Zero Trust, estándar del nuevo paradigma de seguridad
La migración a la nube, el teletrabajo o el BYOD son algunos de los factores que están cambiando el enfoque de la ciberseguridad. Los expertos apuestan por una filosofía Zero Trust para hacer frente a estos desafíos
La ampliación del perímetro de las organizaciones ha redefinido su manera de afrontar la seguridad. La estrategia tradicional, centrada en la protección de la red corporativa, ha tenido que evolucionar, extendiendo la seguridad a todos y cada uno de los dispositivos utilizados por los empleados, independientemente de su localización.
Ante tal escenario, los expertos defienden un enfoque Zero Trust, que parte de la desconfianza ante cualquier inicio de sesión en aplicaciones corporativas, exigiendo comprobar que el usuario que se conecta es quien dice ser y que cumple con las políticas internas de privilegios de acceso. Con el fin de conocer los retos que supone la implantación del modelo Zero Trust y el punto de implantación en el que se encuentra este nuevo paradigma de ciberseguridad, la publicación CSO organizó ayer una mesa redonda en la que varias organizaciones contaron su experiencia y aportaron su punto de vista.
“Zero Trust encaja en varias piezas donde la seguridad es clave. Por un lado, en la identidad, que es un elemento esencial en el sector financiero, tanto desde el punto de vista del cliente como del empleado. Además, se extiende a la protección de la red e infraestructura, así como a la protección de aplicaciones en la nube y al consumo de servicio de terceros”, especificaba Gustavo Lozano, CISO de ING.
En este sentido, Melchor Sanz, CTO de HP, afirmó que “Zero Trust ya es un estándar”. “Es una característica que debemos tener, una vez que se ha abierto el perímetro y la forma de acceso e identificación. Tenemos que preguntarnos si quien intenta acceder es ‘bueno’ o ‘malo’”, comentaba.
Oportunidades y ventajas del Zero Trust
Daniel Aparicio, gerente de Operaciones y Arquitecturas de Seguridad de Ferrovial, reconoció que adoptar este modelo no siempre es sencillo, por lo que defendió una aproximación flexible. “Para las grandes empresas, es muy complicado adoptar Zero Trust al 100% en muy poco tiempo”, afirmaba, puesto que estas organizaciones cuentan con unas infraestructuras previas que condicionan su adopción. “Es necesario y conveniente implantar el Zero Trust, pero adaptándolo a los ritmos de cada empresa y a sus usuarios y clientes finales”, agregaba. Por otra parte, hizo hincapié en las nuevas oportunidades que ofrece la adopción de este enfoque, puesto que “permite simplificar la seguridad y la comunicación y aporta facilidad para acercarnos a los negocios”.
Igualmente, Alberto López, CISO de Solaria Energía y Medio Ambiente, señaló que “es un escenario precursor de los servicios”. Además, destacó las ventajas que ofrece el Zero Trust a la hora de afrontar el reto de la seguridad en un contexto de “deslocalización global”. “Contamos con plantas solares en muchos países, donde tenemos mucho IT, pero también OT. Y no podemos disponer de un entorno centralizado único. Nos desplegamos en nube multicloud y la seguridad en el edge es esencial para nosotros, ya que hay muchos intervinientes dentro de nuestro perímetro. Y no siempre es personal nuestro, porque hay mucho del OT en nuestras plantas tiene que ser intervenido por los fabricantes. Por eso, la confianza se difumina. Zero Trust ofrece la tecnología para implantar esta desconfianza”, declaraba.
Por su parte, José Javier Martínez Herráiz, delegado del rector para la Administración Electrónica y Seguridad de la Universidad de Alcalá de Henares (UAH), hizo hincapié en las dificultades que comporta instaurar un esquema Zero Trust en una organización pública como una universidad. “Hay alumnos, personal docente y personal administrativo. Y establecer normas es muy difícil porque se encuentra rechazo. Aunque tenemos la red segmentada, las medidas de seguridad más invasivas son difíciles de implementar. Incluso nos cuesta implantar el segundo factor de autenticación”, comentaba.
Atención al endpoint
El CISO de Solaria explicó que los dispositivos BYOD son uno de los mayores quebraderos de cabeza para los responsables de seguridad. “La protección tiene que estar en ambos extremos. No importa que tengas VPN u otros sistemas si el endpoint no es seguro. En el caso de los dispositivos corporativos, es importante que estén auditados. Pero con los BYOD hay que ser muy cautos, porque son endpoints donde también hay datos privados. Además, presentan riesgos de phishing, malware, ransomware, etc.”.
El CTO de HP también destacó la importancia de desconfiar de los dispositivos no auditados desde los que se conecta el usuario, “que es el factor más débil de la seguridad”. Recordó que la confianza cero debe ir más allá de la securización de la nube o el data center propio, extendiéndose al dispositivo desde el que se accede. “Si no están mínimamente securizados, suponen un importante agujero”. Al hilo de ello, explicó que HP cuenta con soluciones de hardware y software que permiten aislar posibles amenazar y evitar que los contenidos queden expuestos, “incluso en los dispositivos que no son de la empresa y no están controlados”.
Cuestión de cultura
Más allá de las complicaciones tecnológicas, Martínez Herráiz incidió en que la principal barrera es cultural. “El mayor problema, incluso para planificar la estrategia Zero Trust, es concienciar a la dirección de la organización. Cuesta mucho tomar medidas y tener una normativa estricta de cumplimiento”, apuntaba, refiriéndose al entorno universitario.
Pero éste es un desafío que también se extiende al sector privador, por lo que la labor de los responsables de seguridad es esencial. “Nuestro rol es fundamental. Si queremos mejorar para implantar el modelo Zero Trust, tenemos que comunicar y concienciar bien a la dirección. Hay que traducir los riesgos a un lenguaje sencillo y a números, no hablar de incidentes técnicos ni tipologías de vectores de ataque. Y también hay que hacer campañas constantes de concienciación hacia los empleados y hacia el cliente”, comentaba el CISO de ING.
Igualmente, el responsable de Ferrovial manifestó que es muy importante “que todos los responsables entiendan hacia dónde vamos”, transmitiendo una “visión final” de los objetivos que persigue la estrategia de seguridad.
Podrá leer la cobertura completa de la mesa redonda en el especial de contenidos Zero Trust de 'CSO'
