¿Por qué deberían aplicar el concepto de confianza cero?

La forma en como trabajamos cambió, pero ¿también habrá cambiado la forma en como tenemos la seguridad? Hasta hace poco tiempo, la seguridad se trataba de soluciones puntales y perimetrales: firewalls en bordes y antivirus en endpoints, ¡solamente!

El foco era básicamente direccionado a los controles de acceso externo, muchas veces dejando de lado cualquier preocupación sobre amenazas internas, partiendo de una falsa suposición de que el ambiente corporativo es confiable.

Parece absurdo, pero muchas empresas aún continúan teniendo solamente esas dos soluciones y la mayoría de las veces ya desfasadas y obsoletas. Por más que la tecnología haya evolucionado y claramente el escenario de amenazas también, la forma como manejamos la seguridad no siguió el mismo ritmo de esa evolución, al menos en el aspecto cultural, pues innegablemente hay una gran variedad de soluciones disponibles de mercado, amplias y completas.

Con el paso del tiempo, las empresas percibieron que las políticas demasiado restrictivas para la nube y hasta la misma prohibición de celulares personales no eran el camino correcto. Tendencias como el cómputo en la nube, Bring Your Own Device (BYOD), internet de las cosas (IoT), etcétera, forzaron esa transformación que era necesaria hace mucho tiempo. Piensen conmigo de esta forma: Si un funcionario utiliza Google Drive para compartir información confidencial, corriendo el riesgo de pérdida de confidencialidad por utilizar un medio público y no confiable, ¿la mejor forma de lidiar con esa situación sería bloquear o restringir el acceso a esa aplicación? ¿O deberían entender mejor esa necesidad e invertir en una solución donde ustedes, como administradores de red, tengan visibilidad y control de lo que se está compartiendo? El hecho es que existen innumerables opciones gratuitas además de Google Drive para realizar la misma tarea, y monitorear y bloquear todos los servicios para compartir archivos es simplemente inviable.

El aumento exponencial de dispositivos móviles como smartphones, notebooks y tabletas, es evidencia de que ya no existe un solo perímetro de defensa. Los empleados van a trabajar en redes y dispositivos no gestionados por TI, por eso es necesario direccionar los desafíos de mundo moderno, proveyendo acceso a cualquier usuario, en cualquier dispositivo, para cualquier aplicación y en cualquier lugar donde esté. El problema es que proveer ese nivel de acceso puede abrir la puerta a invasores y el costo de esa brecha de seguridad puede ser bien alto.

De acuerdo con un estudio sobre el costo de las brechas de datos, las organizaciones de cualquier parte del mundo poseen 27.9% de posibilidades de sufrir un ataque en los próximos dos años, mientras que Verizon reporta que 81% de esos ataques suceden por contraseñas robadas o comprometidas de alguna forma.

El enfoque actual de autorización de accesos es una vulnerabilidad en sí misma, pues una vez que se obtiene acceso garantizado por las credenciales, éste estará disponible 24/7. Pero si las credenciales son comprometidas, no se requiere esfuerzo alguno para evadir cualquier control de seguridad perimetral; a final de cuentas, un firewall, IPS, Web Proxy, Antivirus, etcétera, no pueden hacer contra un acceso teóricamente legítimo y validado a través de la autenticación y autorización de una herramienta interna. Eso nos lleva al punto principal: la autenticación de factor único (usuario y contraseña) no es suficiente con todos los cambios abordados hasta el momento.

Ello lleva al concepto de confianza cero, o Zero Trust, crítico para cualquier acercamiento a la seguridad.  Se trata de una postura de seguridad que significa no confiar en absolutamente nada, dentro o fuera del perímetro, sin verificar y controlar todo antes de establecer el acceso, es decir, el acceso debe ser negado hasta que los siguientes requisitos sean cumplidos: validación de usuario además de sus credenciales; validación de postura de dispositivo para el cumplimiento de la seguridad y el establecimiento de un nivel apropiado de acceso.

Una solución de acceso seguro unificado que garantice Zero Trust a través de la autenticación multifactor y control de acceso granular es lo que se requiere para proteger la red y va más allá de solo quedarnos en el punto perimetral. Confirmar la identidad, poder ver la actividad del end point, conocer la “salud” y confiabilidad del dispositivo que se está conectando y la protección de aplicaciones son parte de las acciones que ayudan a mantener una red con niveles de seguridad más confiables.

Sobre el autor: Flavo Correa da Costa es especialista en soluciones técnicas para Cisco Brasil.