La norma post pandemia para las organizaciones que operan a nivel global es el uso cada vez mayor de tecnología digital para brindar prácticas de trabajo más flexibles. Aunque los gigantes tecnológicos como Twitter y Facebook llegaron a los titulares de los medios por prometer a algunos empleados que pueden trabajar desde casa para siempre, es probable que la realidad para la mayoría de los empleados sea diferente. Más del 60% de las empresas están planeando promover el modelo de trabajo híbrido, lo que implica que los empleados pasen parte de la semana en casa y unos días en la oficina. Sin embargo, esto también traerá consigo nuevos riesgos cibernéticos, como señalamos en el primer post de esta serie que examina los desafíos de seguridad para el modelo de trabajo híbrido.
La buena noticia es que para eso se construyó el modelo Zero Trust. Obligatorio para las agencias del gobierno federal de Estados Unidos por una nueva orden ejecutiva presidencial, el modelo Zero Trust ofrece una opción cada vez más popular para minimizar el riesgo cibernético en un mundo que se caracteriza por la nube híbrida, el trabajo remoto y los actores de amenazas persistentes.
Los desafíos de proteger un esquema de trabajo híbrido
Los CISO de hoy en día están bajo una presión increíble de tener que proteger el robo de IP sensibles y los datos confidenciales de los clientes, así como los sistemas críticos para evitar que el negocio sufra una interrupción del servicio. A pesar del aumento de la inversión en ciberseguridad, las brechas continúan aumentando. El costo promedio de una las brechas de datos hoy en día está en el entorno de los $3.9 millones de dólares por incidente, con muchas organizaciones que tardan cientos de días antes de descubrir y contener estos ataques.
Lee también:
El modelo de trabajo híbrido: ¿Qué representa para la ciberseguridad?
La llegada del teletrabajo de forma masiva, y ahora del trabajo híbrido, da aún más ventaja a los actores maliciosos. Las organizaciones están en riesgo desde varias áreas, incluyendo:
- Teletrabajadores distraídos que son más propensos a hacer clic en enlaces de phishing
- Trabajadores remotos que utilizan computadoras portátiles y dispositivos móviles, redes y dispositivos inteligentes hogareños potencialmente inseguros
- VPN vulnerables y otros software sin parches que son ejecutados en sistemas hogareños
- Equipos con una con una conexión RDP pobremente configurada que puede ser fácilmente comprometida a través del uso de contraseñas previamente robadas o fáciles de romper. ESET reportó un aumento del 612% de los ataques al RDP entre el primer semestre de 2020 y el primero de 2021.
- Servicios en la nube con controles de acceso débiles (contraseñas deficientes y sin autenticación multifactor).
¿Por qué Zero Trust?
En 2009, Forrester desarrolló un nuevo modelo de seguridad de la información, al cual llamó Modelo Zero Trust (o de confianza cero), que ha logrado una amplia aceptación y adopción. Está diseñado para un mundo que entiende que no se pueden colocar todos los recursos de seguridad en el perímetro y luego confiar en todo lo que hay dentro de él. Y ese es el mundo en el que vivimos hoy en día gracias al trabajo remoto y a la confianza en la nube.
Zero Trust se apoya en la idea de "nunca confíes, siempre verifica" para ayudar a minimizar el impacto de las brechas. En la práctica, hay tres principios subyacentes:
-
- Todas las redes deben tratarse como no confiables
Si ninguna red es de confianza, los usuarios tampoco lo son. Después de todo, no puedes garantizar que una cuenta no haya sido secuestrada o que un usuario dentro de la organización no sea un actor malintencionado. Eso significa conceder a los empleados el privilegio suficiente para realizar el trabajo y, a continuación, auditar regularmente los permisos de acceso y eliminar los que ya no son apropiados. - Privilegios mínimos
Esto debe incluir redes domésticas, redes Wi-Fi públicas (por ejemplo, en aeropuertos y cafeterías) e incluso redes corporativas locales. Los cibercriminales están demasiado decididos como para que asumamos que quedan espacios seguros. - Asumir la brecha
Todos los días escuchamos noticias de una nueva brecha de seguridad. Al mantener la guardia alta las organizaciones estarán atentas y continuarán mejorando sus defensas con la mentalidad resiliente que sugiere Zero Trust. Las brechas son inevitables, se trata de minimizar su impacto.
- Todas las redes deben tratarse como no confiables
Lectura recomendada: Principio del menor privilegio: la estrategia de limitar el acceso a lo que es imprescindible
Cómo ha evolucionado el modelo Zero Trust
Cuando se creó Zero Trust por primera vez en 2009 era un modelo muy centrado en la red. A lo largo de los años se ha convertido en todo un ecosistema. En su centro se encuentra el dato crítico o los procesos de negocio que se deben proteger. En torno a esto hay cuatro elementos clave: las personas que pueden acceder a esos datos, los dispositivos que los almacenan, las redes por las que fluyen y los flujos de trabajo que los procesan.
Ahora Forrester ha añadido otra capa crucial: automatización y orquestación; y visibilidad y análisis. Estos integran todos los controles de defensa en profundidad necesarios para admitir Zero Trust.
Zero Trust en esta nueva iteración es una manera perfecta de ayudar a mitigar los riesgos en un entorno de trabajo híbrido; es decir, donde los perímetros son fluidos, los trabajadores están distribuidos y deben autenticarse continuamente, y las redes están segmentadas para reducir el potencial de propagación de amenazas. También ha quedado claro en el transcurso de la pandemia que las soluciones VPN en muchos casos eran incapaces de sostener un gran número de trabajadores remotos, tanto en términos de tráfico entrante como en la distribución de parches. Son cada vez más un blanco de ataque en sí mismo, sobre todo si se deja a las soluciones VPN desactualizadas y desprotegidas. Zero Trust es una mejor opción a largo plazo.
Cómo empezar con Zero Trust
Los últimos datos sugieren que casi tres cuartas partes (72%) de las organizaciones están planeando (42%) o ya han implementado (30%) Zero Trust. La buena noticia es que el cambio no requiere un gran esfuerzo.
De hecho, es posible que ya esté utilizando muchas de las herramientas y técnicas necesarias para comenzar a implementar Zero Trust. Entre ellas, se incluyen las siguientes:
Personas: controles de acceso basados en roles, autenticación multifactor, segregación de cuentas
Cargas de trabajo: la mayoría de los proveedores de servicios en la nube crean controles aquí. Las organizaciones deben usarlos para reducir el acceso a diferentes entornos de trabajo e implementar buenas políticas.
Dispositivos: La gestión de activos le ayudará a comprender lo que posee. A continuación, utilice la detección y respuesta de endpoints (EDR), firewalls basados en host y mucho más para proteger estos activos y evitar el movimiento lateral.
Redes: La microsegmentación es clave aquí. Utilice dispositivos de red como routers y conmutadores en combinación con listas de control de acceso (ACL) para limitar qué y quién puede comunicarse con diferentes partes de la red. La gestión de vulnerabilidades también es importante.
Datos: clasifique los datos y luego aplique el cifrado a los tipos de datos más confidenciales, tanto en reposo como en tránsito. La supervisión de la integridad de los archivos y la prevención de la pérdida de datos también pueden ayudar a proteger los datos.
Por último, se trata de agregar en la parte superior automatización y orquestación de seguridad, y capacidades de análisis de datos. Esto permitirá tener conciencia de lo que los equipos de operaciones de seguridad necesitan para hacer su trabajo de manera efectiva.