Una introducción práctica al modelo de seguridad Zero Trust.

El modelo de seguridad de redes Zero trust fue concebido por Forrester Research en 2009. La premisa detrás de Zero Trust fue, y sigue siendo, bastante autodescriptiva: las redes de computadoras, en sí mismas, son inherentemente poco fiables. Parece un concepto obvio en el entorno de seguridad de redes actual, pero en los tiempos en que las primeras redes locales de computadoras se conectaron a Internet, las herramientas y técnicas utilizadas para protegerlas se construyeron e implementaron basándose en la analogía del «castillo y foso» de la época medieval.

En otras palabras, las organizaciones han estado acostumbradas a establecer fortificaciones sólidas alrededor de dichas redes, controladas internamente para mantener alejados a los intrusos. Las paredes eran altas y los fosos anchos. Por lo tanto, cualquier cosa permitida en la red se consideraba confiable porque había pasado algún tipo de validación o prueba de autorización, generalmente un firewall, controles de acceso a la red, prevención de intrusos, antivirus, etc. o alguna combinación de estos. Como resultado, debido a que había pasado el «punto de control» de seguridad, se permitió que la comunicación interna viajara con bastante libertad, sin que se inspeccionase.

Con el tiempo, y conforme las redes evolucionaron, las organizaciones comenzaron a ver fallas en este método de seguridad de la red. Solo porque una dirección IP se validaba como confiable y tenía permitido comunicarse hacia adentro de la red, no había una manera efectiva de evitar que el software malicioso se introdujera ocultamente en esa comunicación.

 ¿Y qué pensar de la protección del acceso a las aplicaciones desarrolladas e implementadas dentro de la organización, o peor aún, en un contenedor o en una nube alojada fuera de sus instalaciones, pero a la que pueden acceder los empleados y clientes a través de Internet o de redes privadas virtuales?

 Todo lo anterior deja entrever que los encargados de la seguridad de las redes necesitan algo que les ayude a resolver las limitaciones que las tecnologías de seguridad actuales no están logrando solucionar. Aunque surgieron nuevas técnicas basadas en el mejoramiento de las tecnologías actuales, como lo es NAC (Network Access Control), el desarrollo de proyectos para su implementación lleva mucho tiempo y suele ser muy costoso, por no mencionar que es difícil de gestionar y soportar sin el personal de operaciones suficientemente capacitado.

Durante varios años, las organizaciones han estado batallando con los problemas de seguridad derivados de este dilema y probando nuevos métodos para proteger su información y aplicaciones. Si bien el concepto de redes Zero Trust no es algo realmente nuevo, parece estar ganando muchos adeptos tan solo en los dos últimos años. A medida que se ha adoptado y que se ha dado la migración hacia servicios en la nube se están volviendo omnipresentes, y cada vez más compañías trasladan a terceros la gestión de la mayor parte o la totalidad de su infraestructura de TI. Las organizaciones han comenzado a ver al modelo Zero Trust como un camino adecuado a seguir. Los proveedores de infraestructura de seguridad han comenzado a irrumpir en la escena con tecnologías desarrolladas bajo los preceptos del modelo Zero Trust, y aunque aún muchos ejecutivos y especialistas en seguridad no conocen o no han escuchado acerca de él, el modelo Zero Trust tiene las condiciones para convertirse en la siguiente tendencia para la protección y el acceso seguro de las redes empresariales.

Un cambio en la mentalidad

Una de las razones detrás de la reciente atención que ha recaído sobre el modelo Zero Trust tiene que ver con el hecho de que grandes cantidades de carga de trabajo (workloads) de las organizaciones están ahora “ejecutándose en ambientes tercerizados (nubes y centros de datos) que estas no pueden controlar». Los proveedores de servicios en la nube han invertido una cantidad significativa de esfuerzo y dinero para asegurar los espacios que sus clientes compran o alquilan. Sin embargo, al quedar el control de la seguridad de estos ambientes a cargo de un tercero (que no puede estar al día sobre los cambios o nuevos requerimientos de negocio y seguridad de cada uno de sus clientes), estos ambientes se convierten en ambientes “inherentemente poco seguros”.

Independientemente del lugar donde residan los datos y las aplicaciones, estos deben contar con mecanismos que les mantengan protegidos y su propietario debe estar convencido de que la confidencialidad, integridad y disponibilidad de dichos datos y aplicaciones no se verá comprometida cuando se almacenen y ejecuten fuera de sus instalaciones. Con la pérdida de control que acompaña al cómputo en la nube, los responsables de la seguridad en las organizaciones necesitan encontrar formas de administrar la seguridad de la red fuera de sus propias redes. Requieren la capacidad de escalar las políticas de seguridad y administrar las permutaciones de esas políticas para que siga siendo efectiva. Todo esto debe ser independiente de la infraestructura en la que residen los datos y las aplicaciones.

Esto implica un cambio de mentalidad respecto a la idea tradicional de la seguridad en el entorno de las redes. Independientemente de la forma en que se desarrolle una aplicación o se gestione la implementación de un sistema de información empresarial, es imperante considerar la seguridad en todo el proceso: cómo mis datos y mis aplicaciones están seguros, ya sea en las instalaciones, en la nube o viajando entre ambos. Políticas de control de acceso, autenticación y autorización deben formar parte fundamental del entorno de seguridad bajo el cual se permite el ingreso a los recursos de información, donde quiera que estos se encuentren.

El modelo Zero Trust depende menos de la topología de la red y de la infraestructura que la compone. Operacionalizar la seguridad de redes bajo el modelo Zero Trust significa alejarse de la idea de gestionar más configuraciones de red y, en cambio, concentrarse en “encapsular” los mecanismos para su protección alrededor del software que gestiona la comunicación. Significa concentrarse en la identidad criptográfica de lo que se está comunicando, la manera en cómo se está comunicando y el comportamiento de sus comunicaciones.

Romper las barreras de lo establecido

Por lo anterior, no es de sorprender que un número creciente de empresas estén centrando la atención en desarrollar productos teniendo al modelo Zero Trust como columna vertebral. Estas compañías se concentran en crear y ofrecer plataformas escalables y adaptables a los entornos de operación en la nube que buscan mantener la comunicación del software más segura. Esto implica un cambio en el modelo de «colocar las protecciones alrededor de los datos, no de la red», y es extremadamente aplicable en esta época del cómputo en la nube, los contenedores y el desarrollo de Apps para todo uso. 

#HablemosDeSeguridad

Vía @Contato_Capa8

El futuro de la ciberseguridad, a debate en el VIII Foro Ciber de ISMS Forum.

El 19 de septiembre, alrededor de 300 profesionales de la seguridad de la información se darán cita en este encuentro.

En la sesión se debatirá sobre las políticas de ciberseguridad y protección de datos de Estados Unidos y Europa, haciendo una comparativa entre ambas y evaluando su impacto en el mercado.

Más información

#HablemosDeSeguridad

Vía @elderecho

Librería Porrúa confirma que 1.14 millones de sus clientes fueron afectados por filtración de datos personales.

Ejecutivos de Porrúa hablaron sobre la vulneración de información personal de la compañía. Aseguraron que nunca recibieron información sobre una supuesta extorsión de hackers.

Más información

#HablemosDeSeguridad

Vía @eleconomista

El 93% de las organizaciones se preocupan por la seguridad en la nube.

En Guardians of the Cloud, el informe de la nube de 2019 publicado anualmente por Bitglass, los investigadores encontraron que el 93% de las organizaciones están al menos moderadamente preocupadas por su capacidad para usar la nube de forma segura. El mismo número de encuestados en el Informe de seguridad en la nube de 2019 de Synopsys dijo que estaban moderados o extremadamente preocupados por la seguridad de la nube.

Más información

#HablemosDeSeguridad

Vía @InfosecurityMag

Así es como ‘FaceApp’ pone en peligro todos tus datos personales.

“FaceApp” se viralizó rápidamente entre usuarios de Twitter e Instagram, quienes aprovecharon la oportunidad para subir sus fotos siendo “viejitos” o que le aplicaron el filtro a algún famoso para que nos vayamos dando una idea de cómo se verán en un par de años más.

Sin embargo, FaceApp ha comenzado a preocupar a todos aquellos que se interesan por la protección de datos personales en la web, esto gracias a que la aplicación es de origen ruso y cuenta con una política de privacidad bastante ambigua, la cual además de no ser clara no se ha actualizado en más de dos años.

Más información

#HablemosDeSeguridad

Vía @sopitas

La identificación de ataques de ‘phishing’ y la protección de datos son las áreas de ciberseguridad más problemáticas para los usuarios finales.

Los ataques de phishing siguen siendo una de las grandes preocupaciones en organizaciones de todo el mundo. Como dato general, en este estudio de Proofpoint, los encuestados respondieron de forma incorrecta a una de cada cuatro preguntas sobre cómo identificar este tipo de amenazas y qué hacer para proteger los datos durante su ciclo de vida.

Más información

#HablemosDeSeguridad

Vía @cybersecurityES

Las empresas prefieren pagar multas que proteger los datos de los usuarios.

La protección de datos de una persona moral como física es muy importante, pues además de ser un derecho, si caen en las manos equivocadas puede ser un gran factor para que se ejerzan actividades ilícitas con ellos, sin embargo algunas compañías prefieren pagar grandes cantidades en multas que proteger a sus clientes e incluso a su propia empresa.

Más información

#HablemosDeSeguridad

Vía @expansionmx

Más de la mitad de los empleados no se adhieren a los protocolos de seguridad de correo electrónico.

El 87% de 280 tomadores de decisiones escuestados pronosticaron que las amenazas de correo electrónico aumentarán el próximo año.

Muchas organizaciones admiten que no están preparadas para la seguridad del correo electrónico, y el 94% admite que «el correo electrónico sigue siendo la parte más vulnerable de las posturas de seguridad de las organizaciones».

Más información

#HablemosDeSeguridad

Vía @infosecuritymag

Cinco sencillos pasos para mejorar las copias de seguridad.

Tras el Día Mundial de la Copia de Seguridad, el estudio anual de actitudes y hábitos de protección de datos que hemos llevado a cabo, ha revelado que el 65% de los consumidores han sufrido pérdidas de datos, lo que se traduce en casi un 30% más de personas que informaron que ellos o algún miembro de su familia sufrieron pérdidas de datos en 2018, un aumento muy significativo.

Más información

#HablemosDeSeguridad

Vía @cybersecurityes