‘Zero Trust’: Desconfía de todo para mantener la red corporativa segura

La adopción de una estrategia ‘Zero Trust’, o confianza cero en los accesos a la red corporativa, ha cobrado relevancia con la expansión del teletrabajo. Sobre las virtudes y los defectos (pocos) de estas políticas de ciberseguridad trató el penúltimo «Zoom de la Fundación Borredá», organizado esta vez con la colaboración de su socio protector S21Sec.

Zoom Fundación Borredá_Zero Trust
Por Enrique González Herrero

Uno de los principales cambios que ha motivado la pandemia en el ámbito laboral ha sido la expansión del teletrabajo. Muchas empresas se han visto obligadas a facilitar la actividad a distancia de sus empleados para mantener el negocio. Sin embargo, esta situación ha tenido notables implicaciones en relación con la ciberseguridad. La adopción de soluciones en la nube, la ampliación del perímetro de seguridad o el uso de dispositivos personales para trabajar son algunas de las más significativas.

Entre las soluciones más populares actualmente para afrontar ese reto están las políticas Zero Trust. Este modelo «parte de la premisa de que todos los usuarios y dispositivos que se conectan a la red de una empresa tienen que ser catalogados como ‘no confiables’ hasta que se demuestre lo contrario, construyendo a partir de ahí una estrategia de acceso a los recursos corporativos en función del perfil del usuario», desarrolló César Álvarez, coordinador de Proyectos de la Fundación Borredá, en la introducción de este «Zoom de la Fundación Borreda».

Cambios por el COVID

En la actualidad se ha consolidado «una nueva realidad de la distribución laboral de las empresas, que se conectan desde fuera de un perímetro que antes estaba dentro de la empresa en su totalidad», complementó al respecto Agustín Muñoz Grandes, CEO de S21Sec. Para el directivo, dicha situación ha provocado un «cambio en el mapa de riesgos» y la necesidad de «confirmar que quien se conecta a la red corporativa es quien dice ser». Esto, unido a la proliferación de soluciones en la nube, «es lo que ha llevado a muchas empresas a establecer políticas como Zero Trust».

Manuel Gabaldón, responsable de integración de sistemas de Seguridad de la misma compañía, añadió que ahora los empleados no solo se conectan al centro de datos (CPD) de su empresa, sino también a la nube. Esa dinámica afecta a la seguridad en dos sentidos. Por un lado, las organizaciones se ven obligadas a «establecer modelos de seguridad para el acceso tanto a los datos de sus CPD como a los que están fuera». Y por otro, surge la necesidad de «proteger a los propios usuarios cuando acceden desde su casa a aplicaciones en la nube».

Para Javier Larrea, ingeniero de soluciones de Forcepoint, la conclusión a este escenario de trabajo híbrido es la obligación de «buscar soluciones que cubran el perímetro desde cualquier dispositivo y desde las propias casas o sedes remotas». «Eso hace que los fabricantes veamos una necesidad de limitar ese silo de soluciones creadas en función de situaciones concretas», manifestó.

Las políticas ‘Zero Trust’ están orientadas a confirmar que quien se conecta a la red corporativa es quien dice ser

Componentes de ‘Zero Trust’

Además del cambio de modelo laboral, los invitados explicaron en qué consisten las políticas de Zero Trust. Según Gabaldón, esta estrategia se fundamenta en cuatro pilares: «la identidad del usuario, la seguridad del propio dispositivo, la definición de una política de acceso mínimo a los recursos y la monitorización de la actividad del usuario».

Larrea añadió otros dos elementos: «definir cuál sería la superficie de exposición» y «proteger el dato«. «Es muy importante ver cómo interactúan los usuarios con el dato y tener herramientas que sean capaces de identificar y saber dónde están esos datos, porque en muchos casos no sabemos dónde encontrarlos», enfatizó el representante de Forcepoint.

A este respecto, Muñoz Grandes dio también relevancia «a la posibilidad de actuar en tiempo real para poder poner en cuarentena un dispositivo que tenga un comportamiento anómalo». «Esto último también es el reto, saber qué es un comportamiento anómalo y, a partir de ahí, implementar soluciones de inteligencia», observó el CEO de S21Sec.

No solo identidad

El encuentro puso de manifiesto, no obstante, que las políticas Zero Trust no solo están centradas en el acceso del empleado a la red corporativa. También lo están con otros aspectos como la navegación o el correo electrónico, que han de mantener la misma filosofía de desconfianza de todo lo que suponga tráfico en la red.

No en vano, «a día de hoy no se puede diferenciar la navegación del acceso a la información o del propio desempeño de los usuarios», sostuvo Larrea. El representante de Forcepoint señaló que «es fundamental establecer controles en el tráfico web, tanto a través de las soluciones tradicionales que están en las oficinas como de aquellas en la nube«. En torno a esto último recomendó complementar Zero Trust con soluciones SASE (Secure Access Service Edge) que «permiten unificar todo el tráfico en la nube como un servicio de seguridad y aplica políticas de control de la navegación, de acceso o de uso aceptable por la compañía».

Para Gabaldón, que coincidió con la idea de Larrea, «Zero Trust es una evolución tradicional de la protección web». Es más, los conceptos de este modelo también pueden aplicarse a otros ámbitos como el correo electrónico. «Vemos casos de estafa a clientes que reciben correos aparentemente legítimos o estafas que utilizan direcciones muy similares a los de una compañía para estafar a terceros». Se trata de mantener la posición de desconfianza con lo que llega por correo.

'Zero Trust'Experiencia de usuario en el ‘Zero Trust’

Aun con lo dicho, Zero Trust tiene también sus inconvenientes, pues requiere la interacción del usuario y puede ralentizar el desempeño de procesos de acceso a la red. Sin embargo, como defendió Muñoz Grandes, «el coste de sufrir un incidente por tener pérdidas es muy superior a la exigencia de esas políticas de seguridad».

Gabaldón consideró al respecto que «es fundamental que las soluciones de seguridad sean compatibles con la labor del empleado». «Es peligroso que el usuario no perciba que la seguridad trabaja para facilitarle las cosas, por ello tenemos que desplegar soluciones que les faciliten el trabajo» reflexionó este profesional.

Larrea también concluyó que es complicado aplicar controles sin afectar al usuario, «entre otras cosas, porque le bloqueas ciertas actividades y le complicas la vida para, por ejemplo, el acceso». De ahí que la tendencia deba ser implantar «soluciones de seguridad unificadas» y «herramientas que aprendan el comportamiento del usuario y detecten desviaciones de su trabajo normal».

Como colofón, Muñoz Grandes destacó la importancia de la formación y la concienciación. «Cualquier despliegue de tecnología tiene que ir acompañado de concienciación, para que los empleados pasen de ser opositores a ser colaboradores con esas políticas, porque entienden para qué sirve y los riesgos de no aplicarlas», apostilló el CEO de S21Sec.