Hacia el 'Zero Trust' como estándar en la estrategia de seguridad

El viejo paradigma de seguridad, en el que las organizaciones contaban con un perímetro controlado donde usuarios podían operar sin riesgo, ha saltado por los aires. El teletrabajo y la migración a la nube han extendido dicho perímetro hasta el dispositivo desde el que cada usuario accede a los recursos de su organización, por lo que se impone el establecimiento del concepto Zero Trust como “marco para abordar por posibles fallos de seguridad”, tal y como indicaba Fernando Muñoz, director de IDG Research, en la presentación del evento Zero Trust 2021. Consolidando un nuevo paradigma de seguridad, organizado ayer por ComputerWorld e IDG Research, con la colaboración de Darktrace, Entrust, Microsoft, Okta y WatchGuard Cytomic.

La ponencia inaugural de la jornada corrió a cargo de Rosalía Machín Prieto, capitana de la Guardia Civil y jefa de Proyectos Europeos e I+D+i de la Secretaría de Estado de Seguridad del Ministerio del Interior, quien explicó que se requiere una nueva aproximación a la ciberseguridad, debido a la extensión del perímetro fuera de la red tradicional. De este modo, destacó la implementación de estrategias Zero Trust para la detección temprana de amenazas y el estudio de las tácticas, técnicas y procedimientos de los atacantes, así como la aplicación de tecnologías como la inteligencia artificial, blockchain, data analytics, etc.

Protagonismo absoluto

“Con la pandemia, el Zero Trust ha pasado a estar en la portada del libro de la ciberseguridad. Se ha difuminado el perímetro y se ha producido la eclosión del Zero Trust, que son unos principios, no una tecnología. Ahora el estándar es la desconfianza por defecto, desmontando el anterior escenario de entornos confiables”, comentaba Alberto Bellé, analista de IDG Research.

Sin embargo, el nivel de adopción de estos principios de confianza cero es muy dispar. Según los datos de IDG Research, apenas el 5% de las empresas ha implementado una estrategia Zero Trust en toda la organización, aunque buena parte de las compañías consultadas está en proceso de implementación (24%) o ya la ha desplegado en determinados entornos (19%), mientras que un 38% está en fase de evaluación y el 14% no lo estima necesario. En cuanto a las prioridades en el despliegue, las organizaciones apuestan por implementar medidas Zero Trust en la red (71%), el usuario (67%) y en los datos, aplicaciones y privacidad (62%).

Respecto a los retos que las organizaciones están encontrando para aplicar el Zero Trust, Fernando Maldonado, analista de IDG Research, precisó que las compañías se encuentran con las limitaciones que imponen las infraestructuras heredadas (57%), el conflicto entre seguridad y rendimiento (38%) y la resistencia de los usuarios (35%). Además, detalló que los factores más relevantes para las organizaciones en la implementación del Zero Trust son los referidos al gobierno y la política de acceso y uso (65%), los escenarios de operación (56%) y la experiencia del empleado (54%)

Enfoques Zero Trust

A continuación, diversos proveedores de seguridad compartieron su enfoque en torno a la aplicación del Zero Trust. Arthur Mullee, senior Cyber Technology Specialist de Darktrace, abogó por la utilización de herramientas con capacidad de aprendizaje del comportamiento de los usuarios mediante inteligencia artificial, partiendo de una monitorización continua de la actividad para detectar actividades sospechosas y aislarlas con el fin de que los equipos de ciberseguridad puedan dar respuesta.

Julio García, Enterprise Security Executive de Microsoft, defendió el uso de las herramientas en la nube para “modernizar las operaciones de seguridad y aplicar un modelo Zero Trust que permita monitorizar todo lo que está pasando, contando con capacidad analítica y de respuesta”.

Javier Sánchez, Territory Account Manager, Data Protection Solutions de Entrust, se detuvo en la aplicación de la criptografía para garantizar un entorno de confianza cero. En este sentido, recomendó el uso de módulos de seguridad de hardware (HSM) como repositorios de confianza donde se protejan las claves.

Felipe San Román, Presales Engineer de Okta, indicó que el principal reto en el actual escenario es la manera de abordar el acceso a diferentes usuarios, que no se producen dentro del entorno controlado de la red corporativa. Precisó que las organizaciones deben utilizar soluciones que permitan verificar la identidad de quienes acceden a los servicios y aplicaciones, a la par que se define el nivel de acceso permitido, dependiendo de quién sea el usuario.

Finalmente, Tristan Reed, International Presales Coordinator de WatchGuard Cytomic, propugnó una gestión centralizada de la seguridad, como respuesta a la gestión cada vez más descentralizada del negocio y la fragmentación de la identidad. De este modo, explicó las ventajas de una gestión basada en la nube, aplicando herramientas de threat intelligence y machine learning.

Ejemplos de implantación

Varias empresas de diferentes sectores aportaron su experiencia en la aplicación de una estrategia Zero Trust en la seguridad de sus organizaciones. Toni García, Ciso de Leti Pharma, comentó que la gestión de la seguridad tenderá hacia la creación de ‘miniperímetros’, estableciendo medidas en torno a cada usuario y su espacio de trabajo, con trazabilidad de sus acciones y sin importar el dispositivo, la red o la ubicación desde la que acceda.

Iván Sánchez, Ciso de Sanitas, indicó que su empresa está trabajando en identificar el entorno del usuario y entender su contexto de trabajo, con el objetivo de permitir el acceso a partir de dicho contexto.

Firas Atassi, head of IT Infrastructure & Support & Security & Network Communications de Seur, abordó los retos que ha supuesto la pandemia para el sector logístico. “Dejamos de ser un sector poco atractivo para los ciberdelincuentes para convertirnos en uno de los más atacados, con continuos ataques de smishing y phishing. Como respuesta, hemos desplegado una estrategia basada en tres principios: Zero Trust, generar confianza de marca en el cliente y proteger el end point con soluciones mobile device management (MDM)”, declaraba.

Juan Cobo, Ciso de Ferrovial, apuntó que su compañía está haciendo especial hincapié en “el control absoluto de la identidad y de la conectividad a los recursos de la empresa”. “Todo pasa por consolidar la identidad para tener una visión global y única de esa identidad. Y luego, ofrecer un acceso condicional y realizar una monitorización del comportamiento. Al hacer pasar todo por un mismo sitio, es posible ejercer ese control de la identidad”, añadía.

Javier Sánchez, Ciso de Haya Real Estate, anotó que su compañía ha desarrollado un gestor de identidades propio, permitiendo que los usuarios accedan con identidad única, independientemente del dispositivo y ubicación. Además, permite controlar el tráfico y monitorizar los accesos. “Lo hemos ‘disfrazado’ como portal de acceso único a los servicios, ofreciendo al usuario un site desde el que acceder a todos nuestros microservicios”, precisaba.

Pablo Masaguer, Ciso de Sociedad Textil Lonia, explicó que han implementado una única solución que cubre sus necesidades en cuanto a seguridad en el endpoint, navegación segura y gestión de identidades. Además, remarcó que el modelo de seguridad cloud “ofrece sinergias y ahorro de costes, además de estar más seguros”.

Por último, Carles Solé, Ciso de Santander España, comentó que “hace más de 3 años, se definió la ciberseguridad como una práctica global de la entidad, con una estrategia que contemplaba el Zero Trust”. Al hilo de ello, incidió en que “es importante tener convencida a la dirección, porque si no van a surgir fricciones en muchas áreas”.