Por Marvín Soto
La confianza cero (Zero Trust) se ha convertido en la palabra de moda en la industria de la ciberseguridad. Según Gartner “confianza cero es un nombre inapropiado; no significa ‘sin confianza’, sino; cero confianza implícita y uso de confianza explícita y apropiada al riesgo”.
Cuando una organización hace el cambio hacia un modelo de confianza cero, adopta la doctrina de nunca confiar por defecto en nadie, ni en nada que provenga de dentro o fuera de su perímetro.
Es decir, la organización define políticas que determinan qué, y cuándo, un usuario o dispositivo puede acceder a recursos específicos. Lo más relevante, es que esas políticas no deben ser estáticas, ósea; que no solo se aplican en el momento del acceso, sino que se monitorean continuamente durante el transcurso de cada interacción.
Como he citado antes, confianza cero es una filosofía, no una herramienta tecnológica instalamos una vez y luego olvidamos. Esta filosofía requiere un cambio de cultura, un cambio que tendrá un impacto positivo masivo en la postura de seguridad de su organización y en su productividad.
Una arquitectura de seguridad de confianza cero crea un campo de juego nivelado con una estructura de política de seguridad consistente, sin favoritos, ni puestos; por lo que tiene asidero invertir en la creación de una cultura de seguridad compartida e intencional que capacite a todos en la organización.
Señores, el perímetro de seguridad tradicional basado en un firewall ya no existe. Hoy día, el perímetro son las personas, donde sea que trabajen, los dispositivos que usen para conectarse a la red y los recursos de su organización que consumen.
IDC estima que habrá cerca de 56,000 millones de dispositivos conectados en todo el mundo para 2025 lo que amplía significativamente la superficie de ataque potencial, quedando estas más expuestas al creciente volumen de ciberamenazas.
Reiterar la persistencia de la ignorada causa raíz; lo digo porque los reportes de IBM (año 2014) y WEF (año 2022), coinciden con 8 años de diferencia que el 95% de los ciberataques obedecen a errores humanos.
Estos problemas ignorados facilitan el accionar de los actores de amenazas que buscan justamente esos errores humanos para explotarlos. Por lo que queda a la vista que la confianza cero es el facilitador de una seguridad definida por las personas (People-Defined Security), en lugar de basada en el perímetro.
Por supuesto se trata de un gran cambio cultural. Hay una curva de madurez y cada viaje comienza con un solo paso. Lo importante es empezar. Comparto algunos consejos para este viaje:
No lo haga solo: Aprendamos todo lo que podamos, conectémonos con organizaciones similares en nuestra industria para obtener las lecciones aprendidas. Organizaciones que hayan cubierto ampliamente el espacio de acceso a la red de confianza cero (ZTNA) y pueden conectarnos con proveedores de tecnología que nos ayuden en nuestro viaje. Recuerde que el mayor peso de la seguridad recae en el onboarding.
Haga un balance: Usted no puede proteger o asegurar lo que no conoce, así que antes de que pueda proteger su red y sus recursos, debe comprender lo que está protegiendo. Realice un diagnostico o una auditoría de los componentes de su red, la infraestructura de TI, las herramientas y las aplicaciones de ciberseguridad. Determine dónde residen, quién los administra y cuáles son los riesgos y los activos de mayor valor y de mayor criticidad en razón del impacto que producirá su discontinuidad al negocio. Parafraseo el mensaje central del libro “El arte de la guerra”: “conócete a ti mismo, conoce a tu enemigo y has planes para ganar la batalla sin pelear.
Consiga la aceptación: Una implementación exitosa requiere la aceptación del liderazgo ejecutivo. El cambio debe venir de arriba hacia abajo. Significa que debes ofrecer a tus principales patrocinadores una descripción completa de las ramificaciones de una brecha de seguridad, incluida la pérdida de productividad, el costo financiero y el daño a la reputación, así como una descripción clara de los beneficios que se lograrían al cambiar a confianza cero, incluida la protección de datos mejorada, reducción riesgo, mayor agilidad y mayor productividad propulsadas en fondo por una seguridad definida por las personas (People-Defined Security).
Hagamos un plan: Pero recuerda, no necesitas, y no debes, tratar de abordar todo a la vez. Esto es un viaje, recuerde, no llegas el final sin haber rodado todo el camino. También es importante entender que no hay un punto final; su programa de confianza cero continuará evolucionando a medida que evolucionan sus prioridades, porque todo cambia, nada es inmutable y en la tecnología y en lo humano, estas son verdades absolutas.
Educar al humano en cada paso del camino: La confianza cero no se trata solo de tecnología. Para tener éxito, las organizaciones deben educar a las personas sobre por qué este cambio es tan importante y sobre el papel que desempeñan como coadyuvantes en la mejora de la seguridad en toda la organización. La persona es el centro de esta estrategia. Cuando las personas están empoderadas, están informadas y se sienten involucradas en el proceso, es cuando se convierten en cortafuegos humanos. La educación en ciberseguridad debe ser continua y debe involucrar y motivar a su gente a sentir que son parte de la solución.
Cierro con esto; este viaje no tiene un punto final. Es decir, si bien es cierto este modelo de seguridad definida por las personas (People-Defined Security), reduce su riesgo comercial, acelerar la modernización y la transformación, respaldar los requisitos de cumplimiento, agilizar la planificación a largo plazo y mejorar la experiencia del usuario final, con un acceso seguro y sin inconvenientes; es dinamico y esta sometido al constante cambio del macroentorno de la tecnologia, de las personas, de los procesos y de los adversarios. Me pregunto ¿porque nos ha constado tanto entenderlo?
¡Ah claro! Hemos centrado tanto la atención en monetizar, que lo que no “produce ganancias”, ha perdido relevancia. ¡No podríamos estar más lejos de la realidad! Tenemos con un poco de suerte, 8 años de atraso desde el primer diagnostico de IBM. ¡A trabajar!
Tomado de Marvín Soto con permiso de su autor
No hay comentarios:
Publicar un comentario