Artículos

Cómo
_
adoptar
_
una
_
estrategia
_
de
_
ciberseguridad
_
‘Zero
_
Trust’

Ciberseguridad  ·  Podcast

El nuevo episodio del podcast ‘Cuidado con las macros ocultas’ de Cuatroochenta pone el foco en la estrategia de confianza cero y verificación continua como la mejor manera de afrontar el creciente riesgo de ciberseguridad, en el que el ransomware se une a la ingeniería social, los intermediarios o las estafas de criptomonedas.

La consolidación del trabajo en remoto y el aumento de los servicios en la nube, impulsados por la pandemia, han difuminado el perímetro de seguridad de las organizaciones. Este nuevo panorama ha dado paso a entornos multicloud, que compaginan diferentes proveedores, y nubes híbridas que combinan la nube pública con la privada. Es un escenario mucho más complejo de gestionar y proteger con las herramientas tradicionales y que abre más puertas a los ciberdelincuentes. Ante el creciente e imparable riesgo de ciberseguridad, la estrategia Zero Trust, en la que se impone la confianza cero, se está extendiendo como una de las mejores defensas. Se trata de exigir un control continuo de los usuarios, transacciones y dispositivos, tanto internos como externos de la red corporativa.

El Zero Trust es un enfoque estratégico de la ciberseguridad que protege una organización libre de perímetro mediante el control y verificación continua de cada autenticación, transacción y acceso a la información.

El nuevo episodio del podcast de Cuatroochenta ‘Zero Trust. Seguridad 100% verificada’ se centra en analizar los beneficios y limitaciones de la adopción de una arquitectura de seguridad de confianza cero. ¿Cómo se securizan los entornos profesionales? ¿Es difícil adoptar y explotar una estrategia de control continuo de usuarios, accesos y red? ¿Qué implicaciones tiene para una organización? Estas son algunas de las cuestiones que abordamos en Cuidado con las macros ocultas con el experto en ciberseguridad, profesor de Formación Profesional y CEO de AllPentesting, Eduardo Sánchez Toril, la CISO de la Universitat Oberta de Catalunya, Clara Beleña, y el Country Manager de Sofistic en España, Juan Carlos García.

Informe gratuito

Recomendaciones de ciberseguridad 2024

2. Principio de mínimos privilegios

Proteger los datos y gestionar la información es uno de los principales objetivos de las compañías y, aunque no es fácil, hacerlo con una perspectiva Zero Trust incrementa las garantías de seguridad. La clave es “aplanar la curva entre los permisos que se conceden y los que el usuario utiliza” según destacó, durante la jornada BSides Panamá 2023 Juan David Díaz, arquitecto de soluciones en Sofistic Colombia. A la práctica, se trata de limitar el acceso y los privilegios al máximo, de manera que los usuarios de una organización solo puedan acceder a la información que es imprescindible para el desarrollo de su actividad.

«No es necesario que toda la organización tenga acceso a todos los recursos. Lo ideal es dar acceso según necesidades y, en el caso de tener que acceder a información o sistemas críticos, que sea bajo demanda y de forma temporal»

Juan Carlos García, Country Manager de Sofistic en España

Aunque la protección de datos es una prioridad, para muchas organizaciones, implantar este modelo es muy difícil. Y más si están acostumbradas a compartir un único servidor y tener acceso a todo. Pero hay que tener en cuenta que el usuario es el eslabón más débil y que, con estos modelos más flexibles, el riesgo de filtración de datos aumenta. Al final, no solo se convierte en un incidente de seguridad, sino que puede acarrear un impacto económico para la compañía, además de afectar la reputación de la marca, tener una pérdida de clientes y una responsabilidad legal, tal y como remarcó el Country Manager de Sofistic en la 9ª Jornada del Foro MESIAS Cibereputación, cómo proteger la marca frente a los ataques ciber.

 

4. Segmentación de la red

Asumiendo que una red no es inquebrantable y que la superficie de ataque es mucho más amplia que la defensiva, las organizaciones deben minimizar el radio de exposición, para que, en caso de producirse una intrusión, se evite la propagación y se reduzcan los movimientos laterales de las amenazas. Se trata de segmentar la red, de manera que cada módulo tenga sus propias políticas de seguridad y sea más fácil de bloquear en caso de caso de producirse un acceso no autorizado.

Esta protección perimetral es, precisamente, la que permitió a la Universitat Oberta de Catalunya (UOC), con más de 87.000 alumnos online, frenar la extensión del ataque ransomware que sufrió en enero de 2022, en plenas vacaciones de Navidad, tal y como explica en el podcast su CISO, Clara Beleña. El incidente, que bloqueó durante 24 horas su campus virtual, afectó a 5 de los 600 servidores que tiene la organización.

«Además de la monitorización 24x7, es clave perimetrar bien e intentar tener grupos de servidores mucho más segmentados para evitar movimientos laterales, en los que el intruso puede ir saltando de un servidor a otro y distribuir el malware»

Clara Beleña, CISO de la Universitat Oberta de Catalunya

Escucha ‘Cuidado con las macros ocultas’ en tu plataforma favorita

«El ‘Zero Trust’ es un modelo ideal, pero hay que medir el equilibrio entre seguridad y usabilidad»

Eduardo Sánchez Toril, experto en ciberseguridad, profesor de FP y CEO de AllPentesting

Limitaciones del Zero Trust

Aunque muchas organizaciones quieren apostar por un modelo de seguridad de confianza cero, implementar todas las medidas anteriormente citadas puede ser un verdadero reto para muchas compañías. Existen dificultades a la hora de aplicar controles, de compatibilizar estas restricciones con el trabajo colaborativo, de disponer de la arquitectura necesaria y el control de navegación o tener una visibilidad completa de la infraestructura. La propia CISO de la UOC reconoce que es un modelo muy efectivo de seguridad, pero difícil de aplicar en muchas organizaciones con un gran volumen de usuarios y con perfiles muy diversos, como es el caso de una universidad.

De una opinión similar es Eduardo Sánchez Toril, quien explica que es un modelo que están implantando sobre todo empresas del sector tecnológico, infraestructuras críticas u organizaciones con un gran volumen económico. Por eso, según el experto en ciberseguridad, es importante poner en una balanza la seguridad y la usabilidad. Y pone un ejemplo práctico para entenderlo. Una entidad financiera puede imponer el uso obligatorio del certificado digital para sus transacciones. Aunque es una medida de seguridad excelente, debe tener en cuenta que ese requisito puede suponer una complicación y una barrera para la interacción con algunas empresas, que podrían no tener el mismo nivel de madurez.

A pesar de su complejidad, el modelo ‘Zero Trust’ es el método más eficaz de seguridad para proteger las organizaciones con entornos híbridos y multicloud, ante el creciente riesgo de ciberamenaza.

Escucha el episodio