seguridad centrado en la creencia de que las organizaciones no deben confiar automáticamente en nada dentro o fuera de sus perímetros y en su lugar deben verificar todo lo que intente conectarse a sus sistemas antes de otorgar acceso.

¿Por qué Zero Trust? 

El Informe Anual de Cibercrimen 2017 de Cybersecurity Ventures predice que el cibercrimen le costará al mundo seis billones de dólares anuales para el año 2021, un aumento frente a los  tres billones de dólares de 2015.

Mientras tanto, el Estudio de Violación de Datos 2017, realizado por Ponemon Institute y patrocinado por IBM, descubrió que el costo promedio global de una violación de datos es de 3,62 millones de dólares. Aunque esa cifra es inferior a la del año anterior, el estudio encontró que el tamaño promedio de las brechas de datos aumentó 1,8 por ciento a más de 24.000 registros.

Estas cifras se producen a pesar de que las organizaciones gastan cada vez más en sus esfuerzos de ciberseguridad. Gartner Inc. fijó el gasto mundial en productos y servicios de seguridad de la información en 86,4 mil millones de dólares en 2017, un 7% más que en 2016. Según la compañía, en 2018 el gasto llegará a los 93 mil millones de dólares. 

"Reconociendo que los enfoques existentes no están haciendo lo suficiente, los líderes empresariales están buscando algo mejor, y están descubriendo que el modelo Zero Trust puede ofrecer los mejores resultados", dice Cunningham.

Seguridad para un mundo nuevo

Los expertos en seguridad y tecnología señalan que el enfoque del castillo y el foso (organizaciones enfocadas en defender sus perímetros mientras asumían que todo lo que ya estaba dentro no representaba una amenaza), no funciona. Destacan el hecho de que algunas de las violaciones de datos más atroces ocurrieron porque los hackers, una vez que obtuvieron acceso dentro de los firewalls corporativos, pudieron moverse a través de los sistemas internos sin mucha resistencia.

"Uno de los problemas inherentes que tenemos en TI es que permitimos que demasiadas cosas se ejecuten demasiado abiertamente con demasiadas conexiones predeterminadas. Básicamente confiamos demasiado ", dice Cunningham. "Por eso despegó Internet, porque todos podían compartir todo el tiempo. Pero también es un punto clave de falla: si confías en todo, entonces no tienes la oportunidad de cambiar nada de seguridad ".

Las tecnologías detrás de Zero Trust

El enfoque Zero Trust se basa en varias tecnologías existentes y procesos de gobierno para cumplir su misión de asegurar el entorno de TI de la empresa. Exige que las empresas aprovechen la microsegmentación y la aplicación de perímetro granular en función de los usuarios, sus ubicaciones y otros datos para determinar si se debe confiar en un usuario, máquina o aplicación que busque acceder a una parte específica de la empresa.

Para hacer esto, Zero Trust recurre a tecnologías tales como autenticación multifactorial, IAM, orquestación, análisis, cifrado, puntuación y permisos del sistema de archivos. También exige políticas de gobernabilidad tales como dar a los usuarios la menor cantidad de acceso que necesiten para realizar una tarea específica.

Como es el caso con las TI en general en estos días, Zero Trust "no es solo tecnología; también se trata de procesos y mentalidad ", agrega Mann.