Ciudad de México,
Patricia Manero
Crédito foto: Sergio Cara (NotiPress)
En el mundo digital de la actualidad, empresas y organizaciones están experimentando altos niveles de riesgo cibernético. En este sentido, el concepto zero trust o confianza cero ganó un fuerte impulso en los profesionales de seguridad informática durante 2020. Esto debido al cambio de hábito en los ambientes laborales, en particular, al trabajo remoto forzado por la pandemia. Un encuesta de Microsoft realizada a líderes empresariales señala, un 51% de los ejecutivos aceleró o trabaja en ello, a fin de mejorar las capacidades de confianza cero.
Dadas las ventajas de Zero Trust para reducir el riesgo cibernético se podría pensar que es fácil conseguir que las empresas apuesten por este modelo. Sin embargo, a pesar de sus beneficios por la implementación de sólidos protocolos y prácticas de seguridad, muchas no han iniciado el camino. El estudio El estado de la seguridad de confianza cero: informe de 2021 de Okta descubrió, alrededor del 40% de las organizaciones a nivel mundial están trabajando en proyectos de Zero Trust. Ante esta situación, es relevante conocer las líneas estratégicas para que los responsables de la toma de decisiones en empresas y organizaciones vean en el modelo Zero Trust un punto clave en materia de ciberseguridad.
Bajo este paradigma, la empresa china fabricante y proveedor de equipo de videovigilancia Hikvision dio a conocer su informe ‘Securing a New Digital World with Zero Trust’. En dicho documento, consultado por NotiPress, se encuentra una descripción sobre cómo tomar medidas para salvaguardar los datos, activos o preservar la privacidad de los usuarios, por ejemplo, de los ataques maliciosos, amenazas de hackers, a través del modelo de seguridad Zero Trust.
Entender el modelo de confianza cero bajo el mismo panorama que la seguridad física es uno de los puntos clave para entender dicho modelo. Para usar una analogía de seguridad física, es fácil imaginar un punto de control que permita a los empleados acceder a la zona de embarque de un aeropuerto de alta seguridad, por ejemplo.
Fuera de los puntos de control de viajeros, este aeropuerto tiene un lector de credenciales el cual solo permite la entrada de empleados si cada individuo tiene una credencial preautorizada. Cuando cada persona ingresa, el torniquete se abre y permite que la persona autorizada entre al edificio. En general, esta práctica mantendrá alejado al personal no autorizado; no obstante, incluso con estos controles implementados, es posible que un actor de amenazas ingrese a las instalaciones.
Este escenario es como la red de una organización, el mundo exterior al aeropuerto representa los peligros de la Internet abierta. Bajo esta línea, la gran mayoría de las personas no representan una amenaza para la ubicación, pero es posible que algunos actores quieran ingresar con fines maliciosos.
Asimismo, en Zero Trust, el primer paso es identificar una "superficie de protección", según el reporte de la fabricante china. En este sentido, la superficie de protección está formada por los datos más importantes y valiosos de la red, activos, aplicaciones y servicios, que también se conocen como las "joyas de la corona" de la organización. Las superficies protegidas, por su parte, son únicas para cada organización, debido a que contiene solo lo más crítico para las operaciones de una organización.
Desplegar un modelo de Zero Trust en una organización puede parecer una tarea titánica, generalmente comienzan con la alineación de las partes interesadas entre las funciones comerciales. Esto para acordar los objetivos definidos y establecer un consenso en la protección de los activos de la organización.
Antes de implementar Zero Trust, es necesaria una estrecha coordinación con los líderes y la administración de la organización: es probable que el flujo de datos adecuado sea fundamental para el éxito del negocio. Por ello, el patrocinio ejecutivo de las iniciativas de Zero Trust es un requisito previo. La implementación en sí es típicamente una función del equipo de seguridad, en colaboración con los equipos de desarrolladores y de TI, si corresponde, para establecer las mejores prácticas y objetivos.
Se puede argumentar la capacidad de Zero Trust para lograr un mayor cumplimiento de la normativa, especialmente si trabaja con clientes o socios con mayores necesidades con respecto a la seguridad. Por otra parte, se pueden destacar las ventajas de la escalabilidad, pues algunas de sus arquitecturas le permiten ampliar las aplicaciones y el acceso a la nube con una inversión menor que las medidas de seguridad tradicionales, que son menos eficaces.
Empresas y organizaciones también deben comprender cómo afectarán los cambios en materia de ciberseguridad a la experiencia del usuario final. Por ejemplo, medidas como la autenticación en múltiples pasos, prácticas de seguridad de las contraseñas y nuevas soluciones a la capacidad de los usuarios para acceder a los datos.
Si las prácticas de seguridad se consideran demasiado exigentes, existe el riesgo de que los usuarios encuentren formas de eludir o ignorar algunas de ellas. Por ejemplo, como compartir los inicios de sesión o el movimiento offline de datos sensibles. Estos factores deben tenerse en cuenta desde el principio y puede ser útil mantener conversaciones informales con las partes interesadas internas antes de implantar nuevos sistemas de proveedores y soluciones cibernéticas.
Finalmente, en el camino hacia la implantación de Zero Trust, lo ideal es la proactividad y poner sobre la mesa las necesidades de la empresa u organización. Esto para asegurar los activos y los datos, así como para saber cómo responderán los usuarios finales a los nuevos protocolos de seguridad. Los usuarios que conozcan cómo los protocolos Zero Trust les protegerán a ellos y a la propia empresa u organización tendrán más probabilidad de adherirse a su implantación, a pesar del aumento de requisitos.