El mundo de la seguridad está en constante evolución y con él, el lenguaje que utilizan los técnicos y la industria de la seguridad y las nuevas tecnologías.
Uno de los términos cada vez más presentes en el último año es “Zero Trust”. Pero, ¿estamos seguros de saber qué es?
Como siempre hago en estos casos conviene partir desde el principio, es decir, desde la definición.
Para entender lo que significa Zero Trust es útil encontrar una publicación de referencia y en este caso es NIST 800-207. Como se mencionó muchas veces, el NIST (Instituto Nacional de Estándares y Tecnologías del Departamento de Comercio de los Estados Unidos de América) es una fuente inagotable de información.
La publicación 800-207 en particular trata sobre el marco Zero Trust.
De momento es el estándar de referencia tanto para los organismos gubernamentales americanos (obligatorio a partir de mayo de 2021 tras una orden ejecutiva del presidente Biden) como para todos aquellos que de alguna forma tienen que ver con el modelo de trabajo distribuido y en la nube. Según Gartner, para 2025 al menos el 60% de las organizaciones (públicas y privadas) emplearán el marco Zero Trust.
Los principios clave del marco 800-207 son esencialmente tres:
- verificación continua. Es decir, nunca confíes en nada ni en nadie;
- limitación del rango de interés en caso de accidente. Implementar una serie de procedimientos y medidas técnicas para limitar los daños causados por un posible accidente;
- recopilación automática y continua de contexto y datos de comportamiento para garantizar una respuesta precisa.
El modelo Zero Trust se basa en el supuesto de que la verificación única del usuario, sus privilegios y los dispositivos y servicios utilizados no es suficiente para garantizar la seguridad de un sistema en constante evolución en el que las tecnologías y los riesgos también están en constante evolución.
El término "Zero Trust" fue introducido por John Kindervag (analista de investigación de Forrester) con el significado de ¡nunca confíes y siempre revisa!
Por supuesto, esto significa recopilar una gran cantidad de datos e información, que al ser procesados, permiten tener una idea precisa de la situación de los usuarios (privilegios, horarios, lugares de probable conexión, etc.), dispositivos, servicios y riesgos. a los que está sujeta nuestra organización.
Como puede adivinar, este no es un trabajo fácil, pero dado el nivel actual de riesgo, probablemente sea necesario.
La transición a una organización "Zero Trust" no es fácil ya que impacta en la forma de trabajar de las personas y por lo tanto puede generar una resistencia natural al cambio, por lo que la tarea de un CISO se vuelve aún más compleja al menos en las fases de definición de proyectos y más. generalmente en las primeras fases de aplicación.
En algunos mercados, esto podría significar que las empresas deben anticipar un aumento en las tarifas de consultoría en el plazo inmediato.
En una inspección más cercana sería necesario aplicar el principio Zero Trust también a nivel de desarrollo de software y de interacción entre los diferentes componentes de una infraestructura. De hecho, muchos ataques se basan en la ausencia o debilidad de las herramientas de autenticación y verificación continua de la integridad entre los diferentes módulos. Modelo Zero Trust encuentra aplicabilidad tanto a nivel micro (hardware, Sistema Operativo, componentes de software...) como a nivel macro (interacción entre sistemas, organización empresarial...).
En general, para el éxito de un programa de este tipo, la comunicación interna y la capacidad de satisfacer las necesidades de los usuarios, pero sobre todo la capacitación del personal interno, son extremadamente importantes, tanto para aumentar el nivel de conciencia de los riesgos cibernéticos como para minimizar la resistencia al cambio.
El NIST 800-207 es el marco de referencia, como hemos dicho, pero por supuesto las principales firmas de seguridad tienen su propia declinación del concepto “Zero Trust”, que muchas veces se refiere a sus propios productos.
Esto significa, como siempre, riesgos de vendedor encerrado, que deben evaluarse cuidadosamente antes de implementar cualquier programa, pero siempre es así.
Alessandro Rugolo, Maurizio D'Amato, Giorgio Giacinto
Para saber más:
- ¿Qué es la seguridad de confianza cero? Principios del modelo Zero Trust (crowdstrike.com)
- ¿Qué es Confianza Cero? | IBM
- Modelo de confianza cero: arquitectura de seguridad moderna | Seguridad de Microsoft
- Orden ejecutiva sobre la mejora de la seguridad cibernética de la nación - La Casa Blanca
- Universal ZTNA es fundamental para su estrategia Zero Trust | SecurityWeek.Com
