Ciberseguridad, por qué la clave es no confiar en nada ni en nadie

El modelo zero trust garantiza una protección en capas y seguridad independientemente de dónde se conecte cada usuario.

Confianza cero. Lo que podría ser el nombre de una película de espías que se reproduce en alguna plataforma de streaming es en realidad el enfoque de ciberseguridad que se está convirtiendo en tendencia a nivel global. Un esquema zero trust propone mecanismos de seguridad por capas que incluyen los datos, las redes, los dispositivos, las operaciones y las personas. Por cada una de ellas, además, se implementan controles de visibilidad, políticas y automatización.

La ciberseguridad es uno de los problemas que rondan en las cabezas de los líderes empresarios argentinos: la consultora IDC -en un informe compartido por Cirion- detectó que se trata de la principal iniciativa de las áreas de IT en el país, con un 39 %, seguida de lejos por la estrella del momento, la inteligencia artificial, que alcanzó un 31 %. Otro dato para inspirar confianza: el Panorama Nacional de Ciberseguridad en Argentina, elaborado en conjunto por AWS, la OEA (Organización de Estados Americanos) y la Secretaría de Innovación Pública, determinó que el índice de ciberseguridad del país está un 1,05 % por encima de la tasa promedio. Aun así, avanzar hacia modelos zero trust no parece sencillo.  

La "confianza cero" viene de que este enfoque desconfía de manera predeterminada y hace verificaciones constantes del estado de seguridad en distintos dominios. Todo usuario puede ser una amenaza, esté o no dentro del perímetro de la organización. Una de sus piezas clave es la autenticación multifactor (MFA): el acceso sólo se concede a los usuarios autorizados, lo que aporta una capa de seguridad adicional incluso en los casos en que las credenciales puedan verse comprometidas.

"Zero trust desafía el modelo tradicional de la seguridad, que en pocas palabras plantea la idea de ‘confiar, pero verificar'", destaca Luciano Monchiero, director de la especialización en Cibercrimen de Universidad Siglo 21. "La mirada va hacia un enfoque más proactivo y cauteloso, asumiendo que ninguna entidad, ya sea interna o externa, puede confiarse automáticamente: un cambio de cultura clave dentro del panorama donde las amenazas cibernéticas son cada vez más avanzadas y persistentes", apunta.

La noción parece ser aritmética: la superficie de ataque creció de manera exponencial. Hoy las personas trabajan desde su casa, desde la calle, desde un bar. Y con cualquier dispositivo. La protección restringida al perímetro de la empresa ya resultaba insostenible.

Menos superficie de ataque

"En lugar de confiar en una red interna o en una sola barrera de seguridad, la confianza cero asume que todo debe ser verificado y validado continuamente, incluso aquellos que ya están dentro del perímetro de la red", especifica Pablo Dubois, gerente regional de Producto de Seguridad del proveedor de infraestructura digital Cirion. 

"Es una gran idea para ayudar a las organizaciones a reducir la superficie de ataque y limitar los riesgos, pero no está exenta de complejidad y desafíos de implementación, lo cual hace que muchas de las compañías lleguen a adoptarlo parcialmente", admite Alejandro Botter, gerente de Ingeniería de Check Point para el sur de América latina, también experta en soluciones de seguridad. "La mayoría de las empresas tiene el deseo de lograr un grado de madurez alto pero desafíos como el presupuesto acotado y contratar personal calificado hacen que sea difícil alcanzar esta meta", lamenta.

"La adopción de esta estrategia de seguridad aportará resultados positivos para la empresa, como la reducción de los riesgos de seguridad y de los posibles impactos causados por un incidente de seguridad, así como la demostración del compromiso con la protección de datos, la privacidad y el cumplimiento de normativas como la LGDP (Ley General de Protección de Datos) y las normativas sectoriales de protección de datos", indica Marcello Zillo, líder de Ciberseguridad para América latina de AWS. La empresa ofrece servicios de identidad y redes con componentes básicos de confianza cero.

Los primeros pasos

¿Cómo se puede avanzar hacia un modelo zero trust? Los caminos son numerosos, pero siempre conducen hacia direcciones similares. "Es necesario adoptar un enfoque global, empezando por la evaluación de los activos y los datos sensibles, un paso inicial que sienta las bases para establecer políticas de seguridad sólidas", indica Pablo Gagliardo, gerente General del proveedor de software Noventiq Argentina. "Una estrategia clave en este marco es la segmentación de la red: al dividirla en segmentos más pequeños y manejables se limita el acceso a recursos específicos, lo que reduce eficazmente la probabilidad de propagación de amenazas", expresa.

La transición hacia un modelo zero trust implica un cambio de mentalidad: en lugar de confiar por defecto en los usuarios y dispositivos dentro de la red de la organización, se debe verificar constantemente su identidad y comportamiento. Esto requiere la implementación de tecnologías como la autenticación multifactorial, la segmentación de la red, y soluciones de gestión de identidad y acceso (IAM)".

Se recomienda un enfoque gradual con el acompañamiento de expertos externos, la capacitación constante del personal y la inversión en nuevas tecnologías.

Carlos Arnal Cardenal, gerente de Producto de WatchGuard, recomienda una estructura de cuatro pasos. En la primera, se evalúa y analiza la postura actual de seguridad. Luego, se desarrolla un plan de implementación estratégico. "Debe ser gradual y priorizar los cambios críticos primero", indica. El tercer paso es adoptar una cultura de seguridad y capacitación. "Un modelo zero trust requiere un cambio cultural donde la seguridad es una responsabilidad compartida", advierte. Y, por último, monitoreo continuo y mejora. "Esto es vital: la vigilancia constante es crucial".

"El camino comienza con comprender las limitaciones de los esquemas actuales, las necesidades del negocio, la madurez de la organización y sobre todo una clara visión de los riesgos actuales y futuros y el posible impacto sino se toman las medidas necesarias", dice Andrés Giarletta, director de Preventas para América latina de Kaspersky. "La estrategia debe estar alineada con los objetivos del negocio no solo con el propósito de reducir el riesgo ciber, sino también para afianzar una estrategia integrada a mediano y largo plazo", agrega.

Barreras de confianza

La lista de obstáculos que aparecen a la hora de pensar en la implementación de un modelo zero trust es compleja y extensa:

• Falta de talento especializado en el mercado 
• Dificultades de integrar las nuevas soluciones de seguridad con los sistemas heredados 
•  Inversión que se requiere para llevar adelante el proyecto. 
• Hay empresas que no saben lo que tienen dentro de su propia organización, por ejemplo, qué sistemas utilizan, quiénes tienen acceso a esos sistemas, qué roles tienen esas personas o quiénes son los dueños de los datos.
• Adaptar las políticas de seguridad existentes y asegurar el cumplimiento de las regulaciones relevantes mientras se implementa zero trust puede ser complicado.
• El Shadow IT, que son las aplicaciones o servicios que una empresa utiliza sin el conocimiento o el consentimiento de IT.
• Algunos sistemas más antiguos pueden carecer de la capacidad de adaptarse a esta metodología de seguridad, lo que podría requerir actualizaciones significativas o la consideración de soluciones alternativas", aporta. 
• La interoperabilidad con sistemas heredados puede ser otro desafío.

Más allá del modelo elegido, prácticamente todos los expertos coinciden en un punto: a la hora de evitar problemas de ciberseguridad, nada mejor que formar y educar a los usuarios. "El 90 % de los ataques se originan allí: un usuario consciente de los riesgos puede ser más eficiente que muchas de las barreras que normalmente utilizamos para protegernos", señala Hernando Castiglioni, gerente senior de Ingeniería para Sudamérica Este de Fortinet.

Los datos que comparte Kaspersky son elocuentes: el 20 % de los incidentes cibernéticos en empresas latinoamericanas se produjo debido a que los empleados violaron intencionalmente el protocolo de seguridad, 16 %, debido al uso de contraseñas débiles y 26 %, por visitar sitios inseguros. Un 18 % de las empresas sufrió ataques porque los empleados no actualizaron el software cuando se les indicó y un porcentaje idéntico, porque compartieron datos por sistemas no autorizados.

Una buena: el modelo zero trust ya no confía en ninguno de ellos.