La crisis del coronavirus ha provocado dos grandes transformaciones relacionadas con la aceleración digital de las empresas. Por una parte, durante los meses más duros de la pandemia el teletrabajo pasó a ser el modelo dominante. Por otra, se impulsó la transición al entorno cloud, la cual ya se venía haciendo de antes.
Esto ha hecho que las infraestructuras tecnológicas de las organizaciones hayan cambiado totalmente en un tiempo récord. Mientras que en el pasado todos los activos tecnológicos estaban ubicados en una zona interna, dentro de un perímetro controlado por cada empresa, ahora cualquier activo puede estar en cualquier parte, ya sea en las instalaciones propias de la empresa, en la nube, es decir, en un centro de datos externo, o en la zona de teletrabajo del propio usuario. De esta forma, el perímetro de seguridad desaparece y la superficie de ataque se amplía.
Esta realidad deja desfasada la estrategia de seguridad que se venía implantando hasta ahora; aquí es donde entra Zero Trust (ZT).
¿Qué es Zero Trust?
Hasta ahora, las empresas contaban con una red interna confiable protegida por un sistema de seguridad perimetral. El objetivo era que los ciberdelincuentes no pudieran traspasar ese perímetro para, de esta forma, mantener a salvo todos los recursos de la red. Es decir, la estrategia de seguridad se orientaba a la prevención de posibles ataques.
En la nueva realidad la prevención ya no es suficiente. Tarde o temprano todas las empresas, con independencia de su tamaño o de su sector de actividad, van a sufrir un ciberataque con consecuencias imprevisibles para el negocio. Es un hecho que se debe asumir y que tiene que empujarnos a protegernos de la mejor manera posible. Así, la pregunta clave no es cómo podemos evitar un ataque, sino cómo va a reaccionar nuestra infraestructura ante un ataque.
En esta situación surge Zero Trust, un cambio de paradigma en la manera de entender la ciberseguridad. Zero Trust es una filosofía que consiste en asumir que ya se ha producido una brecha, que el atacante ya está en nuestra red y que no hay diferencias a nivel de confianza entre el entorno empresarial y el no empresarial.
Normalmente, un atacante entra en la red corporativa a través de un equipo vulnerable. A partir de ahí, se va moviendo lateralmente para llegar al punto donde se almacenan los datos que le interesan. Es en ese primer movimiento donde la arquitectura Zero Trust debe ser capaz de detectar y anular la intrusión mediante la aplicación de sus principios básicos: verificación explicita y continua; acceso de mínimos privilegios y asunción de la brecha.
¿Estamos entendiendo Zero Trust de la manera adecuada?
Hay que tener algo claro: Zero Trust no es un producto, no es algo que se pueda comprar e implementar de un día para otro, y cualquiera que intente vendernos eso nos está engañando. Zero Trust es una estrategia de empresa a largo plazo, que requiere de estudios detallados y despliegues controlados.
La realidad es que, aunque todos los proveedores del ecosistema tecnológico hablen de Zero Trust, no todos ellos disponen del conjunto de herramientas necesarias para implementar una arquitectura de este tipo. Esto está generando una gran confusión entre las empresas, que terminan creyendo que por tener un producto con funcionalidades Zero Trust ya están en una red de confianza cero.
Los datos que arroja un informe llevado a cabo por Fortinet, un proveedor especializado en ciberseguridad, sobre la implementación de Zero Trust son bastante reveladores. El 84% de las organizaciones consultadas afirman estar en vías de implementar una estrategia de confianza cero o estar ya de lleno en su implantación. Otro 40% dice tener la infraestructura completamente desplegada y en funcionamiento. Pero la realidad llega cuando el 59% de estas empresas confiesan no disponer de herramientas o habilidades para autenticar usuarios y dispositivos de forma continua, algo clave en una arquitectura de Zero Trust.
Los datos de este estudio demuestran que, aunque es verdad que ha aumentado la concienciación, se sigue teniendo una percepción errónea de lo que realmente significa adoptar una estrategia de confianza cero. Por este motivo las empresas tecnológicas tenemos que ayudar a nuestros clientes a entender mejor esta estrategia, que van a tener que adoptar antes o después, y acompañarlos en esa transformación que no va a resultar fácil o rápida.
Puede ser que para muchas compañías resulte complicado alcanzar en algún momento una red cien por cien Zero Trust. Lo importante ahora es comenzar a dar pasos con ese objetivo en mente, incluyendo elementos clave como el registro y análisis de todos los activos de la organización; una robusta gestión de identidades; control de dispositivos mediante Network Access Control (NAC), una tecnología que permite controlar de forma muy granular qué dispositivos pueden acceder a la red; protección del endpoint basada en tecnologías EDR/XDR (detección y respuesta de endpoints) o acceso remoto seguro dejando de lado las redes privadas virtuales (VPNs) y dando paso a la verificación continua que proporciona Zero Trust Network Access (ZTNA), una de las funcionalidades integradas en la estrategia de Zero Trust que viene a revolucionar el acceso a los recursos de la red.
Lo que está claro es que Zero Trust está marcando el inicio de una nueva era para la ciberseguridad, en la que tanto proveedores tecnológicos como empresas tenemos el reto de remendar errores pasados y construir una arquitectura de seguridad de manera ordenada, facilitando la gestión centralizada y desde el punto de vista de la confianza cero.
Opinión