'El modelo Zero Trust es una forma de afrontar la seguridad' (Julia Barruso, Forcepoint)

El concepto Zero Trust, o Confianza Cero, no es nuevo. Fue acuñado por John Kindervag, de Forrester, en 2010 y suponía un avance frente al modelo Trust but Verify, en el que todo lo que se encontraba dentro del perímetro era considerado seguro por defecto. El modelo de Kindervag se basa en que las empresas no deben confiar por defecto en nada ni en nadie, y por tanto todo debe ser adecuadamente autenticado en cada momento. Aunque inicialmente el modelo se dirigía principalmente al nivel de aplicación, hoy Zero Trust se promulga como una modelo de seguridad global.

Este cuestionario forma parte del tema de portada del número de julio de IT Digital Security, disponible desde este enlace.

Julia Barruso, directora de canal de Forcepoint, responde a algunas preguntas sobre el modelo Zero Trust y su renovada adopción entre las empresas.

. ¿Qué propugna este modelo y por qué cree que es ahora cuando se está haciendo más popular?

El modelo Zero Trust es una forma de afrontar la seguridad basada no en una tecnología sino en un marco que incluye diversas soluciones y prácticas recomendadas centradas en la verificación de identidad, podríamos decir que es más una filosofía de seguridad que una definición de tecnología. Esta filosofía nos dice:” nunca confíes, siempre verifica” frente a lo que estábamos acostumbrados a utilizar: “confía pero verifica”.  

. ¿Cuáles son sus beneficios?

Los beneficios principales de utilizar una arquitectura Zero Trust es la protección desde todos los puntos, incidiendo también desde dentro de las organizaciones. Los modelos más tradicionales de seguridad se han focalizado en la protección del perímetro de red, esta fórmula ha demostrado ser insuficiente ya que muchas de las brechas se producen desde dentro de las organizaciones. La exfiltración de datos es algo mucho más accesible para alguien con acceso a la red interna. Para combatir esto, Zero Trust no permite ningún tipo de acceso hasta que la red haya confirmado y verificado quién eres.

Otro beneficio que debo mencionar, es el incremento de protección de los datos que residan fuera de la red corporativa, hoy en día, la mayoría de las empresas tienen datos residiendo en la nube. Quitando el foco de la protección del perímetro y poniéndolo en la verificación de identidad nos da la habilidad de proteger el dato esté donde esté.

. ¿Cómo funciona? ¿Cuáles son sus principios?

Como su nombre indica, Zero Trust se basa en el principio de la “no confianza” y verificación. Para poderlo llevar a cabo se necesitan diferentes tecnologías y mejores prácticas, algunos ejemplos.

• Menor acceso-privilegios: lo que significa solamente permitir el acceso a la información necesaria, esto reduce las posibilidades de exfiltración por malware o atacantes.

• Microsegmentación: Dividir la red en diferentes segmentos con credenciales distintas, para evitar el acceso a la totalidad de la red.

• Múltiple Factor de Autentificación, parte muy importante para Zero Trust, asegurar la identidad y confirmar que quien está accediendo a la red es quien dice ser.

• Controles de Seguridad adaptada al riesgo son necesarios también para poder analizar el comportamiento humano e identificar las actividades pontencialmente peligrosas en lo más parecido a real time. Desde Forcepoint ofrecemos una seguridad mucho más personalizada, no generalizada ya que creemos que los individuos han de ser tratados como tal y no como un grupo homogéneo bajo un prisma estático, es por eso que nuestras soluciones ofrecen niveles de riesgo por usuario y además focalizándonos en buscar nuevas soluciones, hemos añadido inteligencia a las soluciones para que sean capaces de aprender, entender el contexto de las acciones y cambiar dinámicamente las políticas cuando una actuación o comportamiento así lo requiera. La idea principal aquí es que tras hacer login y pasar la autentificaicón multi-factor, necesitamos verificar el comportamiento de los usuarios, ¿Es normal el comportamiento de este individuo? ¿Cómo está interactuando con las aplicaciones y los datos? Un ejemplo real, detectado por Forcepoint y relacionado con banca por Internet consistió en detectar un comportamiento no habitual cuando un usuario realizó cinco movimientos bancarios en menos de 10 minutos con lo que se detectó que, por su perfil de comportamiento, no debía ser una situación permitida.

. ¿Cree que los responsables de seguridad de las empresas aplican este concepto a la hora de establecer su estructura de ciberseguridad?

Como parte de la transformación digital, los perímetros han dejado de estar acotados y las empresas tienen la necesidad de tener en cuenta las aplicaciones, datos, usuarios y dispositivos donde sea que se encuentren. Esto requiere un nuevo planteamiento, no sólo de negocio sino también de seguridad. Las compañías van paso a paso adecuándose a las nuevas necesidades y por lo tanto tomando nuevas medidas frente al nuevo diseño de seguridad que tienen que implementar. Zero Trust no se puede acometer de un día para otro, es un camino que hay que recorrer. Con soluciones como Dynamic Data Protection, Forcepoint ayuda a facilitar este camino y a entender la interacción de datos y usuarios pudiendo incluso prevenir las posibles fugas de información. De este modo, se requiere menos administración, se dan menos falsos positivos y se ayuda a las compañías a asegurar los nuevos modelos de negocio.

. ¿Cuáles son los retos de aplicar el modelo Zero Trust?

Los cambios no son fáciles y un cambio de filosofía como Zero Trust no es diferente, no estamos hablando de implementar una solución sino de un cambio de modelo y gestión,  la búsqueda de diferentes productos que puedan trabajar conjuntamente es necesaria, con el portfolio de Forcepoint nos alineamos en este punto ya que nuestros productos se integran entre sí y con terceros, dando mayor cobertura a las empresas. Con la integración de nuestro Next Generation Firewall, Casb, Proxy, DDP conseguimos una mayor visibilidad y una defensa mucho más precisa.  La inversión, el aprendizaje y la aceptación del cambio son los mayores retos para poder implementar el modelo Zero Trust, aun así el camino se hace andando y hay una clara tendencia  hacia este nuevo modo de afrontar la seguridad.