La importancia del 'zero trust' en una estrategia de ciberseguridad
En los últimos tiempos se ha instalado en las conversaciones de ámbito empresarial la necesidad de implementar estrategias 'zero trust' en los entramados de las compañías para trabajar en materia de ciberseguridad. Una tendencia que, si bien resulta una medida muy interesante en la lucha por la seguridad de las organizaciones, debe hacerse con una buena base de conocimiento.
Obviando la pomposidad y la fanfarria que rodean al concepto de 'zero trust', lo que sí queda claro es que, en la mayoría de ocasiones, no se entiende bien a qué nos estamos refiriendo y lo realmente conocido viene únicamente derivado de la simple lectura de una de las hojas salmón de algún periódico dominical.
En estas líneas vamos a intentar arrojar un poco de luz sobre el término, lo que representa y lo que significa para una estrategia de ciberseguridad en cualquier empresa.
El sistema 'zero trust' aplicado al mundo de la Seguridad de Sistemas se refiere al hecho de desconfiar por defecto de cualquier conexión, dispositivo, dato o usuario independientemente de que éste se encuentre dentro o fuera de nuestra red corporativa.
Si bien es cierto que, en el día a día, el usuario se conecta de forma interna a la red desde su puesto de trabajo o en remoto gracias a una VPN, lo que consigue un modelo de red 'zero trust' es que este usuario sólo pueda conseguir acceso a aquellos recursos para los que cuenta con una autorización y siempre después de haber sido correctamente identificado.
Así, se pone fin a un gran problema de seguridad al que las empresas tradicionalmente han intentado poner remedio microsegmentando o dividiendo su red para dificultar el acceso por parte de terceros. De esta forma, la solución valida la identidad del usuario, su contexto y sus permisos de manera que se limitan considerablemente los daños derivados de un mal uso de los elementos de red y datos por parte del usuario. Sumando, además, la limitación de un ataque de suplantación de identidad de este usuario o una posible infección por malware o ransomware, la cual no podría extenderse indiscriminadamente por la red sino únicamente, y como mucho, tener acceso a los recursos especificados para este usuario.
Esto supone un cambio profundo e importante en el paradigma del trabajo diario de una empresa, pues es muy necesario alinear a todos los actores que participan del día a día, no solo con la red, sino interactuando entre ellos, con sus aplicaciones y datos.
Por todo ello, quizá no es la mejor de las soluciones si pensamos en ella como una estrategia a imponer en el corto plazo. No obstante, no es necesario cambiar por completo toda la infraestructura IT, sino que el cambio puede ser progresivo.
En esta línea, una muy buena forma de empezar a conocer el concepto y aplicarlo al entorno de cada organización puede ser escoger una aplicación concreta como el acceso remoto VPN de los teletrabajadores y cambiarlo por un sistema 'zero trust'. De esta forma, el impacto y coste será más limitado y controlado por lo que poco a poco el engranaje ya trabaja en la misma dirección, dirigiéndose hacia un cambio total en el medio y largo plazo.
Y no es un cambio menor, puesto que 'zero trust' en el acceso remoto trae consigo un gran beneficio desde el punto de vista de la ciberseguridad, permitiendo evitar multitud de ataques que han proliferado durante la pandemia como consecuencia del teletrabajo.
Recordemos que en un acceso VPN el usuario es trasladado a la red de la compañía con sus dispositivos y, por ende, con cualquier tipo de malware, ransomware o amenazas que estos puedan contener. Por lo tanto, si el dispositivo del usuario contiene un ransomware basado en un gusano, éste llegará a la empresa y se extenderá por toda ella mientras que, en un escenario donde se utilice un modelo 'zero trust', es muy probable que no pueda extenderse pues no tendrá acceso a la red comparativa.
'Zero trust' es una solución en la que las empresas deben trabajar de forma paulatina y constante hasta conseguir cambiar por completo sus sistemas para adaptarlos a este modelo. No obstante, las prisas nunca son buenas consejeras y, el cambio, como se ha visto, es complejo. Es por ello que debe planificarse de una manera inteligente y eficiente para que pueda llegar a buen puerto y conseguir el éxito esperado.
*** Miguel López es director general de Barracuda Networks en España