¿En qué consiste la estrategia Zero Trust y porqué es tan popular?

Publicado por BinauxAdm en 31/05/2023

Estrategia Zero Trust

“La mejor forma de averiguar si puedes confiar en alguien es confiar en él”, señalaba Ernest Hemingway. Y no sólo él, muchos otros autores han escrito sobre la confianza y sus virtudes. Pero, en un mundo que cambia constantemente, lo que hasta ahora nos parecía inamovible, se ha quedado obsoleto. En nuestro complejo entorno, el de la ciberseguridad, este principio de constante movimiento nos lleva a replantearnos cada día nuestras creencias más básicas y los conceptos aprehendidos con mucho esfuerzo. En el año 2010, Forrester propuso el concepto de confianza cero o ‘Zero Trust’, una nueva forma de ver la ciberseguridad. Durante los últimos cinco años, quien probablemente lo ha implementado de manera más eficiente ha sido Google con su ‘BeyondCorp’. Las circunstancias actuales, provocadas por la pandemia de la Covid-19, nos han obligado a revisar el ‘armamento’ de nuestra empresa. Nuestro castillo se desmorona: la invasión de cloud, SaaS, BYOD, IaaS, etc, ha provocado la caída de nuestro, hasta ahora, inquebrantable perímetro.

Es aquí donde entra en juego el concepto de confianza cero o Zero Trust. Las redes perimetrales, es decir, todos los dispositivos y usuarios que están dentro de nuestro ‘castillo’, obtienen la etiqueta de confiables; pero imaginemos que alguien es capaz de acceder a uno de nuestros sistemas y obtener las credenciales de administrador. ¿Qué pasaría entonces con nuestra red corporativa? El hecho de establecer una confianza per se, detrás del perímetro, daría una ventaja al atacante que difícilmente lograríamos atajar.

La nueva forma de trabajar, debido a la pandemia, ha provocado que muchos de nosotros utilicemos nuestros propios ordenadores, tabletas o móviles; demos acceso a terceros; utilicemos aplicaciones en la nube o teletrabajemos desde nuestras casas. Todo ello fuera del control perimetral al cual estábamos acostumbrados.

Aunque el concepto puede sonar novedoso, Zero Trust utiliza muchas de las tecnologías que ya tenemos: la microsegmentación de nuestras redes; herramientas de gestión de identidades; cifrado en los extremos y las comunicaciones; y puntuación y permisos del sistema operativo, entre otros.

¿Qué necesitamos para implementar Zero Trust?

La implementación de Zero Trust no depende de un solo elemento. Para ello, necesitamos una serie de instrumentos que nos ayudarán en el proceso de adaptar nuestra empresa a la nueva arquitectura de seguridad:

Un proveedor de identidad, el cual hará un seguimiento de la información relacionada con los diferentes usuarios de nuestra organización
Servicio de directorio de dispositivos, donde guardaremos un listado de las máquinas que tenemos en la empresa. Esto nos permitirá saber qué máquinas están gestionadas y cuáles no
Un gestor de políticas y cumplimiento de las mismas en función de los parámetros que le indiquemos
Un ‘proxy’, que aceptará o denegará el acceso a nuestros datos en función del cumplimiento de las directrices establecidas en el proveedor de identidad; el servicio de directorio y el gestor de políticas y cumplimiento

Cierto es que, con todos estos parámetros a tener en cuenta, se hace necesaria la participación de un administrador de registros basado en Machine Learning. Este nos ayudará a identificar cualquier incidencia y a asignar un nivel de riesgo ante cualquier intento de acceso a los datos de nuestra empresa. Es fundamental analizar el comportamiento de los usuarios/dispositivos para que Zero Trust funcione como es debido.

¿Qué beneficios nos aporta Zero Trust?

Todo el esfuerzo necesario para planificar la conversión de nuestra red perimetral tiene unos beneficios que, a la larga, suponen una gestión más sencilla y automatizada de nuestra corporación:

● Nos da un acceso condicional a los recursos de la empresa, basado en los parámetros definidos en nuestras reglas

● Previene el acceso a la red y los movimientos laterales que consisten en el robo de credenciales

● Más productividad: trabaja cuándo, dónde y cómo quieras

● Una experiencia de usuario más fluida

● Visibiliza el riesgo ‘imperceptible’ gracias a los controles de acceso y al Machine Learning

Quizá la frase de Lao Tzu: “Aquel que no confía lo suficiente no será digno de confianza”, debería de ser revisada y actualizada por: “Aquel que no confía lo suficiente no será digno de un ciberataque”.

Joan Massanet

Área de Ciberseguridad BinauraMonlex

Cookie	Duración	Descripción
_ga	2 años	Cookie analítica de Google que calcula los visitantes, sesiones, datos de campañas, y mantiene el registro de uso de la web. La información que almacena es anónima y utiliza números aleatorios para identificar a los visitantes de forma única.
_gid	1 dia	Almacena información sobre cómo usan la web sus visitantes, con el objetivo de crear informes y analíticas. Almacenan de forma anónima el número de visitantes, de dónde vienen y las páginas visitadas.
_hjFirstSeen	Sesión	Está cookie de Hotjar está configurada para identificar la primera sesión de un nuevo usuario. Almacena un valor verdadero / falso, que indica si esta fue la primera vez que se vio a este usuario. Lo utilizan los filtros de grabación para identificar nuevas sesiones de usuario.

Cookie	Duración	Descripción
cookielawinfo-checbox-analytics	11 months	Esta cookie es establecida por el plugin GDPR Cookie Consent. La cookie se utiliza para almacenar el consentimiento del usuario para las cookies de la categoría "Analytics".
cookielawinfo-checbox-functional	11 months	La cookie se establece por el consentimiento de cookies GDPR para registrar el consentimiento del usuario para las cookies en la categoría "Funcional".
cookielawinfo-checbox-others	11 months	Esta cookie es establecida por el plugin GDPR Cookie Consent. La cookie se utiliza para almacenar el consentimiento del usuario para las cookies de la categoría "Otros".
cookielawinfo-checkbox-necessary	11 months	Esta cookie es establecida por el plugin GDPR Cookie Consent. Las cookies se utilizan para almacenar el consentimiento del usuario para las cookies en la categoría "Necesario".
cookielawinfo-checkbox-performance	11 months	Esta cookie es establecida por el plugin GDPR Cookie Consent. La cookie se utiliza para almacenar el consentimiento del usuario para las cookies de la categoría "Rendimiento".
viewed_cookie_policy	11 months	La cookie es establecida por el plugin GDPR Cookie Consent y se utiliza para almacenar si el usuario ha consentido o no el uso de cookies. No almacena ningún dato personal.

Cookie	Duración	Descripción
_gat_UA-191876745-1	1 minuto	Cookie de Google Analytics utilizada para controlar el número de peticiones, en caso de webs con alto tráfico.
_hjAbsoluteSessionInProgress	30 minutos	Esta cookie se utiliza para detectar la primera sesión de vista de página de un usuario. Este es un indicador de Verdadero / Falso establecido por la cookie.
_hjid	1 año	Cookie de Hotjar que se establece cuando el cliente llega por primera vez a una página con el script Hotjar. Se utiliza para conservar la ID de usuario de Hotjar, única para ese sitio en el navegador. Esto asegura que el comportamiento en visitas posteriores al mismo sitio se atribuirá al mismo ID de usuario.
_hjIncludedInPageviewSample	2 minutos	Esta cookie está configurada para que Hotjar sepa si ese visitante está incluido en el muestreo de datos definido por el límite de visitas a la página de su sitio.

Artículos Relacionados

El aspecto táctico de la Ciberseguridad y la alta dirección

Todo lo que Necesitas Saber sobre el Esquema Nacional de Seguridad (ENS)

Aumentan los Incidentes de Ciberseguridad en 2023: La Importancia de la Preparación