Los nuevos perímetros en un mundo sin perímetros
Tiempo de lectura estimado: 11 minutos
Esta conferencia magistral pertenece al Módulo 3 "Securización de entornos personales y de trabajo" de C1b3rWall Academy 2021. El objetivo de la misma es conocer cómo ha cambiado el entorno de trabajo en la empresa y de cualquier actividad digital, además de saber cómo las organizaciones tienen que adaptarse.
Introducción: nuevas tendencias, nuevos riesgos
La realidad actual suma múltiples factores relevantes: pandemia, mayor tensión geopolítica, desafíos en la cadena de suministro, digitalización acelerada con el auge de nuevas tendencias tecnológicas (cloud para todo, inteligencia artificial, 5G, blockchain y criptodivisas, computación cuántica, robotización...). A ello se suma una conciencia creciente sobre la privacidad, noticias recurrentes sobre la manipulación informativa, temor por el cambio climático e incremento de la ciberdelincuencia.
Las nuevas amenazas y la transformación digital
Las amenazas no son esencialmente distintas a las ya conocidas, pero los riesgos se incrementan en esta situación actual por la mayor profundidad de la dependencia digital y por la ruptura definitiva del perímetro con el teletrabajo extensivo y la evolución a la nube y el aumento de los potenciales atacantes que lo pueden hacer desde cualquier parte del mundo. A ello se suman la popularización de tecnologías y herramientas para el cibercrimen y la consolidación de determinados criminales con recursos casi ilimitados para llevar a cabo ciberintrusiones, ya sean políticas o por rentabilidad económica del crimen.
Frente a dichas nuevas amenazas, muchos de los remedios son los mismos de siempre y se formulan como los procesos básicos de ciberseguridad (configuración segura, monitorización, control de accesos, gestión de vulnerabilidades, etc.), que cubren el ciclo de la amenaza para anticipar, proteger, detectar y defender/recuperar.
Hay que reflexionar sobre cómo hemos llegado hasta la situación actual, donde dichos procesos básicos no son lo suficientemente efectivos. Algunas causas son la priorización de lo inmediato frente al riesgo potencial, la dilución de responsabilidades en las organizaciones grandes y entre clientes y proveedores (complejidad de las cadenas de suministro), la transformación digital acentuada por la incorporación masiva de servicios en cloud, la carencia de perfiles bien formados (no solo los de seguridad) con concienciación en ciberriesgos y la presión creciente en reducción de costes y plazos.
Nuevos-viejos conceptos: ZTX y SASE
Se hacen necesarios enfoques nuevos y más coordinados. Los remedios son los mismos, pero hay que usarlos de otra manera. Entre esas revisiones en profundidad, se recuperan conceptos como Zero Trust y SASE (Secure Access Servide Edge).
Detrás de estos conceptos, que se basan en la hipótesis de que nada es confiable a priori (Zero Trust) hay realmente una evolución del modelo de riesgos. Antes era difícil vulnerar un perímetro digital. Hoy día casi ni existe dicho perímetro o se ha movido hasta el último extremo, llegando al dato y además variando en el tiempo y la localización.
El concepto de Zero Trust tiene su origen en el trabajo inicial del Jericho Forum en 2009 sobre la deperimetrización, posteriormente integrado dentro del Open Group. Zero Trust se basa en la desconfianza metódica: ningún usuario, dispositivo o aplicación, dentro o fuera de la red, debe considerarse seguro a priori; cada uno de ellos ha de ser validado de forma continua, como requisito previo a la utilización de cualquier recurso corporativo. Y, además, presupone que toda organización puede estar ya afectada por una intrusión en sus sistemas tecnológicos.
Precisamente, la operación Aurora en 2009 contra Google por parte del grupo cibercriminal Elderwood supuso el disparador para que muchas organizaciones repensaran en la práctica su modelo de perímetros de confianza, tanto para su estrategia de seguridad propia como para redefinir sus propuestas de valor de servicios digitales gestionados y soluciones de seguridad integral. La propia Google acuñó el concepto de BeyondTrust, que aterrizó en todas sus dinámicas internas, haciendo desaparecer las fronteras en todo lo relativo al acceso a los recursos y reforzando la autenticación continua.
Zero trust se desarrolla según los ejes de datos - personas – dispositivos – cargas de computación –redes – monitorización minuciosa y continua. Cada uno de estos ejes se desarrolla en acciones concretas que implican el despliegue de componentes tecnológicos, pero sobre todo afectan a cómo se desarrollan los sistemas y sus procesos asociados. En mensaje muy simplificado consiste en la implantación de mecanismos de autorización continua y contextual para cada acceso de cada persona o dispositivo a cada recurso digital.
El concepto de SASE (Secure Access Service Edge) es complementario al de Zero Trust. El acceso a cualquier recurso desde cualquier dispositivo no presupone confianza previa alguna y además se contextualiza en función de todos los parámetros posibles para la decisión de qué acceso se da y con qué privilegios. SASE se plasma en la integración de ese concepto de Zero Trust con la inteligencia de conectividad desde la nube (con SD-WAN, VPN-less, etc.).
Impacto en la ciberseguridad
Lo que en la década pasada eran fundamentalmente conceptos hoy día se convierten en realidades prácticas con tecnologías específicas. Dada la transformación profunda que supone este enfoque en los procesos productivos tecnológicos, se proponen líneas de adopción según niveles de madurez, para poder atacar el problema por etapas en función de las posibilidades, punto de partida y prioridades de cada organización.
Un aspecto fundamental dado que el último nivel de cualquier proceso tecnológico lo constituyen las personas es la formación y concienciación en los ciberriesgos, así como la falta de profesionales. Es crítico que esa formación/concienciación ocurra en dos planos: el genérico sobre los usuarios finales y el especializado según cada función en la empresa. No hay mejor defensor de la seguridad que un responsable experto en un área que esté bien concienciado, pues es quien está "certificado" en los procesos del propio negocio, empresa, departamento, etc., y puede acompasar mejor los controles al riesgo real; no se puede asegurar lo que no se conoce.
En definitiva, mecanismos como Zero Trust y SASE encuentran ahora su momento de oportunidad y madurez para servir como ejes de una seguridad más consistente.
Hay que recordar siempre que todas estas transformaciones digitales tienen una diferente penetración según criterios como el sector, el tamaño de empresa, el punto de partida… por ello es importante que el concepto de Zero Trust llegue también a la actitud de cada uno de nosotros en todos nuestros ámbitos, incluido el personal. Por ello es necesario un cuestionamiento continuo del ciberriesgo en cada una de nuestras actividades online que oriente las decisiones en cada momento.
¿Todavía no formas parte de C1b3rWall Academy? El contenido es gratuito, únete a otras 30.000 personas desde este enlace.
Si te interesa este tema, puedes consultar la información y cursar el Máster en Ciberseguridad o ver la oferta de másteres desde aquí.
Ponente: Alejandro Becerra
Alejandro es director global de Seguridad de la Información en Telefónica, con foco en la función de la seguridad de los procesos y plataformas internos. Acumula más de 25 años de experiencia en procesos y tecnologías de comunicaciones y participa frecuentemente en eventos nacionales e internacionales. Además, es miembro del Cyberpeace Institute, ONG fundada en 2019 para promover la estabilidad del ciberespacio.
¿Cuál es tu reacción?