La complejidad es un riesgo para la seguridad. Parte de lo que hace que los entornos informáticos industriales sean tan complejos hoy es la naturaleza distribuida de las operaciones industriales y empresariales, que descentraliza la planificación tecnológica, provoca la «expansión de la arquitectura» y dificulta la aplicación coherente de las políticas de seguridad. Estos problemas se ven agravados por la creciente deuda técnica, ya que las organizaciones aplazan las actualizaciones o las llevan a cabo al azar en lugar de hacerlo de forma coordinada.
Prácticamente todas las tendencias de conectividad parecen contribuir al aumento de la complejidad, desde los despliegues generalizados de IoT y las integraciones de TI/OT hasta los modelos de trabajo híbridos que dificultan el cumplimiento de la seguridad, y los despliegues en la nube plagados de problemas de mala configuración y cumplimiento que inducen a la vulnerabilidad.
Todo esto se amplifica cuando las empresas participan en cadenas de suministro altamente interdependientes. Ningún participante tiene el control de extremo a extremo ni la visibilidad para identificar dónde residen las dependencias y las vulnerabilidades. En medio de esta «proliferación de proveedores», incluso los participantes con buenos controles internos de seguridad están a merced del eslabón más débil de la cadena.
Para los equipos de TI y seguridad, ya abrumados por los volúmenes de alertas y las amenazas en constante evolución, hacer frente a tanta complejidad puede parecer un puente demasiado largo. Necesitan aumentar sus esfuerzos con la automatización para obtener algo de alivio.
El problema es que las herramientas de automatización deben ser implícitamente fiables antes de que las organizaciones puedan «entregar las llaves» para que las máquinas ejecuten cualquier parte de las operaciones de seguridad. Esto depende de la calidad de los datos con los que deben trabajar los sistemas, lo que hace fundamental una buena higiene de los datos.
La higiene de datos depende del zero-trust
Los datos «higiénicos» son exactos, completos, fiables y actualizados. Los principios de confianza zero-trust contribuyen a la calidad de los datos controlando estrictamente quién los crea, accede a ellos, los modifica y los comparte.
La premisa fundamental de zero-trust es que ningún recurso que interactúe con los sistemas informáticos de la empresa es intrínsecamente fiable. Un «recurso» puede ser un individuo, un conjunto de datos, un dispositivo de usuario corporativo o personal, e incluso un servicio en la nube o una solución de software como servicio (SaaS). Dado que la confianza no es inherente ni se da por supuesta, siempre que un recurso solicite acceso a datos corporativos, debe evaluarse su postura de seguridad: nadie queda protegido y no hay pases gratuitos.
Al mismo tiempo, el enfoque reconoce que la confianza no es un estado fijo. Eso significa que debe supervisarse continuamente. Cualquier aumento del perfil de riesgo puede provocar el cierre de un intercambio, el restablecimiento de cuentas o la adopción de otras medidas para contener posibles problemas.
De todo esto se derivan varios preceptos de confianza cero:
- El acceso es siempre específico para cada sesión. La confianza debe establecerse antes de conceder el acceso, y solo se asignan los privilegios más restringidos para completar una tarea determinada.
- La seguridad perimetral no es suficiente. Los enfoques de seguridad clásicos ofrecen una «puerta única» para que los recursos accedan a los activos y sistemas corporativos en función de su ubicación inicial en la red y su identidad. Pero una vez dentro, los actores maliciosos pueden explotar ese acceso, moviéndose lateralmente por la red. La ubicación debe ser siempre rastreada, y los privilegios deben basarse no solo en la identidad, sino también específicamente en lo que un usuario o recurso está allí para lograr.
- Las políticas de acceso deben ser dinámicas, no fijas. Esto permite que la confianza sea contextual y adaptable a condiciones cambiantes basadas en las necesidades empresariales, la tolerancia al riesgo, los datos de supervisión, los patrones de uso, las ubicaciones de red, las horas del día, la presencia de ataques activos y otras variables.
- La autenticación y la autorización deben aplicarse estrictamente. Deben basarse en un sistema formal de gestión de identidades, credenciales y acceso (ICAM) que incluya autenticación multifactor. Al igual que el acceso, la autenticación y la autorización deben ser dinámicas, con un análisis y una evaluación constantes de las amenazas, y con políticas reevaluadas según el contexto y las condiciones en tiempo real.
- Los análisis ayudan a reforzar la seguridad. Recopilando información sobre posturas de seguridad de recursos y activos, patrones de tráfico, solicitudes de acceso, etc. a lo largo del tiempo -y analizándolos en busca de patrones- las organizaciones pueden reforzar la ciberseguridad y la calidad de los datos de forma continua.
Con estos aspectos de la postura de zero-trust, las organizaciones pueden estar seguras de una mejor higiene de los datos, ya que la información de sus sistemas solo procede de fuentes de confianza y es altamente rastreable.
Las ventajas de una buena higiene de datos
Con datos de alta calidad, los equipos de seguridad pueden automatizar con confianza, dependiendo menos del juicio humano para comprobar, aprobar o corregir las decisiones automatizadas.
La automatización fiable permite la seguridad en tiempo real a escala, reforzando el contexto de seguridad zero-trust «en todas partes, todo el tiempo», incluso cuando hay miles de usuarios, dispositivos y activos implicados. Esto puede aplicarse a una amplia variedad de funciones de seguridad. Con zero-trust, se puede contar con que los datos implicados en la transacción son altamente fiables, lo que refuerza la decisión de conceder o denegar el acceso.
Cuanto mayor sea la calidad de los datos que pueda mantener una organización, menos datos se necesitarán para tomar decisiones empresariales precisas y fiables. Esto puede traducirse en una toma de decisiones más rápida -de nuevo, con menos (o ninguna) supervisión humana- e incluso en una reducción de los costes de TI y de la nube, ya que se necesitan menos recursos para procesar los datos y hay menos datos que almacenar. Estos ahorros pueden ser operativos (OPEX), de capital (CAPEX), o ambos, dependiendo del modelo de negocio de la organización y de la estructura de costes tecnológicos.
La higiene de los datos refuerza la seguridad
Según Gartner, el 64 % de los miembros de los consejos de administración reconoce que la infraestructura digital es estratégicamente clave para los objetivos de negocio, y el 88 % considera la ciberseguridad un riesgo empresarial. En otro informe, Gartner predijo que para 2023 casi un tercio de los CISO serán evaluados por su capacidad para «crear valor para el negocio». Los datos de alta calidad resultantes del enfoque de zero-trust facilitan la creación de ese valor al garantizar salvaguardas sin limitar la productividad, lo que abre la puerta a que los CISO aumenten su visibilidad a nivel directivo.
Para las organizaciones que forman parte de cadenas de suministro lejanas y muy interdependientes, zero-trust elimina gran parte de la preocupación por las vulnerabilidades de los partners o la calidad de los datos. No importa qué modelos de seguridad empleen otros participantes, porque las organizaciones que aplican la confianza cero pueden estar seguras de la solidez de sus controles de acceso, autenticación y autorización, y de su propia higiene de datos.
Implantar zero-trust con la automatización necesaria para aliviar la carga de los equipos de seguridad requiere una plataforma de ciberseguridad unificada capaz de descubrir, evaluar y mitigar los riesgos de forma continua. Cuando esa plataforma está equipada con capacidades SASE y detección y respuesta extendidas (XDR), proporciona los controles para garantizar una buena higiene de datos y también utiliza datos de alta calidad para reforzar la postura general de seguridad en un ciclo de defensa que se refuerza a sí mismo.
Raúl Guillén
Director de estrategia de ciberseguridad de Trend Micro Iberia