Guido Vrola - Fotolia

Gestionar Aprenda a aplicar las mejores prácticas y optimizar sus operaciones.

Confianza cero: Retomando el control de la seguridad de TI

La confianza en la red es un factor crucial en el riesgo de seguridad, y la confianza cero cambia el modelo tradicional de «confiar, pero verificar».

En los últimos años, la eliminación, o al menos la reducción, de la confianza en la red ha sido fundamental para que las empresas se defiendan contra las múltiples amenazas de seguridad que han surgido en la informática moderna.

Como señalan James Walsh, socio de Fieldfisher LLP, y Rob Grannells, abogado de tecnología, la informática móvil, el trabajo remoto y la prevalencia del software como servicio (SaaS) han significado que la seguridad tradicional basada en el perímetro es fácilmente penetrada. La pareja cree que la confianza debe considerarse un riesgo de seguridad, y se deben implementar estrategias de autenticación adicionales para garantizar que cada fuente de datos o dispositivo tenga un nivel de seguridad adecuado.

La confianza cero fue un término acuñado por la firma de analistas Forrester en 2010 para describir la necesidad de hacer frente a los requisitos de seguridad de TI cada vez más complejos que ejercen una presión creciente sobre las medidas de seguridad basadas en el perímetro. Forrester ahora está viendo un creciente interés en la confianza cero. Su reciente informe, Cómo implementar la seguridad de confianza cero en Europa, de los analistas Paul McKay, Chase Cunningham y Enza Lannopollo, informó que el 54 % de los responsables europeos de toma de decisiones de infraestructura empresarial están utilizando activamente la nube pública, un aumento del 19 % desde 2016.

¿En quién confía?

Para Walsh y Grannells, la seguridad predeterminada de confianza cero significa que no se confía en nada fuera o dentro de la red de una organización, por lo que se deben establecer controles para reducir el riesgo a un nivel aceptable. En otras palabras, defensa en profundidad.

Ellos dicen: «La confianza cero cambia el modelo tradicional de ‹confíe, pero verifique›, donde usted asume que cualquier dispositivo o activo conectado a su red interna es probable que tenga permiso y sea seguro para acceder a recursos solo internos, pero aún así verifica que este es el caso. En cambio, eso se convierte en ‹nunca confíe, siempre verifique›, donde cada dispositivo debe pasar las verificaciones de autenticación y políticas de seguridad para acceder a los recursos corporativos y controlar el acceso solo en la medida requerida».

La confianza implica una interacción entre las personas y la tecnología. Según Walsh y Grannells, el punto de partida para estos factores de confianza es un conjunto de políticas, estándares, procedimientos y prácticas de trabajo bien pensados y actualizados, complementados con documentación de red e inventarios de activos detallados y actualizados que cubren información, licencias de software y hardware.

El par cree que la confianza cero permite que seguridad de TI recupere el control. «El cambio a la confianza cero es donde la seguridad de la información está retomando el control de los muchos nuevos perímetros del ecosistema corporativo», dicen. «Cambia la seguridad de la capa de dirección y ubicación a un modelo centrado en datos. La segmentación de red de confianza cero también proporciona visibilidad del tráfico y le permite comprender ‹quién, qué, cuándo, dónde, por qué y cómo›, que son importantes para administrar el acceso, la seguridad, el monitoreo y el cumplimiento».

Según los autores del informe de Forrester, McKay, Cunningham y Lannopollo, los ejecutivos que no son de seguridad piensan que la confianza cero es solo una arquitectura de seguridad de red. La investigación de Forrester encontró que los tomadores de decisiones de seguridad de red han impulsado la adopción de la confianza cero en Europa hasta el momento, con poca discusión por encima del nivel de jefe de seguridad de información (CISO). Los analistas señalan: «Esto podría ser el resultado de la alta proporción (42 %) de los tomadores de decisiones de seguridad empresarial de mayor jerarquía que informan al CIO en Europa». Pero advierten que si los CISO no elevan la confianza cero, sus esfuerzos de implementación no lograrán sus objetivos comerciales y de seguridad.

Al observar la implementación técnica de una postura de seguridad de confianza cero, en enero de este año, el informe de progreso de confianza cero para Pulse Secure descubrió que la mayoría de las inversiones en tecnologías de acceso de confianza cero se dirigen hacia la autenticación multifactorial (59 %), la gestión y la gobernanza de la identidad (48 %) y el inicio de sesión único (44v%). Esto es seguido por el control de acceso a la red y el firewall de aplicaciones web (43 %), la administración de acceso privilegiado y la microsegmentación (41 %) y las redes privadas virtuales (VPN) (35 %).

La voluntaria de BCS, Petra Wenham, insta a los CISO a comenzar con el tráfico entrante a una red desde una fuente externa (como internet o una red asociada). Ella dice que esto normalmente se controlaría inicialmente en el perímetro mediante una combinación de firewalls diseñados con zonas desmilitarizadas (DMZ) que admiten servidores proxy, servidores proxy inversos y equipos de terminación que ofrecen correo electrónico, VPN y terminación de acceso de clientes desde redes externas y navegación web de internet desde la red interna.

Estos dispositivos proxy y de terminación normalmente ejecutarían tecnologías de prevención de antivirus, malware y spam y, cuando sea necesario, proporcionarían servicios de autenticación y autorización de acceso (AAA) (aseguradas con proxy desde un sistema AAA interno). El firewall de nivel de aplicación (como HTML o SQL) también podría aparecer en los servicios ofrecidos en la DMZ.

Según Wenham, ahora está llegando al mercado una nueva generación de dispositivos de seguridad que integran algunas o todas estas características y, por lo tanto, pueden ofrecer a los administradores de red una visión unificada de sus operaciones. «El diseño de la red interna puede agregar controles adicionales, como la segregación de la red y tecnologías adicionales de detección de antivirus y malware, junto con controles AAA sobre el acceso al sistema y a los archivos», dice.

Por ejemplo, en la segregación de redes, Wenham dice que la práctica recomendada es que los servidores y servicios clave (como el almacenamiento conectado a la red y las redes de área de almacenamiento), Wi-Fi de la empresa y los invitados, tengan sus propias redes y las organizaciones más grandes pueden pensar en poner algunos departamentos (como recursos humanos, finanzas e I+D) en sus propias redes.

«Todas estas redes se conectarían entre sí a través de la tecnología de firewall, que podrían ser firewalls discretos, o utilizar las capacidades de firewall que se encuentran en los conmutadores Ethernet de nivel empresarial, o conectarse a un firewall de múltiples puertos a nivel empresarial, o una combinación de los tres enfoques», dice ella.

Elementos de una arquitectura de confianza cero

La confianza cero generalmente combina estos elementos de control para administrar el dispositivo, el usuario y el nivel de confianza para cualquiera que desee acceder a los recursos corporativos:

  • Gestión de punto final unificada: La capacidad de hacer cumplir y supervisar el cumplimiento de todos los dispositivos de punto final, ya sean corporativos, BYOD (traiga su propio dispositivo) o proporcionados por un contratista. Esto significa que conoce el estado de su dispositivo y las amenazas de seguridad específicas, como la desactualización del sistema operativo de un dispositivo.
  • Inicio de sesión único: Un punto de inicio de sesión, que pasa credenciales completamente validadas de un sistema a otro. Una versión única de la verdad del ID de usuario y un único punto de entrada que valida las credenciales de un usuario, y registra el acceso dentro y fuera de los sistemas corporativos, es importante para una experiencia de usuario fácil en un entorno de confianza cero.
  • Autenticación multifactorial: Un dispositivo confiable, una clave de seguridad de hardware, una medida biométrica, análisis de comportamiento, datos de ubicación, restricciones basadas en el tiempo, etc., se pueden combinar para crear un «perfil» de múltiples factores para establecer las credenciales de un usuario . Cuando cada usuario debe ser validado, confiar en un solo factor ya no es una opción.

Fuente: James Walsh y Rob Grannells, Fieldfisher LLP

Forrester ha descubierto que una de las preocupaciones sobre la adopción de la confianza cero es el costo de implementar el modelo. La firma de analistas ha desarrollado un modelo central de confianza cero que dice que enfatiza la evolución gradual hacia los principios de confianza cero al comenzar con la identidad y otros controles de seguridad fundamentales y reducir la superficie de ataque utilizando su huella de control existente.

Los analistas de Forrester, McKay, Cunningham y Lannopollo instan a los CISO a que sigan un enfoque gradual para implementar la confianza cero en sus organizaciones comenzando con sus sistemas de seguridad existentes. «A medida que domine esas áreas, puede invertir en nuevas áreas, como mejorar el rango de casos de uso de monitoreo de seguridad para obtener una mayor visibilidad y automatizar las tareas de seguridad manuales y aumentar su madurez de confianza cero», dicen. «Si puede demostrar que la confianza cero no es otra excusa para comprar muchos widgets de seguridad nuevos y brillantes, obtendrá más confianza de la sala de juntas».

De hecho, el informe del progreso de la confianza cero encontró que una cuarta parte de las organizaciones están aumentando su infraestructura de acceso seguro actual con tecnología de perímetro definido por software, que efectivamente proporciona acceso de confianza cero a la red.

Investigue más sobre Gestión de la seguridad de la información

Inicie la conversación

Envíenme notificaciones cuando otros miembros comenten sobre este artículo.

Por favor cree un Nombre de usuario para poder comentar.

Close