El incremento exponencial de los ciberataques en la última década -dentro de una nueva realidad digital- ha provocado la incorporación de una estrategia contundente de seguridad en tecnología llamada Zero Trust (ZT) [Confianza Cero].
¿Y si la desconfianza plena fuera la solución a nuestros problemas? ¿No resulta contraproducente tener un Departamento de Riesgos Tecnológicos? ¿La Zero Trust es la victoria del miedo? ¿Un sistema tan estricto podría estrangular el crecimiento del negocio? ¿Por qué resulta un buen método de ciberresiliencia para la empresa? ¿Es 100% seguro? ¿Puede darse por finalizado en algún momento? ¿Existe el sistema de seguridad informática perfecto?
Éstas y otras muchas cuestiones son las que me hago y os hago -en los equipos, universidades o centros de estudios con los que trabajo- para tratar de entender la paradoja de la implementación de la Confianza Cero en los sistemas de trabajo, con la idea de generar un entorno más seguro.
Te puede interesar: Master en Ciberseguridad
Índice de contenidos
¿Qué es Zero Trust?
La mil veces repetida frase de Ronald Reagan “confía, pero comprueba” -durante las conversaciones mantenidas con Mijail Gorbachov- es una de las bases de la Zero Trust, la cual ha dado paso a esta otra: “nunca confiar, siempre verificar”.
En su día Kevin Mitnick -el hacker más famoso del mundo- insistió en la obligación de mejorar los sistemas de seguridad perimetral -por experiencia propia- a costa de haberse saltado esas barreras en cientos de empresas para entrar ilegalmente, obtener información confidencial, suplantar identidades o leer los correos de cualquiera. Y parece que no aprendemos de la Historia, pues 40 años después, la amplia mayoría de las entidades continúan aplicando medidas perimetrales básicas, sin dar el salto al entorno Zero Trust.
El Foro de Jericó creado a comienzos de 2004 fue otro de los cimientos de la Zero Trust, donde se debatieron soluciones a los problemas derivados de la desperimetrización, que es la supresión de fronteras entre las organizaciones y lo que ocurre fuera de ellas.
Hicieron falta más 80 años para que se aplicaran las políticas de monitorización continua de todos y Confianza Cero en IT al modo de la Gestapo de la Alemania nazi, creada para investigar y evitar cualquier amenaza.
La ZT ha demostrado ser absolutamente necesaria y útil en todos los sectores -joyerías, supermercados, etc.- no solo en el de las telecomunicaciones. Algo parecido se aplicó durante el Covid en hospitales y centros de salud, donde se implementaron fuertes y restrictivas medidas de seguridad. Tanto a la hora de controlar el movimiento de los sanitarios dentro de las instalaciones, como en todos los puntos de acceso, con el fin de combatir las continúas amenazas víricas.
Ciberseguridad: aprende cómo implementarla desde cero
Principios del modelo Zero Trust
La falta de confianza es la semilla de la metodología ZT, que según la Psicología tendría su origen en el miedo, una emoción provocada por la percepción de un peligro imaginario o real. Y es aquí donde cobra sentido el Departamento de Riesgos de una compañía, el cual se encarga de evaluar la probabilidad de un suceso y la magnitud de sus consecuencias (oportunidades para conseguir beneficios o amenazas para el éxito).
Estos conceptos -desconfianza, miedo y riesgo- chocan frontalmente con la esencia de la dirección de empresas, basada en la confianza plena entre sus miembros, departamentos, proveedores o clientes. Puesto que cualquier tipo de relación no se entiende sin que exista la confianza entre las partes implicadas.
Aunque la manera adecuada de entender esta paradoja, sería darle un valor positivo a esa Confianza Cero, que también lo tiene: el de protección. La principal función del modelo Zero Trust es el de proteger la seguridad de la empresa y así evitar el desastre ante posibles amenazas y ataques.
¿Por qué necesitas gestionar la información de tu empresa con ZT?
Coincidiendo con los primeros años de existencia de la Confianza Cero, fui testigo privilegiado -durante mi etapa como creador del equipo de fraude digital del Banco Santander USA– de cuando el Digital Chief de RSA afirmó que ni la aplicación de la Zero Trust en las empresas garantiza al 100% la seguridad tecnológica.
Lo que vino a decir es que, independientemente de la política de riesgos que se adopte, el fraude y los ataques internos o externos nunca darán tregua y siempre van a ser una amenaza a tener en consideración.
La Zero Trust es una medida que para minimizar los riesgos y aumentar su eficacia debe ser constante y continúa. Al igual que sucede con los cientos de ‘patches’ de Windows, los antivirus o tu teléfono móvil, que necesitan ser actualizados de forma regular.
En resumidas cuentas, como explico a los futuros CIOs en Universidades de varios países, el crimen siempre va por delante y los responsables de seguridad suben una piedra por una empinada colina poniendo una solución pesada y difícil -esta vez llamada ZT con un coste mundial de 20 billones de dólares- que una vez arriba como le ocurria a Sisifo se hará obsoleta y necesitará repetirse.
Sin Tecnología
Hace 5 años mientras trabajaba en la Comisión Europea en Alemania, APLUS -una de las empresas líderes mundiales en el sector de inspección, ensayos y certificación- me pagó varios vuelos a su sede central en el extranjero para cubrir el puesto de Responsable General de Seguridad. Allí me exigieron que nadie entrara con teléfono a la sede (otro ejemplo de Confianza Cero).
Si este tipo de medidas se expandiera y aplicara en todo, se frenaría el avance, pues cualquier innovación supondría una amenaza: sin tecnología disminuye el riesgo, pero también el crecimiento.
Sin Internet
Cuando era CIO de la principal empresa minera en España –de la que Mudabala comparte la mitad del accionariado– pude constatar como el sector minero no ha progresado casi nada en sus sistemas tecnológicos -la mayoría sin internet- pese a tener beneficios 20 veces superiores a otros sectores para poder mejorar en su tecnología y eficiencia. Se focalizan en la extracción y venta de minerales, y huyen del progreso, imitando las políticas de seguridad NORAD (North American Air Defense Command) en donde tampoco se tiene acceso a internet.
¿Qué te ha parecido este artículo del experto sobre Zero Trust? Deja tus comentarios y, ¡comparte!
Y si quieres convertirte en un experto en seguridad informática, fórmate con el Master en Ciberseguridad de IEBS, un programa que cuenta con el aval de la Asociación Española para el Fomento de la Seguridad de la Información. ¡Te esperamos!