Sabemos que, al enfrentar grandes desafíos como catástrofes naturales, pandemias o guerras, el ser humano pone a su disposición todo el conocimiento y las herramientas para lograr su subsistencia. Sin ir más lejos, la aparición de la epidemia del Covid -por ejemplo- implicó encerramos, no debía haber contacto entre nosotros para evitar la expansión del virus y eso representó un gran desafío para nuestras comunicaciones.
El gran desarrollo de las Tecnologías de Información sirvió como un activo al que toda persona pudo acceder, aunque -claro- las instituciones y empresas en general no estaban preparadas para un ingreso tan masivo a sus portales web y sistemas de información. El trabajo a distancia se probó como un método eficiente y eficaz para mantener la operación de todos los sectores productivos y el sistema público.
Las universidades y escuelas, por su parte, debieron adaptar las metodologías de enseñanza, el aula fue llevada a la casa, el estudiante y sus colaboradores, padres, madres y/o abuelos debieron ocupar estas herramientas también y -en general- se enfrentó la situación con éxito. Sin embargo, donde existe el bien también está el mal: el uso masivo de las TIC durante y post pandemia significó una gran oportunidad para los ciberdelincuentes, quienes -dependiendo de su nivel- encontraron tierra fértil para explotar las vulnerabilidades que las plataformas tecnológicas presentaban.
En este contexto, la ciberseguridad o seguridad de las TIC tomó importancia prioritaria en todas las organizaciones, evaluando la exposición al riesgo, utilizando metodologías como la del Instituto Nacional de Estándares y Tecnología de Estados Unidos (NIST) u otras, ya que -claramente- el entorno había cambiado. Y es que el hecho de que los procesos de negocio se ejecuten desde fuera de las dependencias físicas de la empresa u organización, es un cambio paradigmático que requiere una adaptación del modelo de seguridad aplicado hasta el momento.
Una de las respuestas o estrategias aplicadas ante este desafío es el modelo Zero Trust, que tiene una mirada más conservadora, es decir, dado el contexto que surge “desconfía” del usuario en todo momento y, por eso, permanentemente lo autentica, lo sigue, lo traza, sigue su andar en la infraestructura tecnológica corporativa, que también es otro concepto que ha estado mutando o -a lo menoscambiando.
¿Cómo definen hoy las instituciones y empresas su infraestructura tecnológica y perímetro de la red? En general, esto se entiende como el conjunto de elementos de hardware, software y comunicaciones que permite la gestión, almacenamiento y seguridad de los datos, marcando un perímetro en el cual se separan los ambientes internos y externos, se zonifican y entregan distintos niveles de seguridad dependiendo de la prioridad e importancia de los datos y sistemas que manejan, otorgando niveles de acceso y privilegio dependiendo de la calidad y perfil de usuario.
Ciber enemigo en potencia
Considerando que un usuario actual puede estar fuera o dentro de la organización, que puede cambiar permanentemente de dispositivo o herramienta de conectividad, que muchos de ellos -en general- no tienen una cultura tecnológica, por ende, los conceptos de seguridad no son parte de su quehacer, el modelo Zero Trust trabaja bajo la idea de que cualquier usuario es un “ciber enemigo en potencia”, por ende, siempre debe estar bajo “mi vigilancia”.
El ingreso se autoriza con “privilegios mínimos y controlados”, que aseguren el éxito de la solicitud, pero con seguimiento y trazabilidad permanente. En este punto la identidad del usuario es un factor permanente de verificación, como también los dispositivos que utiliza, es una especie de control preventivo de identidad tanto de usuarios como de dispositivos que deben cumplir ciertos niveles y estándares fijados por la administración. Así, se adquieren distintos niveles de confianza que son considerados en la gestión de la infraestructura.
Los principios con los que trabaja la dinámica Zero Trust son, básicamente, autenticación explícita y autorización permanente, incluyendo datos disponibles, identidad del usuario, ubicación, estado de los dispositivos, servicio trabajado, clasificación de datos y anomalías, otorgamiento de accesos con privilegios mínimos y controlados, y se asume la vulneración, limitando el alcance y segmentando el acceso. En definitiva, aprender y adaptar.
¿Qué lo diferencia de otros modelos?
La partida con privilegios mínimos y la constante autenticación. En otras dinámicas, como seguridad perimetral -por ejemplo- se otorgan permisos a usuarios a zonas de acuerdo a su perfil y a reglas preestablecidas.
Entre los beneficios de Zero Trust puede citarse, por ejemplo, que el cambio de comportamiento de los usuarios, el aumento del formato de teletrabajo y del estudio a distancia, ha tenido como consecuencia el cambio de perímetro a proteger, tanto en las empresas como en las instituciones públicas.
La expansión de la frontera en el caso de las universidades implica un cambio de modelo de seguridad. Y, ante ese contexto, Zero Trust presenta buenos índices en relación a la seguridad de la información, ya que pone el foco en la identidad del usuario y su permanente conexión a la infraestructura de TIC; en la trazabilidad sobre los sistemas de información; y en la identidad de los end-points, permitiendo gestionar la seguridad de la infraestructura independiente del perímetro.
Ahora, si bien hablamos de un modelo que funciona y que es una buena opción, lo cierto es que siempre hay que dejar claro que no existe la seguridad total. Los riesgos de ciberataques son permanentes y hay que trabajar corporativamente para mitigarlos.
