EN LAS ORGANIZACIONES se solía tener la concepción de que lo más relevante a la hora de implementar seguridad en redes y sistemas de información era el perímetro, y todos los esfuerzos se encaminaban a protegerlo. Pero el tiempo ha ido demostrando que esta medida es incompleta, porque hay una buena cantidad de ataques que se dan desde el interior de la red de las compañías y afectan la protección de la información y los activos tecnológicos. Y cuando algo sucede, es necesario poder contestar preguntas como: ¿por qué pasó?, ¿cómo pasó?, ¿dónde pasó? Y ¿a quién le pasó?
Surge entonces el concepto “Zero Trust” (John Kindervag – Forrester), que extiende la “desconfianza” del perímetro externo a la red interna y, de esta forma, se establece un nuevo paradigma respecto a las “libertades” de las cuales gozaban usuarios, aplicaciones y dispositivos que interactuaban en la red interna.
En la actualidad, este principio toma más relevancia por los procesos de transformación digital en los que se encuentran inmersos muchas compañías y que se apalancan en programas o proyectos con alcances tecnológicos que implican cambios profundos en las operaciones y los procesos de negocio. La transformación digital trae implícito el reto de la seguridad, en todos los nuevos sistemas de información en sitio, en la nube o híbridos.
De acuerdo con el informe “Zero Trust Architecture and Solutions”, elaborado por Gartner, en 2022 el 80 por ciento de los negocios digitales van a tener un ecosistema tecnológico abierto a sus socios, con lo cual habrá un nuevo espectro de usuarios y aplicaciones con acceso a los recursos de TI de las organizaciones. También para 2023 el 60 por ciento de las empresas van a tener un amplio acceso remoto vía VPN, con lo cual los perímetros externo e interno incorporarán nuevos retos de seguridad.
Más allá de las medidas técnicas, indispensables para lograr enfrentar estos retos, muchas veces se olvida que estas tienen que ir acompañadas de políticas y procesos que las soporten. A continuación comparto una hoja de ruta para lograrlo:
∞Mantener un robusto sistema de control de acceso lógico, desde la definición de quién tiene acceso a qué recursos, con qué tipo de privilegios, cada cuánto se hace una validación de dichos privilegios, cómo es el proceso de aprovisionamiento y desaprovisionamiento, y una monitorización continua de accesos versus acciones.
∞Contar con mecanismos de autenticación multifactor que permitan darle un mayor nivel de fortaleza a la identificación y autenticación de usuarios, en especial para recursos de TI críticos.
∞Mantener esquemas de monitorización y evaluación permanentes para asegurar que las diferentes aristas de seguridad están siendo revisadas.
∞Contar con la implementación de una arquitectura segura que contemple los dominios de negocio, datos, aplicación, infraestructura y ciberseguridad.
∞Tener control de la arquitectura dispuesta en sitio, en la nube, híbrida, con el fin de que el acceso a los recursos y el intercambio de datos se efectúe de manera segura.
∞Contar con un modelo de seguridad para las tecnologías de las operaciones (OT, por sus siglas en inglés) e internet de las cosas (IoT, por sus siglas en inglés), que mantenga la protección de este tipo de recursos y controle la convergencia con IT.
∞Contar con un gobierno de desarrollo seguro de aplicaciones, contemplando lineamientos, acompañamiento al desarrollo, pruebas estáticas y dinámicas, previo al paso a productivo.
Por último, y no menos importante, las personas son clave en el mantenimiento de este ecosistema seguro, por lo que ningún plan de protección está completo sin la realización constante de planes de sensibilización a colaboradores y proveedores externos que prestan servicios a las organizaciones para validar su grado de concienciación respecto a la protección de la información y los activos asociados, tanto en almacenamiento como procesamiento y tránsito.
La nueva modalidad de vida y de trabajo que hemos adaptado en el último año obliga a cualquier empresa, sin importar su tamaño o industria, a implementar ya mismo un modelo “Zero Trust” en la protección de sus sistemas e información. No hacerlo significa aceptar tener un caballo de Troya listo para atacar en el momento menos esperado. N
—∞—
María Pilar Torres es jefa de Ciberseguridad en Everis Américas. Los puntos de vista expresados en este artículo son responsabilidad de la autora.
