Cinco fases del trayecto hacia zero trust
La confianza cero, o zero trust, es un estado al que muchas organizaciones aspiran y que ocupa hoy un lugar estratégico en las agendas de seguridad de las empresas y las personas, especialmente cuando usuarios y aplicaciones conviven en un entorno híbrido y tienen acceso directo a la nube desde cualquier dispositivo y lugar. Este entorno plantea amenazas, riesgos internos y robo de datos, problemas en los que zero trust puede ser útil para mitigar y resolver.
En esencia, los proyectos de zero trust que las empresas llevan a cabo se encaminan a reemplazar la confianza implícita con confianza explícita, y se enfocan en la confianza adaptable entre usuarios, dispositivos, redes, aplicaciones y datos con el propósito de elevar la confianza para el negocio.
El cambio que zero trust plantea es pasar de “confiar, pero verificar” a “verificar y después confiar”. Esto significa que no se puede confiar implícitamente en nada y que el contexto se debe evaluar constantemente. También conlleva asumir que el entorno en el que se desempeña una empresa puede ser comprometido en cualquier momento, y desde cualquier dispositivo, sin que haya necesariamente malas intenciones por parte de los usuarios. Debido a esto, lo que se busca con esta estructura, es reducir el riesgo y dar agilidad al negocio al dejar de lado totalmente la confianza implícita y evaluar continuamente la confianza y veracidad tanto en usuarios como en los dispositivos teniendo como base la identidad, el acceso y la analítica.
La ruta para lograr los principios de zero trust tiene muchas vertientes; cada empresa puede elegir la que más le convenga y se adapte a sus necesidades. No obstante, hay cinco fases clave que necesitan considerarse para su adopción efectiva:
1) No permitir el acceso anónimo. Una vez que se clasifican los perfiles de usuarios y los niveles de acceso, hay que hacer un inventario de todas las aplicaciones e identificar los activos de datos de la empresa, de modo que se refuerce la gestión de identidades y accesos, se realice el descubrimiento de aplicaciones privadas y una lista de aplicaciones SaaS y categorías de sitios web aprobadas. Hay que establecer además una autenticación robusta para controlar qué usuarios deben tener acceso a qué aplicaciones y servicios. Aquí es crítico crear y mantener una base de datos que haga un mapa de los usuarios (empleados y terceros) que tienen acceso a las aplicaciones, así como racionalizar el acceso a ellas, eliminando viejos derechos que ya no requieren debido a que su posición cambió, salieron de la empresa o terminó su contrato.
2) Mantener el modelo de confianza explícita. Las organizaciones deben determinar de qué manera se va a identificar si un dispositivo se gestiona internamente, y añadir contexto a las políticas de acceso –como bloquear, sólo lectura o permitir actividades específicas según las condiciones. Se debe utilizar aquí una autenticación mucho más robusta cuando el riesgo es alto. Asimismo, se requiere evaluar el riesgo de los usuarios e instruirlos sobre categorías de aplicaciones específicas, y ajustar constantemente las políticas para reflejar los cambios en los requerimientos de la empresa.
3) Aislar para contener el diámetro de impacto. Debe reducirse el acceso directo a los recursos Web, especialmente cuando los usuarios interactúan al mismo tiempo con las aplicaciones gestionadas. El aislamiento bajo demanda, que se activa automáticamente en condiciones de alto riesgo, reduce el diámetro de impacto de los usuarios comprometidos y el de los sitios web peligrosos. Las empresas también deben monitorear las amenazas y los dashboards de los usuarios en tiempo real para identificar los intentos de comando y control y detectar anomalías.
4) Implementar una protección de datos continúa. El siguiente paso consiste en tener visibilidad del momento en que los datos sensibles se almacenan y a dónde se envían. Es importante monitorear y controlar el movimiento de esta información a través de aplicaciones y sitios web autorizados y no autorizados. Las empresas definen las políticas para acceder a contenido de acuerdo con el contexto, sea acceso total, sensible o confidencial, así como reglas de protección contra la pérdida de datos (DLP) para todas las aplicaciones, a fin de proteger los datos y cumplir con las regulaciones. Asimismo, deben investigar y eliminar la confianza excesiva, así como adoptar y aplicar un modelo del menor privilegio.
5) Refinar con análisis y visualización en tiempo real. Finalmente, hay que enriquecer y refinar las políticas en tiempo real, por lo que hay que evaluar la efectividad de éstas de acuerdo con las tendencias de los usuarios, las anomalías del acceso, la alteración de las aplicaciones y los cambios en el nivel de sensibilidad de los datos. Aquí, las empresas deben tener visibilidad de las aplicaciones y servicios de los usuarios, y los niveles de riesgo asociados; lo mismo debe suceder con la actividad en la nube y la web para realizar ajustes continuos y monitorear los datos y las políticas relacionadas con las amenazas.
Zero trust es una parte esencial de la estrategia de ciberseguridad, particularmente cuando, a raíz de la pandemia, la transformación digital se ha acelerado y las empresas modernas no pueden darse el lujo de esperar a que las áreas de TI respondan. Hay que tener siempre en mente que estas organizaciones dependen de las aplicaciones y los datos que viajan por internet, los cuales no necesariamente se diseñaron pensando en la seguridad.
Por Luis Fornelli, Director para México, Centroamérica y Caribe de Netskope