Cinco errores que hay que evitar al implantar la confianza cero

El interés por la seguridad 'Zero Trust' ha aumentado significativamente en los últimos dos años entre las organizaciones que buscan mejores formas de controlar el acceso a los datos de la empresa en entornos de nube y locales para trabajadores remotos, contratistas y terceros.

Varios son los factores que impulsan esta tendencia, como las amenazas cada vez más sofisticadas, la aceleración de la adopción de la nube y el amplio cambio hacia entornos de trabajo remotos e híbridos debido a la pandemia. Muchas organizaciones han descubierto que los modelos de seguridad tradicionales, en los que se confía implícitamente en todo lo que está dentro del perímetro, no funcionan en entornos en los que los perímetros no existen y los datos de la empresa y las personas que acceden a ellos están cada vez más distribuidos y descentralizados.

Una orden ejecutiva de la Administración Biden en mayo de 2021 que exige a los organismos federales que apliquen la seguridad 'Zero Trust' ha aumentado el interés en todos los ámbitos. En una encuesta de 362 líderes de seguridad que Forrester Research realizó el año pasado en nombre de Illumio, dos tercios de los encuestados dijeron que sus organizaciones planeaban aumentar los presupuestos 'Zero Trust' en 2022. Más de la mitad (52%) esperaba que su programa Zero Trust aportara beneficios significativos a toda la organización y el 50% dijo que permitiría migraciones a la nube más seguras.

Los proveedores de ciberseguridad, percibiendo una gran oportunidad, se han apresurado a comercializar una serie de productos etiquetados como tecnologías 'Zero Trust'. Una encuesta informal que la empresa de análisis IT-Harvest realizó en los sitios web de unos 2.800 proveedores mostró que 238 de ellos destacaban la confianza cero. "Después de que la Casa Blanca y la CISA emitieran directrices para pasar a un enfoque 'Zero Trust', todo el mundo quiere alinearse con el concepto", afirma Richard Stiennon, analista jefe de investigación de IT-Harvest.

La exageración en torno a estas tecnologías ha provocado una gran confusión, lo que ha llevado a Forrester Research, la empresa de análisis que introdujo por primera vez el concepto, a aclarar su definición de Zero trust moderna a principios de este año. "Las noticias falsas propagadas por los proveedores de seguridad sobre Zero Trust provocaron la confusión de los profesionales de la seguridad", dijo Forrester. "ZT es un modelo de seguridad de la información que niega el acceso a las aplicaciones y los datos por defecto. La prevención de amenazas se consigue concediendo únicamente el acceso a las redes y cargas de trabajo utilizando una política informada por una verificación continua, contextual y basada en el riesgo de los usuarios y sus dispositivos asociados".

He aquí cinco errores que las organizaciones deben evitar al aplicar una estrategia de seguridad de confianza cero:

1.Asumir que la confianza cero es todo sobre ZTNA

Implementar el acceso a la red 'Zero Trust' (ZTNA) es fundamental para lograr la confianza cero.  Pero la ZTNA por sí sola no es confianza cero.

ZTNA es un enfoque para garantizar que los empleados remotos, los contratistas, los socios comerciales y otros tengan un acceso seguro y adaptable basado en políticas a las aplicaciones y los datos de la empresa. Con ZTNA, a los usuarios se les concede el acceso sobre una base de mínimos privilegios, basándose en su identidad, función e información en tiempo real sobre el estado de seguridad de sus dispositivos, su ubicación y una variedad de otros factores de riesgo.

Cada solicitud de acceso a una aplicación, datos o servicio de la empresa se examina en función de estos criterios de riesgo y el acceso se concede únicamente al recurso específico solicitado y no a la red subyacente.

En los últimos dos años, muchas organizaciones han implantado o empezado a implantar la ZTNA como sustituto del acceso remoto a las VPN. El cambio repentino a un entorno de trabajo más distribuido debido a la pandemia sobrecargó las infraestructuras de VPN en muchas organizaciones y las obligó a buscar alternativas más escalables.

"Un caso de uso importante que impulsa la ZTNA es el aumento o la sustitución de las VPN, impulsado por una escala de trabajo remoto nunca vista hasta ahora", afirma Daniel Kennedy, analista de 451 Research, que forma parte de S&P Global Market Intelligence. 

Históricamente, las redes privadas virtuales (VPN) proporcionaban acceso a una red corporativa más que a recursos específicos, que hoy en día pueden estar alojados en cualquier lugar. El tráfico de retorno a través de una VPN y luego de vuelta a los recursos alojados fuera de una red corporativa es la aplicación de un paso innecesario, dice Kennedy. "ZTNA proporciona acceso a un nivel más granular y revalida ese acceso en lugar de proporcionar sólo una puerta de autenticación al inicio del acceso".

Pero ZTNA es sólo una parte de la historia de Zero Trust. Una organización no puede decir de forma creíble que ha implementado la confianza cero sin haber implementado alguna de las dos cosas, o preferiblemente ambas: la gestión de identidades privilegiadas y la microsegmentación, dice David Holmes, analista de Forrester Research.

Forrester define la microsegmentación como un enfoque para reducir el impacto de una filtración de datos aislando los datos y sistemas sensibles, colocándolos en segmentos de red protegidos y limitando el acceso de los usuarios a esos segmentos protegidos con una sólida gestión de identidades y gobernanza.

El objetivo es minimizar la superficie de ataque y limitar las consecuencias de una brecha.  La clave de Zero Trust es garantizar que los usuarios, incluidos los que tienen acceso privilegiado a las funciones de administración, no tengan más acceso a las aplicaciones y los datos que necesitan, afirma Forrester.

2. Confundir la confianza cero con un producto

Hay muchas herramientas y productos que pueden ayudar a las organizaciones a implementar una estrategia 'Zero Trust'. Pero no hay que confundirlos con la estrategia en sí.

"Una filosofía de confianza cero consiste básicamente en dejar de extender la confianza implícita a las aplicaciones, los dispositivos o los usuarios en función de su origen", dice Kennedy. En su lugar, se trata de implementar un enfoque de denegación/menor privilegio de acceso por defecto con una evaluación continua del riesgo que puede cambiar en función de factores como el comportamiento del usuario o de la entidad, por ejemplo, nos explica.

A la hora de considerar las tecnologías para aplicar la estrategia, hay que ignorar las etiquetas y buscar productos con capacidades que se vinculen a los principios fundamentales de Zero trust tal y como se definieron originalmente.

"Los términos evolucionan, por supuesto, como lo ha hecho éste", dice Kennedy. "Pero vienen con connotaciones. Así que las asociaciones con los enfoques de los productos deben estar arraigadas en alguna conexión realista con la filosofía esbozada". Esto significa contar con tecnologías que apoyen los principios clave de Zero Trust, como la microsegmentación, el perímetro definido por software y la integridad de los dispositivos.

"La mayor desconexión que veo y que está causando expectativas insatisfechas es confundir una estrategia o filosofía de confianza cero con la implementación de un producto específico", dice Kennedy.

3. Asumir que se puede lograr la confianza cero sin una higiene de seguridad básica

La implementaciñon de las herramientas adecuadas no es suficiente si no se presta atención a los aspectos fundamentales, afirma John Pescatore, director de tendencias de seguridad emergentes del Instituto SANS.

"En el lado de las operaciones, el gran error es pensar que se puede alcanzar la confianza cero sin lograr primero una higiene de seguridad básica", dice. "Si no se puede confiar en que los puntos finales estén configurados de forma segura y se mantengan parcheados; si no se puede confiar en las identidades porque se utilizan contraseñas reutilizables; y si no se puede confiar en el software porque no se ha probado, entonces es imposible conseguir beneficios de confianza cero", afirma Pescatore.

Las herramientas pueden ayudar en el aspecto tecnológico de la seguridad Zero Trust. Pero incluso con ellas, hay mucho trabajo intelectual que no se puede evitar, dice Holmes de Forrester. "Por ejemplo, una organización sigue necesitando un enfoque convincente para la clasificación de los datos, y alguien tiene que auditar los privilegios de los empleados y de terceros", afirma Holmes. "Ambas son tareas no triviales, y normalmente manuales".

Stiennon, de IT-Harvest, dice que un buen enfoque para las organizaciones es identificar y revisar primero las áreas dentro de la infraestructura de TI donde la protección se basa en alguna forma de confianza. Por ejemplo, podría tratarse de un acuerdo de empleo en el que una organización confía en que los usuarios se atengan a sus políticas. O podría ser un contrato o un acuerdo de nivel de servicio con un proveedor de la nube en relación con el uso (o no) de los datos de la organización.

"Una vez identificadas esas lagunas, empieza a rellenarlas con controles técnicos", dice. "Podría supervisar a los empleados para ver si cumplen la política y, desde luego, debería cifrar sus datos en la nube para no tener que depender del buen comportamiento de un proveedor", dice Stiennon.

4. Tener políticas de acceso de usuarios mal definidas

Un enfoque de confianza cero puede ayudar a las organizaciones a aplicar un control de acceso adaptable y basado en políticas a los recursos de las empresas que tenga en cuenta una serie de factores de riesgo en tiempo real, como la seguridad del dispositivo, la ubicación y el tipo de recurso que se solicita. Cuando se aplica correctamente, el enfoque garantiza que los usuarios sólo tengan acceso al recurso específico que solicitan, y de la forma menos privilegiada.

Para hacerlo con eficacia, los administradores de seguridad y de TI deben tener una idea clara de quién necesita acceder a qué, dice Patrick Tiquet, vicepresidente de seguridad y arquitectura de Keeper Security. Eso significa enumerar todas las posibles funciones de los usuarios y luego asignarlas en función de los requisitos del trabajo y las funciones.

"Zero Trust' es un concepto muy sencillo: se concede a los usuarios el acceso a los recursos necesarios para realizar su función laboral y no se les concede acceso a los recursos que no son necesarios", afirma Tiquet.

Por ejemplo, señala una unidad de red compartida a la que pueden tener acceso todos los empleados de una empresa de 10 trabajadores. La unidad contiene información sobre ventas, recursos humanos, contabilidad y clientes a la que todos los miembros de la empresa pueden acceder, independientemente de su función. "Existe un alto riesgo de acceso no autorizado, pérdida de datos, robo de datos y divulgación no autorizada", afirma. "Aplicar correctamente la confianza cero en esta situación restringiría el acceso, pero no afectaría a la productividad, al tiempo que reduciría drásticamente el riesgo para la empresa".

Tiquet dice que es mejor quedarse con roles de acceso bien definidos inicialmente y luego asignar o desasignar nuevos roles de acceso a usuarios individuales según sea necesario.

5. Descuidar la experiencia del usuario

Los modelos de 'Zero Trust' tienen un gran impacto en los usuarios finales, así que no hay que descuidar la experiencia del usuario. "La autenticación y el acceso afectan a casi todos los empleados, por lo que los pasos en falso son costosos para los CISO", dice Kennedy, del 451 Group.

Cuando las iniciativas de confianza cero se precipitan sin preparar adecuadamente a los usuarios para el cambio, la productividad de los empleados puede verse afectada. Una iniciativa chapucera o que impacte negativamente en los usuarios también puede afectar a la credibilidad de todo el esfuerzo.

"Los pasos para el éxito están bien desgastados", dice Kennedy. "Establece el estado final deseado para tu estrategia de confianza cero y apliqca metódicamente las diferentes piezas con los socios proveedores", dice. Planifica, ejecuta y prueba cuidadosamente para asegurarse de que cualquier paso adicional que se exija a los usuarios permita obtener beneficios de seguridad proporcionales, dice.