COMENTARIO
A pesar de las interminables filtraciones de datos y ataques de ransomware, muchas empresas todavía confían en la anticuada estrategia de ciberseguridad de “confiar pero verificar”. Este enfoque supone que se puede confiar en cualquier usuario o dispositivo dentro de la red de una empresa una vez que se ha verificado. Este enfoque tiene debilidades obvias: muchas empresas se exponen a riesgos adicionales al verificar una vez y luego confiar para siempre.
Hubo un tiempo en el que la confianza pero la verificación tenían sentido, es decir, cuando las redes eran autónomas y estaban bien definidas. Pero en algún momento, tal vez debido al gran volumen de dispositivos en una red, la cantidad de parches a aplicar, las demandas de los usuarios y las limitaciones de recursos del equipo de ciberseguridad, las cosas comenzaron a salirse de control. La verificación inicial significó que el activo era confiable, pero nunca se llevó a cabo ninguna verificación adicional.
El ejemplo del usuario de confianza sin verificación continua
Es fácil ver cómo funciona esto con los usuarios. Un usuario normalmente pasa por una verificación de antecedentes cuando se une a la empresa, pero una vez integradoA pesar de muchos cambios en sus vidas que podrían afectar su confiabilidad, les permitimos acceder a nuestros sistemas y datos sin verificación adicional.
En la mayoría de los casos, la falta de verificación adicional no causa ningún daño. Sin embargo, si el usuario decide actuar en contra del interés superior de su empleador, los resultados pueden ser catastróficos. Cuanto más sensible sea la información a la que tenga acceso el individuo, mayor será el riesgo. Por este motivo, las personas con autorizaciones de seguridad son controladas periódicamente y el personal de seguridad puede realizar controles financieros periódicos para identificar rápidamente cualquier problema e intervenir para mitigar posibles daños.
En las organizaciones que siguen un enfoque de “confiar pero verificar”, se destacan dos personalidades: aquellos que han considerado aceptable el riesgo de una verificación aleatoria de activos; y – la minoría – aquellos que intentan gestionar el riesgo con un programa de reverificación. Un cambio de personalidad de lo primero a lo segundo generalmente sólo ocurre después de una ruptura, una crisis de disponibilidad u otro “desastre que limita la carrera”.
La realidad es que simplemente no hay suficientes horas en el día para que los profesionales de seguridad hagan todo lo que hay que hacer. ¿Se han aplicado correctamente los parches de seguridad a todos los dispositivos vulnerables? ¿Se analizan adecuadamente todas las evaluaciones de seguridad de terceros? hacer todo Internet de las cosas ¿Los dispositivos (IoT) realmente tienen un lugar en la red? ¿Los servicios de seguridad gestionados funcionan como se esperaba?
Poner en peligro uno de estos dispositivos confiables significa ganar la confianza para moverse lateralmente a través de la red y acceder a datos confidenciales y sistemas críticos. Es probable que las organizaciones no sepan el alcance de su exposición hasta que algo salga mal.
Las costosas consecuencias de una verificación insuficiente
Cuando finalmente se descubren estos defectos, los costos comienzan a aumentar. Las empresas no sólo se enfrentan a las consecuencias directas costos de respuesta a incidentespero potencialmente también multas regulatorias, demandas colectivas, pérdida de clientes y daños duraderos a la reputación de su marca. Los incidentes relativamente menores pueden costar millones de dólares, mientras que los incidentes mayores cuestan habitualmente miles de millones.
Además de estos costos directos, una verificación insuficiente también genera auditorías de cumplimiento más frecuentes y costosas. Los reguladores y los organismos industriales exigen cada vez más que las empresas demuestren controles rigurosos de gestión de identidad y acceso, por ejemplo en el próximo proyecto de ley de la Unión Europea. Ley de resiliencia operativa digital (DORA), así como seguimiento y validación continua de la actividad de usuarios y dispositivos. Las certificaciones y acreditaciones ya no se pueden aceptar al pie de la letra.
El camino a seguir: adoptar un enfoque de confianza cero
En lugar de confiar después de la verificación, las empresas deberían permitir sólo lo que necesitan, durante el tiempo que lo necesiten. Nunca confíes, siempre verifica. Así funciona una arquitectura Zero Trust.
Cada usuario, dispositivo y aplicación que intenta establecer una conexión, independientemente de su ubicación, es examinado y validado, lo que limita significativamente el daño potencial de un compromiso exitoso. Una arquitectura Zero Trust reemplaza los firewalls y las VPN. Por lo tanto, hay menos dispositivos que mantener y una superficie de ataque más pequeña significa menos oportunidades para que los atacantes se afiancen.
Confianza cero no significa pruebas cero; Las pruebas deben ser una parte integral de cualquier estrategia de TI y ciberseguridad. Sin embargo, esto significa que la probabilidad de un fallo importante debido a la confianza depositada en usuarios, dispositivos o aplicaciones que no lo merecen es cosa del pasado.