Thursday, January 26, 2023
Asociación Sin Ánimo de Lucro de Difusión de Buenas Prácticas de Tecnología itSMF España


El camino para definir una estrategia “ZERO TRUST” en la verificación de la identidad

By Javier Peris , in Articulo , at 27/01/2022 Etiquetas: ,

imagen SeguridadAnte un escenario cada vez más inseguro, donde los ataques se multiplican y son cada vez más complejos nace un concepto que vamos a escuchar mucho en los próximos meses; es el concepto de Zero Trust (confianza cero) un concepto que se va a volver imprescindible en un contexto en el que cada vez tenemos más personas y más dispositivos conectados fuera de nuestro perímetro.

Al igual que ha ocurrido con otros cambios, como pueda ser el de la computación en la nube (cloud computing) el concepto de Zero Trust nos presenta un nuevo paradigma en la forma en la que protegemos a nuestras organizaciones, nuestros datos y nuestros empleados.

Ya lo venimos indicando en los últimos artículos de este grupo de expertos, en los últimos años ataques a grandes corporaciones como Equifax, Colonial Pipe, Mediamarkt, SEPE y muchas otras, se ha convertido en el día a día con el que tienen que lidiar los equipos de seguridad. Esto nos ha hecho darnos cuenta de que cualquier organización, ya sea pública o privada es susceptible de ser atacada.

Tradicionalmente, la seguridad ha dependido siempre de firewalls, VPNs y gateways, entre otros dispositivos, para separar zonas de confianza de los usuarios no confiables. Pero, a medida que ha aumentado la movilidad de los empleados, y sobre todo, acuciada por la situación pandémica en la que estamos envueltos actualmente, ha hecho que estos comenzasen a acceder a los recursos empresariales por su propia cuenta, muchas veces incluso con dispositivos propios y, por tanto, se empezaron a desdibujar los límites de la organización.

¿Qué es la seguridad Zero Trust?

Zero Trust es un modelo de seguridad basado en un proceso estricto de verificación de identidad. Se basa en la necesidad de verificar la identidad de los dispositivos y usuarios, imponiendo como norma que sólo aquellos usuarios y dispositivos autenticados y autorizados puedan acceder a las aplicaciones y a los datos.

Hasta ahora, el escenario más habitual, era que el usuario de una red corporativa conectado desde su equipo ubicado en la red local, o un usuario conectado por VPN, lograba acceso a todos los recursos de dicha red por defecto. Evidentemente, este exceso de confianza puede suponer un problema de seguridad y, aunque se ha intentado micro segmentar la red o dividir la red corporativa en diferentes subredes, estas acciones en si mismas no son garantía de seguridad.

Sin embargo, en un modelo de confianza cero (Zero Trust) este mismo usuario sólo conseguiría acceso a aquellos recursos para los que cuente con autorización, pero, con la salvedad, de que en este escenario de Zero Trust se validaría no sólo la autorización de acceso, sino también la identidad del usuario, su contexto y sus permisos valorando parámetros como su ubicación, nivel de seguridad de su dispositivo o su estado, entre otros datos. Los controles de seguridad se adaptarán en función de su contexto.

Por tanto, y ante este escenario, una estrategia Zero Trust debe incluir, entre otras acciones:

  • La adecuada gestión de la identidad y gobierno para apoyar el principio de privilegio mínimo
  • Una gestión adecuada de la identidad privilegiada para mantener esa máxima de “confianza cero” en los usuarios administrativos
  • Obligatoriedad del uso de autenticación de dos factores (2FA) para reducir el riesgo frente a un compromiso de las credenciales de un usuario.

En un modelo Zero Trust, el modelo de seguridad asume que los actores (usuarios, dispositivos, etc.) no son de confianza, estén dentro o fuera de la red. Por lo tanto, la “confianza” debe ser eliminada totalmente de la ecuación. Y por tanto se debe construir la seguridad, partiendo de la “confianza cero” de todos los actores.

Este enfoque requiere hacer un esfuerzo en los servicios de identidad para asegurar el acceso de cada usuario a las aplicaciones y la infraestructura.

Por tanto, en un modelo como este, hasta que no se autentica la identidad y se prueba la integridad no se concede la autorización y el acceso a los recursos. Eso sí, este acceso se garantizará sólo con los privilegios mínimos necesarios para poder realizar la tarea en cuestión que el usuario o el dispositivo necesite en ese momento.

Principales retos frente a la implantación de un modelo Zero Trust

La implantación de un modelo Zero Trust supone un cambio importante en cómo los equipos de seguridad afrontan este sistema, pero sobre todo en cómo operan los usuarios de una red e interactúan entre ellos con las aplicaciones y los datos.

Una organización, antes de lanzarse al vacío a implantar un nuevo modelo como lo es Zero Trust, debe ser conscientes del impacto que la adopción de este modelo puede llegar a tener.

El máximo responsable de la seguridad en la organización, antes de implantar un modelo de Zero Trust, deberá trabajar en una planificación detallada que contemple todos los escenarios tecnológicos de la empresa. Deberá tener consciencia de todos sus entornos, sus tipologías de datos, los perfiles de sus usuarios, los medios técnicos con los que cuenta, etc.

Tras conocer el punto de partida, y como en todo proyecto de transformación, el paso clave es involucrar en el mismo a la alta dirección. Es extremadamente importante que la dirección entienda y comparta los objetivos y metas del proyecto, pero sobre todo que esté dispuesta a colaborar y a poner sobre la mesa los recursos necesarios para que este proyecto se lleve a su consecución con éxito.

En este proceso de cambio, no debemos dejar de lado, otro eslabón importante en la cadena del proyecto, los usuarios. Es importante que estos estén informados, pero mucho más importante es que estén formados; sobre todo deben conocer cómo les va a impactar en su día a día este cambio de paradigma. De manera que no ofrezcan resistencia al cambio, y conviertan en hábitos las nuevas pautas que implica la adopción de este modelo de seguridad.

De igual forma, el responsable de este proyecto debe evaluar la idoneidad o no de llevar toda la infraestructura IT a un modelo Zero Trust o, por el contrario, definir un escenario de mínimos que podrá ir madurando al ritmo que la organización se lo permita.

A partir de este punto, ya entraríamos en la parte meramente técnica. Evidentemente mover a toda la organización hacia un modelo Zero Trust implica hacer grandes cambios en la infraestructura IT de la empresa. Como decíamos en el párrafo anterior, definir muy bien, las fases e hitos a conseguir es clave para conseguir el éxito en este proyecto.

A modo de conclusión, adoptar este modelo de Zero Trust a escala completa dentro de una organización, puede convertirse en un proceso complejo y que como cualquier proyecto de esta envergadura va a requerir de una adecuada planificación para poder acometerse con éxito.

No obstante, hasta llegar al modelo completo de Zero Trust se pueden realizar pequeños proyectos de Zero Trust parciales, en determinados elementos de la red y/o infraestructuras que ayuden a ir aumentando nuestro nivel de madurez y por tanto también, nuestro nivel de seguridad.

Al fin y al cabo, la seguridad no es un producto de un determinado fabricante, como tal, la seguridad es un proceso continuo y dinámico que nos exige estar cada día adaptando nuestro modelo y nuestro enfoque para hacer frente a las amenazas más incipientes, a fin de comprenderlas y definir constantemente nuevas estrategias para contrarrestarlas.

Alejandro Aliaga Casanova

Team Leader Grupo Expertos itsm4Seguridad

Comité de Estándares de itSMF España

close

Encantados de conocerte

Regístrate para recibir contenido interesante en tu bandeja de entrada, cada semana.

¡No hacemos spam! Lee nuestra política de privacidad para obtener más información.

Esta web utiliza cookies propias y de terceros para su correcto funcionamiento y para fines analíticos. Al hacer clic en el botón Aceptar, acepta el uso de estas tecnologías y el procesamiento de tus datos para estos propósitos. Ver
Privacidad