Durante el 2023, y ahora en los inicios del 2024 he venido escuchando, cada vez con más frecuencia e intensidad sobre el “framework” Zero Trust, referido al término de seguridad informática que se basa en la premisa de que las organizaciones no deben confiar automáticamente en nada, ya sea dentro o fuera de su perímetro de red. En lugar de asumir la confianza en base a la ubicación o la red, Zero Trust se basa en «nunca confiar, siempre verificar«.
Este marco de trabajo me parece muy poderoso porque adopta un concepto clave del mundo líquido de hoy, ya que parte del supuesto de que no hay un borde de red tradicional; las redes pueden ser locales, en la nube, o una combinación híbrida con recursos en cualquier lugar, así como usuarios en cualquier ubicación.
Con el Zero Trust no asume que un usuario o dispositivo es seguro simplemente porque ha superado una autenticación inicial. Se requiere la verificación continua de la identidad y la autorización a lo largo de la sesión de trabajo. Adicionalmente, la metodología divide la red en segmentos más pequeños para limitar el movimiento lateral de los atacantes en caso de que logren acceder a la red. Esto ayuda a contener posibles violaciones y minimiza el impacto de una potencial acción maligna.
Algo que me parece crucial es que el Zero Trust implementa herramientas de monitoreo y análisis para detectar comportamientos anómalos en tiempo real. La detección temprana de posibles amenazas permite una respuesta más rápida a fin de minimizar el impacto de las amenazas que logren penetrar los distintos niveles de seguridad del sistema.
La conceptualización Zero Trust no es nueva. En el mundo de la seguridad física y de protección de activos se practica hace mucho tiempo, aunque a veces se nos olvida. Lo que sí me parece novedoso es la posibilidad de automatizar una serie de políticas que vayan construyendo, junto al usuario su propio camino seguro. Es equivalente a tener múltiples controles de acceso dentro de una instalación que vaya autorizando el movimiento de las personas, según su función o tarea a realizar.
En varias ocasiones en el pasado he planteado que la seguridad del presente no puede adoptar el concepto de castillo medieval, en el cual aislamos a la organización y a sus miembros detrás de un foso profundo y peligroso, para luego combinarla con altísimos muros y pequeños accesos controlados con guardias armados. Para empezar, las empresas hoy ya no están en un solo sitio, sino que se extienden a todos los rincones donde haya un cliente o un usuario. Es decir, la dimensión física ya no es suficiente para diseñar los sistemas de protección. Ahora la seguridad depende mucho más de quién es quién y cómo utiliza los recursos de la organización para alcanzar sus objetivos. Con este cambio de paradigma la gestión de riesgos ya no depende exclusivamente de un Centro de Control y Comando, sino que responde a los niveles de conciencia y comportamiento seguros de cada individuo que hace uso de las redes en las que se inserta la organización. Sin duda es un modelo mucho más complejo por el grado de interconexión y de independencia organizativa, lo que implica un desafío considerable para la seguridad.
El modelo traslada (descentraliza) la seguridad y la coloca ahora en el usuario del sistema, sea o no parte de una plataforma digital, y le exige que responda al cumplimiento de ciertas conductas seguras para poder avanzar. Esto se parece al protocolo de un avión antes de despegar, si todo el mundo no está sentado, con el cinturón abrochado y los pasillos despejados la aeronave se detiene.
El Zero Trust es un modelo de prevención que permite el acceso o continuación de un proceso sí y sólo sí se autentica el usuario y se van cumpliendo las normas de seguridad. Es evidente que no toda la seguridad depende del comportamiento humano, existen muchas otras fuentes de vulnerabilidades, pero es en ese espacio donde la tecnología de protección y control juega su papel principal.
Zero Trust ayuda a mejorar el posicionamiento táctico de seguridad de una organización al abordar las vulnerabilidades asociadas con la confianza implícita en los modelos de seguridad tradicionales. Al adoptar este tipo de marcos, las organizaciones pueden reducir significativamente el riesgo de violaciones de seguridad, proteger mejor sus activos y garantizar una mayor resiliencia contra las amenazas emergentes. Un elemento a tomar en cuenta es que ya hay en el mercado muchos proveedores intentando crear sus propias definiciones de Zero Trust. Mi sugerencia en este sentido es comenzar por revisar previamente algunos estándares y luego evaluar las necesidades reales de la organización antes de proceder a modificaciones o cambios de políticas de seguridad. Otro punto es ver el Zero Trust como una plataforma integral de seguridad que pueda trascender el dominio informático y abarque ámbitos de la seguridad física de activos.
Con el Zero Trust se intenta modificar el paradigma de seguridad al redefinir la confianza en el ámbito digital. En lugar de depender de límites físicos y redes confiables, este modelo promueve la construcción de una seguridad sin fronteras. En el mundo de Zero Trust, la confianza se gana y verifica continuamente, independientemente de la ubicación física de los usuarios o dispositivos. La seguridad ya no se limita a los confines de la red corporativa, sino que se concibe de forma más amplia y dinámica que se adapta a las complejidades de un entorno en constante cambio. En esencia se trata de una respuesta más robusta ante las amenazas emergentes, estableciendo un estándar más elevado para la protección de los activos en las organizaciones.