Zero Trust como estándar del nuevo paradigma de seguridad

La ampliación del perímetro de las organizaciones ha redefinido su manera de afrontar la seguridad. La estrategia tradicional, centrada en la protección de la red corporativa, ha tenido que evolucionar, extendiendo la seguridad a todos y cada uno de los dispositivos utilizados por los empleados, independientemente de su localización.

Ante tal escenario, los expertos defienden un enfoque Zero Trust, que parte de la desconfianza ante cualquier inicio de sesión en aplicaciones corporativas, exigiendo comprobar que el usuario que se conecta es quien dice ser y que cumple con las políticas internas de privilegios de acceso.

Sin embargo, solo el 24% de las compañías están en proceso de implantación de esta filosofía y apenas un 19% ya la ha desplegado en diferentes entornos, según los datos de IDG. El resto, están en fase de evaluación (38%) o no lo estiman necesario (14%).

“Zero Trust encaja en varias piezas donde la seguridad es clave. Por un lado, en la identidad, que es un elemento esencial en el sector financiero, tanto desde el punto de vista del cliente como del empleado. Además, se extiende a la protección de la red e infraestructura, así como a la protección de aplicaciones en la nube y al consumo de servicio de terceros”, especificaba Gustavo Lozano, CISO de ING.

"La identidad es un elemento central en el sector financiero; tanto desde el punto de vista del cliente como del empleado", Gustavo Lozano, CISO de ING

En cualquier caso, remarcó que “lo importante es tener una estrategia de seguridad adecuada al apetito de riesgo de cada compañía”, puesto que “cada empresa define sus prioridades”. No obstante, insistió en que “la prevención y la anticipación es la forma de ir un paso por delante”.

En este sentido, Melchor Sanz, CTO de HP, afirmó que “Zero Trust ya es un estándar”. “Es una característica que debemos tener, una vez que se ha abierto el perímetro y la forma de acceso e identificación. Tenemos que preguntarnos si quien intenta acceder es ‘bueno’ o ‘malo’”, comentaba. También explicó que su compañía está poniendo el acento en el desarrollo de soluciones para implementar este modelo, a través de hardware y software que permite establecer pautas de desconfianza y que autoriza sólo los accesos confiables.

Oportunidades y ventajas del Zero Trust

Daniel Aparicio, gerente de operaciones y arquitecturas de seguridad de Ferrovial, reconoció que adoptar este modelo no siempre es sencillo, por lo que defendió una aproximación flexible. “Para las grandes empresas, es muy complicado adoptar Zero Trust al 100% en muy poco tiempo”, afirmaba, puesto que estas organizaciones cuentan con unas infraestructuras previas que condicionan su adopción. “Es necesario y conveniente implantar el Zero Trust, pero adaptándolo a los ritmos de cada empresa y a sus usuarios y clientes finales”, agregaba. Además, recalcó que “se basa en una serie de premisas que, en muchos casos, son de sentido común y en las que ya se estaba trabajando antes de la pandemia”.

Por otra parte, hizo hincapié en las nuevas oportunidades que ofrece la adopción de este enfoque, puesto que “permite simplificar la seguridad y la comunicación y aporta facilidad para acercarnos a los negocios”. Por ejemplo, indicó que nos dirigimos a un mundo globalizado, con empresas que se desenvuelven en un escenario internacional, por lo que “vamos hacia un modelo de descentralización de los usuarios e incluso de las sedes”. “Hay que adaptarse a esta nueva realidad y la adopción del Zero Trust es una oportunidad para migar a un modelo basado en el servicio. Y también es una facilidad para el usuario, para el negocio y para simplificar la visión de la seguridad”, apostillaba.

"La adopción de Zero Trust es una oportunidad para migar a un modelo basado en el servicio", Daniel Aparicio, gerente de arquitecturas y operaciones de seguridad de Ferrovial

Igualmente, Alberto López, CISO de Solaria Energía y Medio Ambiente, señaló que “es un escenario precursor de los servicios”. Además, destacó las ventajas que ofrece el Zero Trust a la hora de afrontar el reto de la seguridad en un contexto de “deslocalización global”. “Contamos con plantas solares en muchos países, donde tenemos mucho IT, pero también OT. Y no podemos disponer de un entorno centralizado único. Nos desplegamos en nube multicloud y la seguridad en el edge es esencial para nosotros, ya que hay muchos intervinientes dentro de nuestro perímetro. Y no siempre es personal nuestro, porque hay mucho del OT en nuestras plantas tiene que ser intervenido por los fabricantes. Por eso, la confianza se difumina. Zero Trust ofrece la tecnología para implantar esta desconfianza”, declaraba.

Por su parte, José Javier Martínez Herráiz, delegado del rector para la Administración Electrónica y Seguridad de la Universidad de Alcalá de Henares (UAH), hizo hincapié en las dificultades que comporta instaurar un esquema Zero Trust en una organización pública como una universidad. “Hay alumnos, personal docente y personal administrativo. Y establecer normas es muy difícil porque se encuentra rechazo. Aunque tenemos la red segmentada, las medidas de seguridad más invasivas son difíciles de implementar. Incluso nos cuesta implantar el segundo factor de autenticación”, comentaba.

"Cuando la confianza se difumina, Zero Trust ofrece la tecnología para implantar esta desconfianza”, Alberto López, CISO de Solaria Energía y Medio Ambiente

Atención al endpoint

El CISO de Solaria explicó que los dispositivos BYOD son uno de los mayores quebraderos de cabeza para los responsables de seguridad. “La protección tiene que estar en ambos extremos. No importa que tengas VPN u otros sistemas si el endpoint no es seguro. En el caso de los dispositivos corporativos, es importante que estén auditados. Pero con los BYOD hay que ser muy cautos, porque son endpoints donde también hay datos privados. Además, presentan riesgos de phishing, malware, ransomware, etc.”.

El CTO de HP también destacó la importancia de desconfiar de los dispositivos no auditados desde los que se conecta el usuario, “que es el factor más débil de la seguridad”. Recordó que la confianza cero debe ir más allá de la securización de la nube o el data center propio, extendiéndose al dispositivo desde el que se accede. “Si no están mínimamente securizados, suponen un importante agujero”. Al hilo de ello, explicó que HP cuenta con soluciones de hardware y software que permiten aislar posibles amenazar y evitar que los contenidos queden expuestos, “incluso en los dispositivos que no son de la empresa y no están controlados”. “Si hay un malware, no afecta al resto de la cadena de datos, sino que queda aislado”, añadía.

“El mayor problema, incluso para planificar la estrategia Zero Trust, es concienciar a la dirección de la organización", osé Javier Martínez Herráiz, delegado del rector para la Administración Electrónica y Seguridad de la Universidad de Alcalá de Henares (UAH).

En cualquier caso, se mostró a favor de recurrir a soluciones ‘corporated-owned, personally enabled’ (COPE), en lugar de usar dispositivos BYOD. Es decir, proporcionar los equipos desde la empresa, pero permitiendo que los empleados los usen para tareas personales.

Cuestión de cultura

Más allá de las complicaciones tecnológicas, Martínez Herráiz incidió en que la principal barrera es cultural. “El mayor problema, incluso para planificar la estrategia Zero Trust, es concienciar a la dirección de la organización. Cuesta mucho tomar medidas y tener una normativa estricta de cumplimiento”, apuntaba, refiriéndose al entorno universitario.

Pero éste es un desafío que también se extiende al sector privador, por lo que la labor de los responsables de seguridad es esencial. “Nuestro rol es fundamental. Si queremos mejorar para implantar el modelo Zero Trust, tenemos que comunicar y concienciar bien a la dirección. Hay que traducir los riesgos a un lenguaje sencillo y a números, no hablar de incidentes técnicos ni tipologías de vectores de ataque. Y también hay que hacer campañas constantes de concienciación hacia los empleados y hacia el cliente”, comentaba el CISO de ING.

“Zero Trust es una característica que debemos tener, una vez que se ha abierto el perímetro y la forma de acceso", Melchor Sanz, CTO de HP

Por ejemplo, se refirió al diseño de campañas dirigidas a los empleados, “para que conozcan las diferentes tipologías de ataque y sepan las consecuencias que puede tener conectarse desde una red no securizada, usar dispositivos BYOD que no estén adecuadamente parcheados y configurados, etc.”.

Igualmente, el responsable de Ferrovial manifestó que es muy importante “que todos los responsables entiendan hacia dónde vamos”, transmitiendo una “visión final” de los objetivos que persigue la estrategia de seguridad.