“Zero Trust puede aportar reputación, valor e importantes beneficios a la empresa”

Zero Trust forma ya parte del vocabulario de ciberseguridad. Y más desde que la pandemia generalizó de golpe el teletrabajo, que amplió perímetros y focalizó los problemas de seguridad la incorporación masiva de dispositivos no securizados, y de personal no concienciado ni formado para cuidar las ciberamenzas que se podían “colar” a través de ellos. Como nos explica Alberto Bellé, analista IDG Research “las soluciones que habilitan Zero Trust están creciendo a doble dígito. El trabajo remoto generalizado ha disparado la necesidad de los enfoques Zero Trust, al producirse accesos desde dispositivos y redes sobre los que las organizaciones no tenían control ni visibilidad".

Como analista, Bellé mide la importancia de esta nueva manera de entender la seguridad “el hecho de que el presidente Biden haya ordenado una directiva para que se implemente Zero Trust en su administración en mayo de 2021, nos da una idea de que la concienciación está extendida”.

Según el análisis de Félix Barrio, subdirector de Ciberseguridad para la Sociedad de INCIBE, “las empresas han reforzado su inversión en ciberseguridad y acudido a servicios de protección basados en reducir al mínimo necesario la exposición a riesgos, la mínima confianza o Zero Trust”, para lo cual se despliegan procesos estrictos de verificación de identidad, que aseguren que solo los usuarios y dispositivos autenticados y autorizados puedan acceder a las aplicaciones y a los datos que necesitan.

Ese refuerzo, tanto en inversión como en concienciación, es del que nos habla Ignacio Cobisa, Senior Research Analyst de la consultora IDC Spain, al ver en el impulso hacia la nueva normalidad que “las organizaciones se están apoyando de manera creciente en arquitecturas de nube conectada y distribuida, donde la gestión del entorno de cloud híbrido cobra cada vez una mayor importancia”.

Según nos explica Cobisa, el puesto de trabajo del futuro debe de cumplir una serie de características para conseguir trabajadores más satisfechos y productivos. “Por una parte, debe de optimizar la experiencia de usuario, poniendo al trabajador en el centro dentro de un entorno de Zero Trust, para finalmente conseguir que el trabajo sea lo que hacemos y no donde lo hacemos”.

La pandemia fijo las miradas hacia Zero Trust

Que el trabajo dé igual donde lo hagamos se han visto como algo necesario por parte de las empresas a raíz de la aceleración digital ocasionada por la pandemia global, que les obligó a incorporarse masivamente al consumo de servicios digitales y de conectividad, en opinión de Félix Barrio, quien recuerda como de repente, “muchas empresas habilitaban rápidamente una red de teletrabajo, o desplegaban sus servicios de comercio electrónico o atención a clientes completamente en modalidad a distancia”.

Barrio apunta también al incremento de suscripciones de clientes a servicios de ocio digital como otro de los fenómenos imparables, que todo apunta a que continuará aumentando. Y, claro, en paralelo se ha dado un repunte de los intereses cibercriminales por beneficiarse ilícitamente del fraude electrónico, la extorsión y el ciberespionaje, para lo cual han desplegado un amplio repertorio de ataques realizados ‘a medida’ de la crisis.

“Eran — continúa explicando— conocedores de que muchas empresas carecían de un sistema de ciberseguridad suficientemente desarrollado, y de que otras tantas necesitarían acudir precipitadamente a tecnologías no suficientemente evaluadas en sus niveles de riesgo, los cibercriminales se movilizaban rápidamente en busca de presas fáciles que atacar”.

Nuevo paradigma para una infraestructura libre de perímetro

El paradigma es proteger a las organizaciones del riesgo asociado a un creciente número de empleados y usuarios que acceden a las redes corporativas desde fuera de los perímetros de la red de su empresa. “No es, por lo tanto, una filosofía nueva, —aclara Barrio— sino un concepto reforzado, que trata de imitar las prácticas de seguridad impulsadas por agencias gubernamentales, grandes corporaciones o instituciones financieras, entre empresas generalmente más pequeñas”.

Bellé ahonda en la “idea de un perímetro que hacía posible una zona de confianza dentro del perímetro, que se ha terminado de desmoronar durante la crisis sanitaria. Los entornos tecnológicos actuales ya no tienen perímetro: no solamente los usuarios acceden desde cualquier ubicación”.

Así que, aunque no se trate de una filosofía nueva, en su opinión “esto cambia los enfoques de seguridad: los requerimientos de seguridad en muchas organizaciones se establecieron cuando tenían sus datos y aplicaciones on-premise. Al ir migrando las cargas a cloud, estos requerimientos dejan de ser válidos, y hay que redefinirlos. Estos entornos híbridos, con una combinación de cargas locales y distribuidas, necesitan enfoques Zero Trust que abarquen todos los modelos de infraestructura de la organización”.

“En este contexto —coincide en su análisis Cobisa desde IDC— cobra especial importancia el concepto de confianza digital, creemos que se basa en la seguridad y en el paradigma de Zero Trust, por lo que ya se está extendiendo el uso del término Chief Trust Office como evolución natural del CISO”.

Para este analista “Zero Trust es un enfoque importante, basado en los principios de acceso al mínimo privilegio, pero centrarse en la confianza digital abarca mucho más y puede aportar importantes resultados y beneficios a la empresa, como mejora de la reputación de la marca o valor para el accionista, además de fidelización de clientes y relaciones sólidas con socios y proveedores”.

Implantación de Zero Trust en España

Pero la implantación del concepto Zero Trust no siempre resulta fácil, según coinciden los expertos consultados, porque requiere soporte profesional y experto que ayude a configurar la seguridad en la utilización de aplicaciones de la nube pública, la encriptación y monitorización del comportamiento por parte de los trabajadores, que acceden en remoto a las aplicaciones corporativas o el acceso a la red desde dispositivos del tipo Internet de las Cosas, por ejemplo.

El INCIBE conoce esa debilidad y nos ofrece los datos. “Los ciberatacantes saben que aplicar Zero Trust necesita de ese apoyo experto. A mediados de 2020, el Instituto SANS alertaba de un aumento del 30% en las búsquedas realizadas por hackers interesados en empresas vulnerables, indexadas en un portal de Internet que publica usuarios con accesos vulnerables en la red, concretamente aquellas que estuvieran usando un protocolo de escritorio remoto, esto es, una plataforma de teletrabajo en particular”. Búsquedas, según apunta Barrio, con el propósito de organizar ataques a las empresas que no hubieran configurado esos sistemas de trabajo en modo seguro.

Pero, independientemente de las debilidades y necesidades de inversión y de apoyo, Alberto Bellé le ve un futuro inmediato a su expansión en el mundo de la empresa, “porque con el auge de IoT, los vehículos inteligentes (recientemente se han desvelado vulnerabilidades de seguridad en los Tesla) y el crecimiento del Edge, Zero Trust va a ganar todavía más relevancia”, nos asegura.

Bellé advierte no obstante que aunque en España ha aumentado la concienciación de Zero Trust, “esto puede llevar a una percepción errónea sobre el nivel real de implementación. Zero Trust es un enfoque que no se aborda de la noche a la mañana. Es poco realista asumir que ya se tiene implementado Zero Trust por adquirir una solución. Se trata de una evolución gradual, con mejoras incrementales, en el que se va adquiriendo visibilidad sobre el riesgo, y se van implementando medidas”. Por esa razón resume cuál es el verdadero problema; “hay una clara concienciación sobre el qué (la necesidad de Zero Trust), pero queda mucho camino en el cómo (las implementaciones)” afirma.

Los incidentes de ciberseguridad con intrusiones o intentos de intrusión en las redes de organizaciones en España en 2021 reflejan la importancia de reforzar la protección con modelos como el de Zero Trust, según el INCIBE. Por ello desde el organismo también detectan que las empresas y organizaciones tienen un creciente interés por acceder a una mayor protección. “Sin embargo, el éxito general depende de que los usuarios y empleados sean conscientes de la necesidad de su colaboración a la hora de respetar las buenas prácticas de seguridad” advierte Barrio.

Para explicarlo, nos pone un ejemplo habitual y muy claro. “De nada sirve que un empleado trabaje en remoto mediante una red privada virtual (VPN), accediendo a los datos y aplicaciones de su empresa, si se conecta en una wifi pública desprotegida”. Según el instituto, el pasado diciembre, los usuarios que declararon usar redes wifi con contraseña suponían el 43,2% del total, “por eso, es tan importante acompañar la inversión en sistemas de ciberseguridad con planes de formación continua para empleados y usuarios”, concluye Barrio.

Ya hay sectores que lo están implantando

Cada vez son más los sectores que piensan en implantar mayores niveles de ciberseguridad, además de los tradicionales representados por agencias gubernamentales, grandes corporaciones o instituciones financieras, según INCIBE. El organismo, mediante el instrumento Toolkit Digital, que acaba de lanzar desde su Secretaría de Estado para la Digitalización y e Inteligencia Artificial, ha abierto una línea de ayuda para facilitar que los colectivos más vulnerables, entre ellos los profesionales autónomos, las micropymes y pymes hasta 50 empleados, puedan acceder si no disponen de ellas, a medidas de protección básicas como las VPN, la protección antimalware y la protección del puesto de trabajo (EDR). “Solamente con la adopción de estos tres instrumentos, —explica Barrio— ofrecidos por la red de agentes digitalizadores adheridos a la campaña, facilitaremos el despliegue de este tipo de filosofía en todos los sectores posibles”.

Y menos mal, porque el análisis de Alberto Bellé deja claro que la cuestión no está tanto en qué organizaciones o sectores lo implantan. “Las principales diferencias en adopción no son por sector, sino por tamaño. Zero Trust requiere una combinación de conocimiento de la infraestructura tecnológica y de red, el apetito de riesgo de la organización y las soluciones en el mercado. Las empresas pequeñas no tienen una masa crítica para tener esas capacidades de ciberseguridad. Para muchas, implementar una autenticación robusta es ya un reto y solamente entender qué significa Zero Trust es ya un desafío, por ello deben apoyarse en partners externos”.

Alberto Cobisa, no obstante, insiste en que uno de los mayores activos intangibles de las empresas, “es la confianza digital, que va más allá de la seguridad (interna o externa). Esta abarca desde la privacidad y el cumplimiento hasta la sostenibilidad; desde el comercio electrónico hasta ecosistemas de confianza; y de la ética y la transparencia a la reputación y lealtad de la marca”, asegura.

Por esa razón se muestra optimista al entender que “las empresas ya son conscientes de la importancia de apoyar el trabajo remoto. Esto ya no es algo trivial, sino que impactará en los resultados. El puesto de trabajo ha pasado de ser una commodity a un elemento diferenciador, y en muchos casos una palanca para atraer talento. Según IDC, en 2023, el 75% de las empresas del G2000 optimizaran técnicamente a su fuerza de trabajo híbrida basándose en el diseño y no en las circunstancias, permitiéndoles así trabajar de manera segura”.

Las dificultades de implementación

Es el futuro, sí, pero para implantar Zero Trust hay que enfrentarse a algunos puntos claves en principio problemáticos, como la verificación de usuario, que se enfrenta a la falta de concienciación o de formación de los trabajadores, usuarios o la alta dirección, la verificación de los dispositivos (con dificultades a la hora de controlar dispositivos públicos, personales, el teletrabajo, la IoT...), o la limitación de privilegios (que puede ser fácil o no de implementar).

Bellé sostiene que hay tres puntos clave. “El primero, las limitaciones de la propia infraestructura. Muchas organizaciones tienen una infraestructura heredada con muchas limitaciones y vulnerabilidades. Las soluciones de seguridad que tienen se diseñaron para otro entorno, y no incorporan los principios de Zero Trust. El segundo son las capacidades; por ejemplo, muchas empresas no tienen capacidades internas para implementar microsegmentación”.

El tercero  de los puntos clave para el ananalista de IDG Research, y es una constante en materia de ciberseguridad. “La concienciación de la alta dirección, aunque este aspecto varía según las empresas. No es fácil explicar Zero Trust al negocio, dado que es una combinación de conceptos. Además, cuando el retorno no es una ganancia, sino evitar una pérdida, construir el caso de negocio es complejo”. 

Desde el INCIBE recomiendan que cada empresa, cada pyme, preocupada por su ciberseguridad, debe planificar su camino, analizar su estado de seguridad y definir dónde quiere y necesita llegar, mediante un análisis de riesgos y la consiguiente autoevaluación. “Igual que controlamos quién entra en nuestras instalaciones, debemos controlar quién entra en nuestros sistemas, y desplegar un adecuado bastionado y monitoreo de la red de datos, que ha de estar protegida para evitar todo tipo de intrusiones en los sistemas. Todas las buenas prácticas para implantar seguridad se podrán abordar con herramientas más o menos costosas en función de la capacidad y recursos de la empresa. Para INCIBE lo importante es que nadie se quede atrás” asegura Barrio.