A lo largo de la presente década, la estrategia de seguridad de red Zero Trust ha tenido un auge importante. Zero Trust parte de una premisa que ha sido ampliamente adoptada no solamente por la industria sino también por las organizaciones: nunca confiar y siempre verificar la identidad de los usuarios o dispositivos en el momento de acceder a una red o aplicación.
La esencia de Zero Trust cobra mayor relevancia en un momento en que se pensaba que implementar controles de ciberseguridad era costoso e implicaba hacer una inversión muy alta. A medida que evoluciona, y sus capacidades alcanzan nuevos niveles de madurez, Zero Trust eleva los estándares de protección y puede brindar una instantánea de dónde se encuentra la compañía desde una perspectiva de ciberseguridad.
Si bien su avance es evidente, para los directores de ciberseguridad en entornos de TI de industriales (OT) representa un reto, pues debido a la naturaleza de sus entornos necesitan implementar controles específicos. Y es que no se trata de sumar controles sin más, sino de elegir los idóneos, y evitar hacer gastos excesivos o dificultar la tarea a sus compañías.
Los obstáculos a enfrentar
A medida que las organizaciones se transforman digitalmente y migran cada vez más a la nube, es claro que Zero Trust debe ser una parte esencial de su estrategia de ciberseguridad. ¿La razón? Con Zero Trust se busca brindar un entorno digital seguro para todas las partes dentro de una empresa, desde colaboradores y proveedores, hasta clientes y socios.
Lo cierto es que en la práctica se enfrenta a un gran número de barreras, siendo una de ellas la resistencia al cambio, debido principalmente a no saber comunicar con eficiencia su relevancia en asegurar una conexión con los usuarios y equipos remotos que se conectan a las redes corporativas.
Otro obstáculo es el tiempo necesario para llevar a cabo la implementación de una estrategia de la naturaleza de Zero Trust. Hay que considerar siempre que no es algo que suceda de la noche a la mañana, sino se da progresivamente y de forma orgánica y natural.
El presupuesto es también una barrera relevante que requiere un gran trabajo de justificación previo. Para ayudarles, los oficiales de seguridad requieren de un acompañamiento para justificar un proyecto de este tipo ante la dirección general.
Por ello, debe justificarse claramente el uso de soluciones de Zero Trust. Por ejemplo, en el sector financiero y Fintech que trabajan bajo un esquema de trabajo remoto o híbrido, es vital ofrecer un entorno de trabajo seguro. En contraste, en el sector industrial donde el trabajo remoto no es lo común, el argumento para justificar la inversión dependerá de conocer el apetito de riesgo.
Una barrera adicional es cuando se pone bajo la lupa cómo colocar una capa tecnológica adicional, en este caso el Zero Trust, puede afectar a los usuarios. Por ejemplo, en una empresa minorista (retail) que tiene una aplicación de comercio electrónico, ¿cómo va a influir en la experiencia del usuario? Hoy las tecnologías líderes de Zero Trust han apostado y han invertido en mejorar la experiencia digital de los usuarios.
Cada organización, un universo distinto
Ante este panorama y las barreras identificadas, desde Minsait podemos apoyar en llevar a buen puerto una estrategia de seguridad como Zero Trust. Si bien conocemos los habilitadores tecnológicos, procesos y regulaciones internacionales y nacionales que están exigiendo Zero Trust, algo importante que considerar es que cada compañía es un universo distinto. Cada una tiene una arquitectura de red, una arquitectura de negocio totalmente distinta a la de otras, incluso en otras industrias.
Por ejemplo, el sector financiero es uno de los más avanzados en ciberseguridad, pero también mucho más regulado. A veces la regulación es muy cerrada o muy abierta, con ambigüedades que las empresas las interpretan a su manera. Para un oficial de ciberseguridad le es complejo tomar la decisión de cómo implementar el Zero Trust en su infraestructura existente porque lo primero que debe revisar es cuáles son sus prioridades y qué tiene hoy en cuestión de gestión de identidades, robustecimiento de la seguridad, seguridad en la nube.
Por otro lado, ¿qué va a suceder con la infraestructura existente? Hay una diversidad tecnológica impresionante, con un proveedor de nube, otro de centro de datos, otro de red, y se vuelve compleja la orquestación, la gestión, incluso se dificulta entender cómo funciona la red.
Una recomendación ante un escenario así es hacer primero una evaluación para conocer cuáles son las estrategias de ciberseguridad que ya tiene una organización. También reunirse con los oficiales de ciberseguridad para hablar sobre su plan maestro, sobre su arquitectura y su estrategia para sugerir qué priorizar implementar un control alineado a la estrategia de Zero Trust.
Cuestión de confianza
La Agencia de Ciberseguridad y Seguridad de las Infraestructuras (CISA) de Estados Unidos recomienda hacer una evaluación de cinco pilares específicos para determinar el nivel de madurez en materia de ciberseguridad: la identidad, el dispositivo, la red, las aplicaciones o ambiente de servicios de la organización, y la información.
En conclusión, una estrategia de Zero Trust debe implementarse gradualmente. Se requiere planificación, tecnología, y un cambio de mentalidad de parte de la organización.
Con Zero Trust, las organizaciones pueden fortalecer considerablemente la seguridad sin afectar la productividad, y habilitando un entorno digital seguro y eficiente. Comencemos por lo básico y evolucionemos de manera estratégica.
