Desayuno ITDS. Afrontando el modelo Zero Trust

  • ITDS TV

Zero Trust se ha convertido en el modelo a seguir, pero también trae nuevas complicaciones y nuevos desafíos. ¿Cómo deberían los CISO trasladar sus organizaciones de la seguridad tradicional a una arquitectura de confianza cero?

Zero Trust se ha convertido en el modelo a seguir, en un objetivo que algunos consideran inalcanzable, un viaje que se tarda en recorrer, pero hay que iniciar cuando antes. Para saber qué viene a solucionar el modelo Zero Trust, qué se necesita para iniciar el viaje o qué hay que tener en cuenta para seleccionar a los proveedores que ayuden a implementar el modelo celebramos uno de nuestros #DesayunosITDS, en el que han participado un grupo de expertos, empezando por Guillermo Martín Soto, Regional Sales Manager, Spain, Portugal & North Africa - IAM (Identity & Access Management) de Thales; Alberto Ruiz Rodas, Presales Engineer for Spain and Portugal de Sophos; Raúl D’Opazo, Solutions Architect de One Identity; Pedro García Villacañas, Head of Pre-Sales de Kaspersky Iberia; Sergio Martínez, Iberia Regional Manager de SonicWall y Javier Campo Azofra, Sales Engineer de Netskope.  

Puedes leer un resumen completo del desayuno en la revista IT Digital Security. Descárgatela.

Lo primero que planteamos es qué viene a solucionar el modelo Zero Trust. Dice Raúl D’Opazo que para OneIdentity el modelo Zero Trus como tal “intenta definir una estrategia de seguridad basada en conceptos” que lleven a que un usuario sólo podrá acceder a los datos o aplicaciones que tenga garantizados, de una manera concreta y cuando lo necesite. Pero esto, “que parece algo sencillo de lograr, no lo es”.

Para Alberto Rodas, el modelo Zero Trust viene a solucionar “sobre todo los problemas de seguridad tradicional”. Explica el directivo de Sophos que no son lo mismo los permisos que tiene un empleado trabajando dentro de la oficina, que fuera de la red de la empresa, y que “tenemos que verificarlo todo “para no dejar que esas VPN y esas redes entre oficinas o esos accesos que tiene un usuario por pertenecer a la red de usuarios, se conviertan en un coladero”.

Zero Trust viene a resolver “este nuevo escenario en el que estamos”, dice Guillermo Martín Soto, añadiendo que con la transformación digital, la nube o el teletrabajo “el perímetro de seguridad ha desaparecido y ahora todo gira en torno a otros conceptos como el usuario, el servicio, la sensibilidad de servicio al que se accede, el dispositivo en el que se accede, etcétera”.

Javier Campo explica que cuando se definió, el objetivo de Zero Trust era de proteger los activos de la empresa, proteger a los usuarios, y sobre todo proteger los datos, y que se fundamenta en el paradigma de que no podemos declarar un usuario, un dispositivo o una red como confiable simplemente porque pertenece a la empresa; lo que debe hacerse es “clasificar cada conexión, cada acceso, como no confiable y en base a ello auditar, autorizar y autenticar cada una de las acciones que el usuario ejecuta sobre los activos de la empresa”.

Para Pedro García Villacañas, incluso penetrar y moverse en la zona de confianza se ha hecho cada vez más fácil para para los adversarios, y este es uno de los problemas que viene a solucionar el modelo Zero Trust, que se une a una serie de conceptos que han ido llegando al mercado, como hablar de superficie de protección en lugar de superficie de ataque, “una superficie más pequeña, que incluye todos los activos, todos los procesos potencialmente vulnerables”.

Asegura Sergio Martínez que el eslabón más débil “siempre es el usuario, que siempre va a estar expuesto a cualquier tipo de engaño. Y esto es algo a lo que tenemos que estar preparados”. Añade el directivo de SonicWall que una de las ventajas que aporta el modelo Zero Trust es, precisamente, “minimizar el impacto de un engaño”, además de reducir el impacto de un ataque en un entorno de migración absoluta a la nube en el que estamos.