“Hay que proteger al eslabón más débil, el usuario, para poder implantar la filosofía Zero Trust”

El teletrabajo que se implantó por imperativo de la pandemia evidenció más que nunca que los perímetros de seguridad se expandían hasta un infinito casi incontrolable. En muchas organizaciones sus CISO piensan en la aplicación del paradigma Zero Trust como estrategia para acotar al máximo los riesgos, pero sin concienciación de los usuarios en procedimiento y usabilidad, y sin inversión para implantar esta nueva filosofía y la automatización que requiere, los profesionales del sector no la ven generalizada a corto o medio plazo.

La definición de Zero Trust indica que es una estrategia de ciberseguridad que evita que las filtraciones de datos consigan sus objetivos. Con esa “arquitectura”, cada dispositivo, aplicación y microservicio es responsable de su propia seguridad.

Para Daniel González, miembro de la Junta Directiva y responsable de Relación con Asociados y Jóvenes Profesionales de ISACA Madrid Chapter, y Director de negocio del Grupo Zerolynx “el concepto de Zero Trust es sencillo y de hecho hay una viñeta de “Charlie CISO”, que me encanta, para explicar el concepto. En ella aparece el CISO de la compañía indicando que ha implementado Zero trust, le comentan que no le creen y dice, exacto. Porque realmente la idea de Zero trust es esa, que inicialmente no creas a ningún dispositivo por defecto, incluso si lo has verificado en otras ocasiones”.

Nueva filosofía en estrategias tradicionales

Según nos explica, como seres humanos que somos, socializamos y confiamos en los demás hasta cierto nivel. La información que se comparte está relacionada con el nivel de confianza (es decir, cuanto mayor sea el nivel de sensibilidad de la información, mayor será el nivel de confianza). Este mismo concepto es el que se aplicó en la arquitectura de las TI hasta que un analista de Forrester lanzó en 2010 el concepto de Zero Trust, que se basa en la premisa de que la confianza no puede concederse para siempre y debe evaluarse de forma continua.

Con Zero Trust efectivamente, a efectos prácticos no hay perímetro. Daniel González aclara que “este libre perímetro consiste en hacer como que todos los dispositivos están conectados a una red abierta al público y, por tanto, se debe desconfiar de todo, y todo se debe autenticar, autorizar y validar”. Lo que, según él, consigue que la seguridad del perímetro se está desdibujando, debido a la gran complejidad de la infraestructura de red que se debe manejar.

Zero Trust no es una filosofía tan nueva en opinión de Mabel González Centenera, CISO de la Oficina de Seguridad de Sistemas de Información de la Dirección General de Sistemas de Información y Equipamientos Sanitarios (SERMAS) , “para los que llevamos ya un tiempo en este “mundillo” no es nueva, aunque si implica un cambio de paradigma en cuanto a las perspectivas tradicionales. Desde siempre se ha considerado la necesidad de securizar nuestros sistemas de información y proteger el considerado como “eslabón más débil”, que suele resultar siempre el usuario”.

Ella sabe que es ahí es donde más trabajo van a tener los CISO por delante para llegar a una organización con filosofía “Zero Trust”, en la concienciación al usuario, porque reconoce que hoy en día “con el auge de las soluciones en la nube, software como servicio (SaaS en inglés), soluciones descentralizadas, dispositivos médicos conectados a internet (IoMT en inglés), etc., cada vez tenemos esa barrera del perímetro más difuminada, por lo que es necesario tomar medidas adicionales de seguridad que nos permitan proteger estos nuevos entornos”.

Zero Trust, pandemia y teletrabajo

Daniel Gonzalez personalmente no cree que haya afectado mucho la pandemia para aplicar política de Zero Trust en las compañías, “ya que aunque afectó a todo tipo de organizaciones, en mayor medida hizo mella en las empresas cuya transformación digital iba con retraso y donde en muchos casos no tenían conexiones al exterior adecuadas”, por lo que  se vieron forzadas a implementar accesos remotos que inicialmente no tenían planteados, o que estaban planeadas a medio o largo plazo.  

Sin embargo, sí reconoce que como resultado del teletrabajo forzoso que se tuvo, un gran número de empleados acabaron trabajando desde sus portátiles personales con un antimalware gratuito, conectados a un router doméstico probablemente mal configurado. “Y este escenario tan habitual en los últimos tiempos—explica— va a generar grandes problemas de ciberseguridad, según vaya pasando el tiempo y se recupere la normalidad, porque los atacantes han tenido una vía abierta de fácil explotación para multitud de organizaciones y están desplegando sus capacidades dentro de ellas para explotarlas cuando consideren más provechoso”.

Según tienen constatado desde ISACAMadrid es cierto que las grandes compañías, que ya disponían de accesos remotos y de medidas de seguridad más o menos maduras, han continuado durante la pandemia con la implementación de arquitecturas de Zero Trust, o si no lo estaban haciendo, han empezado a plantearse el incluirlo dentro de su roadmap. Sin embargo, para este tipo de empresas, puede ser muy complicado adoptar Zero Trust al 100% en muy poco tiempo, ya que cuentan con infraestructuras propias que condicionan su adopción y hacen que sean procesos ultra complejos, “por lo que será una actividad de largo recorrido y que en muchas ocasiones no finalice de manera satisfactoria” aclara Daniel González.

Lógicamente, en la actualidad, para cualquier organización es un reto iniciar un cambio de arquitectura en el panorama tecnológico, “ya que las organizaciones principalmente están centradas en asegurar su financiación y su flujo de caja, para poder hacer frente a la multitud de imprevistos que esta pandemia nos está acarreando. La crisis de la COVID-19, según los profesionales, también ha llegado a destrozar las estrategias de seguridad y los modelos de acceso remoto de muchas organizaciones, “es imperativo asegurar las puertas de entrada y salida de la infraestructura empresarial antes de que sea demasiado tarde (si no lo es ya)” aclara Daniel G.

La pandemia cambió los parámetros y modalidades de trabajo, y lo que antes estaba en un entorno controlado en las instalaciones de una organización,  y como dice Mabel González Centenera, “en nuestros CPD, en un cuarto cerrado con llave, después lo tenemos publicado a internet, con VPN y accesible desde un ordenador ya sea en nuestra casa, en un hotel o en otro país inclusive”. Por esa razón considera que ante este nuevo panorama, “es imprescindible no sólo validar la identidad del usuario, sino también validar cualquier dispositivo que intente conectarse a nuestra infraestructura antes de permitir su acceso”.

Sólo de esta forma podrán hacer cumplir la política y las medidas de seguridad que por norma general tienen implantados en los equipos corporativos dentro de la infraestructura del SERMAS, en su caso, sino también a todos aquellos equipos, ya sean de sus propios empleados o bien proveedores, “y si estos no cumplen con estos requisitos se les limita el acceso” explica G. Centenera.

Daniel González cree que hay que desmitificar lo que significa Zero Trust. “Ya que no es una tecnología nueva. Se puede construir sobre la arquitectura existente en la gran mayoría de organizaciones y no debería de requerir que se desprenda y sustituya esta. En realidad no hay productos de confianza cero, sino que hay productos que funcionan bien en entornos Zero Trust y otros que no”.

Costes y complejidad de instalación

Este nuevo paradigma de seguridad hace que la infraestructura de la organización sea una red en evolución, y que se desplacen las defensas de la red desde amplios perímetros, hasta centrarse en grupos individuales o pequeños recursos. El experto de ISACA Madrid, nos explica que una estrategia Zero Trust es aquella en la que no se concede una confianza implícita a los sistemas en función de su ubicación física o de red (es decir, redes de área local frente a Internet) si no que se asumen como principios que:

• La red es siempre hostil.
• Las amenazas externas e internas están siempre presentes.
• Las redes internas no son suficientes para confiar en ellas porque si.
• Cada dispositivo, usuario y flujo de red debe ser probado.
• Debe registrar e inspeccionar todo el tráfico.

Por lo que con este nuevo paradigma debemos tener claro que:

• El acceso interno no siempre es de confianza y modelos como el compromiso asumido deben de estar al orden del día.
• Los ataques modernos se producen desde dentro hacia fuera, en lugar de desde fuera hacia dentro como se hacía antiguamente; es más importante monitorizar tu red interna que los ataques que se producen desde internet.
• Los sistemas de confianza atraen a los atacantes.
• El acceso interno está regulado de forma más flexible, pero ha de ser más controlado para percibir cualquier cambio.

Así, en opinión de los profesionales del sector, Zero Trust aporta más seguridad porque aumenta los procesos de verificación, monitoriza a los usuarios y compartimenta los datos de la organización, haciendo que sea más difícil acceder a la información de la empresa. Es decir, que usa muchos más recursos, lo que se traduce en mayores costes y complejidad de instalación.

Como representante de los profesionales que están a pie de obra en la auditoría y la implantación de la  ciberseguridad en todo tipo de organizaciones, Daniel G. enfatiza al aclarar que “hay mucha información errónea sobre los modelos de confianza cero en Internet. Se leen artículos que afirman que las redes privadas virtuales (VPN) y las capas de sockets seguros (SSL) son innecesarias, u otras afirmaciones igualmente escandalosas. Lo que deberían decir es que no basta con proteger hasta el nivel del servidor. Zero Trust aporta nuevas tecnologías y salvaguardas a la infraestructura, además de retocar las existentes”.

Al final, según nos explican los expertos consultados, todas las salvaguardas no son funciones discretas, sino que se han orquestado en una estrategia de defensa correlacionada que está centrada en los datos, tiene en cuenta los flujos de trabajo y devuelve las amenazas a la red.

Sólo hay que recordar que los dispositivos de un modelo de acceso a políticas, como un punto de aplicación de políticas (PEP), son similares a los cortafuegos de aplicaciones totalmente implementados, hasta un tipo de usuario y sus datos asociados. Sigue siendo necesario un enfoque de seguridad por capas, especialmente para la tecnología heredada, que no puede integrarse completamente en su estrategia de seguridad.

Los puntos claves más problemáticos

Además de los costes, entre los problemas que algunos CISO se suelen encontrar, en la opinión de Mabel G. Centenera, “está el uso de dispositivos personales para el uso profesional. Esto se vio claro con la llegada “forzada” del teletrabajo. Se dio la casuística de que no todos los trabajadores disponían de dispositivos portátiles corporativos para poder trabajar desde casa, ni disponían de acceso VPN hasta ese momento, por lo que fue necesario dotar a nuestros empleados con dispositivos corporativos”. Pero, según nos explica, sobre todo en la Adminsitración Pública, estos dispositivos en una primera fase no llegaron a todos los y las trabajadoras, con lo que se habilitó el acceso para el uso de dispositivos personales. Esos equipos no se sabía qué medidas de seguridad llevaban implantadas, por lo que de primera mano se consideraron inseguros.

Pero esto ella va más allá; “Por ejemplo, en el sector sanitario, nos encontramos con las teleconsultas, o incluso equipamiento de diagnóstico conectados a internet, el denominado IoMT, un pequeño aparato que se conecta a la red y a su vez se interrelaciona con nuestros sistemas. Obviamente hay que proteger toda esta variedad de dispositivos y la información que contienen frente a nuevas amenazas cada vez más numerosas y sofisticadas”.

Coincide en esa necesidad de protección Daniel González, y aunque cree que implementar una arquitectura Zero Trust es interesante para las organizaciones, “conlleva un montón de riesgos asociados de toda índole y en cada una de las fases de su implantación. Por ello no existe un punto más problemático que los demás, sino que forman un conglomerado de problemas que pueden hacer peligrar la estrategia Zero Trust de cualquier compañía”.

Desde ISACAMadrid nos indican algunos de los ejemplos más habituales de fallo en Zero Trust:

• Es habitual que exista falta de apoyo por parte de los directivos de las organizaciones. Esto puede deberse a una limitada comprensión y concienciación de qué es una arquitectura Zero Trust.
• Muchas veces el alcance del trabajo entre los equipos de negocio y de ingeniería no está claro y puede afectar a los resultados deseados.
• La falta de apoyo por parte de la organización en la evaluación de los riesgos críticos del negocio puede dar lugar a que el equipo de ingeniería utilice su juicio basado en la arquitectura de TI y no una visión global que incluya las necesidades reales de negocio y de los usuarios de la organización.
• Es un error habitual que cuando se genera un plan de migración Zero Trust no se alinee con las operaciones y prioridades del negocio, abocándolo a un fracaso seguro.
• Las políticas de acceso y los equipos de administración son parte de la arquitectura Zero Trust, al ser los responsables de ejecutar las decisiones de concesión y revocación de derechos de acceso. Por lo tanto, malas políticas o una administración defectuosa  o comprometida, puede dar lugar a la concesión de un acceso que no se aprobaría en circunstancias normales y que generen un riesgo para la organización.
• La ingeniería social ha sido un problema desde los orígenes de la ciberseguridad y puede dar lugar a la suplantación de identidad de los usuarios hasta que los componentes de Zero Trust detecten una anomalía y revoquen el acceso no autorizado. Para evitarlo es necesaria una alta concienciación de los usuarios de la organización y un análisis de su comportamiento.
• Los controles de IAM reducen la superficie de ataque; sin embargo, los ciberdelincuentes con una identidad comprometida desde una máquina autorizada pueden seguir accediendo a información parcial. Y un playload descargado mientras un usuario abre un correo electrónico malicioso puede dar lugar a un escenario de ataque avanzado y persistente. Así que los conceptos de la reautenticación, la reautorización, la caducidad de la sesión, la existencia de listas blancas de aplicaciones, la agregación de registros en tiempo real, el análisis del comportamiento, la información sobre amenazas y la mitigación son fundamentales para un correcto funcionamiento del sistema, y útiles para controlar este tipo de escenarios perjudiciales para la organización.

Concienciación e implantación en España y en el mundo

En España no hay todavía datos para valorar el nivel de implantación de esta filosofía “los estudios a los se tienen acceso habitualmente son internacionales, y no conozco a ninguna institución, ni privada ni pública, que haya hecho este estudio. Tal vez sea interesante que nosotros mismos, desde ISACAMadrid, podamos aportar nuestro granito de arena y lo realicemos para compartirlo con vosotros en un futuro próximo” asegura Daniel González.

En cuanto a datos internacionales, son bastante preocupantes en opinión de los expertos. El “Informe global sobre el estado de Zero Trust” de Fortinet alerta sobre la problemática de las empresas para implementar las capacidades básicas de confianza cero. En concreto, más del 50% de las organizaciones tiene problemas en este sentido, a pesar de que más del 80% de los encuestados reconoce tener en marcha, o en desarrollo, una estrategia de confianza cero.

El análisis también refleja que el 77 % de los participantes afirma entender los conceptos de Zero Trust. Además, el 60% de los 472 líderes de TI y seguridad encuestados dice no tener capacidad de autenticar usuarios y dispositivos de forma continua, y el 54% tiene problemas para supervisar a dichos usuarios una vez finalizada la autenticación.

“Por si esto no fuese suficiente, —aclara Daniel G.— en el artículo “Zero Trust Architecture—Myth or Reality?” de mis compañeros de ISACA internacional, se obtiene como resultado de una encuesta a más de 400 responsables de la toma de decisiones en materia de ciberseguridad de una muestra equilibrada de organizaciones de distintos tamaños y múltiples sectores, reflejaba que el 53% confía en las arquitecturas de Zero Trust, mientras que el 43% aún duda en aplicar un modelo de confianza cero en su arquitectura”.

Esta reacción mixta puede entenderse por el hecho de que el 40% de las implantaciones de Zero Trust supusieron un aumento del presupuesto, mientras que el 45% de los presupuestos se mantuvieron igual, y en un 15% no solo se les mantuvo el presupuesto de ciberseguridad, sino que encima experimentaron una disminución de su presupuesto.

Como CISO de SERMAS, González Centenera sí ve que “el nivel de concienciación en materia de seguridad en España es alto” en general, pero también incide en que otra cosa es que se disponga de los medios para poder hacer frente a estos desafíos.  “En la administración pública los medios siempre son bastante ajustados. Con la seguridad, al ser una inversión que no tiene un retorno directo, padecemos aquello de que no se echa en falta hasta que sucede un imprevisto y es entonces cuando se decide realmente tomar las perdidas pertinentes”. En este sentido ella cree que a nivel general en la Administración Pública es ahora cuando se está empezando a implantar, “sobre todo en vista de los últimos incidentes grandes de seguridad ocurridos”.

Dónde debería estar ya implantado

El Instituto Nacional de Normas y Tecnología (NIST) ha seleccionado a 18 empresas tecnológicas para que demuestren las arquitecturas de seguridad "Zero Trust" que han implementado, poder así redactar una guía para el uso del modelo por parte de las agencias federales americanas, y que se pueda extrapolar al sector privado. En esta selección están empresas como Amazon Web Services, Cisco Systems, F5 Networks, FireEye, IBM, Microsoft, Palo Alto Networks o  Tenable.

Mabel G. Centenera cree que es una “filosofía” a tener en cuenta por todas las compañías, desde pequeñas empresas a grandes corporaciones. No obstante, es cierto que puede tener un mayor impacto en aquellas compañías que desarrollen su actividad principal en el campo de las nuevas tecnologías, dispositivos electrónicos, empresas que hayan implantado el teletrabajo, y sobre todo, aquellas que presten un servicio directo al ciudadano 24x7 y con datos sensibles.

Por el momento, las empresas que están implementando Zero Trust son compañías con un nivel de madurez muy elevado, ya que es una arquitectura que aumenta los costes a la organización y requiere un nivel de procedimentación y automatización de procesos muy alto.