Las estrategias de confianza cero son aquellas en las que nada, ni nadie, pueden utilizar los recursos digitales de una organización sin ser verificados. No se trata sólo de verificar la entrada en el sistema, sino también cuando las personas se mueven dentro de él. Sin embargo, las estrategias de confianza cero fracasan a veces, ¿por qué?
Ante todo, protección
Un régimen tan estricto se vuelve necesario ante el ataque de ciberdelincuentes, que podrían violar un sistema y moverse libremente dentro de él sin control. La confianza cero se ha convertido, por tanto, en el patrón oro de la ciberseguridad en el panorama empresarial actual.
La implantación de este protocolo requiere de un examen exhaustivo de todo el parque tecnológico. La organización debe identificar sus vulnerabilidades, tanto tecnológicas como humanas, y averiguar la mejor manera de tapar los agujeros.
Sin embargo, la implantación de un régimen de este tipo no está exenta de posibles escollos y dificultades. Se trata de un proceso largo y complejo que requiere disciplina. Y he aquí algunos factores que hacen fracasar a veces dicho protocolo de seguridad.
Implantar la confianza cero demasiado rápido
Implantar un enfoque de confianza cero puede requerir cambios significativos en las tecnologías, y también en la forma en que las personas realizan su trabajo diario. Si se hace demasiado rápido, es fácil que se produzcan errores.
Es posible que algunos dispositivos o aplicaciones se escapen de la red de garantía de cumplimiento en el momento de la implantación, o más adelante. La higiene de la seguridad -garantizar que todo el hardware y el software estén actualizados y parcheados- es un aspecto central de la confianza cero.
Garantizar que se conoce cada pieza de hardware y software y que se puede optimizar la seguridad en todo momento lleva tiempo.
Es importante asignar tiempo suficiente a la gestión de todo desde el principio, y desarrollar procesos para garantizar que las adquisiciones existentes y las nuevas se adapten en el futuro.
Ignorar los principios de acceso menos privilegiado
El acceso menos privilegiado se refiere a la política de garantizar que los usuarios sólo tengan el nivel mínimo de permiso para hacer lo que necesitan hacer. Está diseñado para mantener el acceso a los recursos estrictamente controlados, y evitar el tipo de acceso generalizado a través de los sistemas, que puede ser un imán para los ciberdelincuentes.
Sin embargo, puede ser difícil de implantar, sobre todo en el caso de entornos multicloud en los que los datos y las aplicaciones se alojan en distintos proveedores, cada uno con políticas y protocolos de seguridad diferentes.
Al final, el presupuesto, el tiempo disponible y la carga de trabajo pueden hacer que los equipos internos asignen privilegios más amplios de lo necesario.
Mediante un tipo de software denominado gestión de derechos, o gestión de derechos de infraestructura en la nube, se puede gestionar de forma centralizada el acceso a multitud de software, sistemas, dispositivos y plataformas en la nube.
No centrarse en los usuarios
Una de las razones por las que las estrategias de confianza cero fracasan, se debe a un indebido control de usuarios; los empleados de una organización no son las únicas partes interesadas con las que se tendrá que trabajar. También pueden haber contratistas, proveedores, compradores, partners y otros.
De forma que, presentar a los usuarios nuevos protocolos, aros por los que pasar y procesos -sin entender si se perciben como barreras- puede causar resentimiento y fomentar estrategias de incumplimiento. Al final, los usuarios que eluden los protocolos de seguridad son usuarios que crean riesgos.
La formación de calidad de los usuarios sobre cómo cumplir los protocolos de seguridad es sólo una parte de la solución. Los usuarios también deben comprender por qué se requieren determinados comportamientos, y sentirse cómodos con las acciones o enfoques requeridos.
Crear una cultura de la seguridad en toda la organización requiere tiempo, esfuerzo y liderazgo por parte de los directores generales, los altos cargos y los supervisores directos.
Asumir la confianza cero por defecto
Cada organización es diferente y su configuración tecnológica será única. La forma en que las personas utilizan la tecnología también variará. También variará dónde trabajen sus empleados: en la oficina, a distancia, en una ciudad, con oficinas nacionales o multinacionales. Las variables son muchas y complejas, y es recomendable adoptar una actitud de confianza cero desde el principio.
Agujeros de ciberseguridad que hay que tapar ya
Las estrategias de confianza cero fracasan por muchos motivos, sobre todo el hecho de que los ciberataques no muestran signos de ralentización, y que organizaciones de todos los tamaños y en todos los mercados son potencialmente vulnerables. Por tanto es primordial proteger los datos y las redes.
Ya no es adecuado adoptar un enfoque fragmentario ante este reto. Un enfoque de confianza cero puede ayudar a una organización a aplicar una estrategia exitosa, basada en el riesgo para la seguridad de los datos, y así poder proteger estos con mayor eficacia. No está exento de escollos, y las organizaciones deben ser conscientes de ellos y estar dispuestas a dedicar el tiempo y la energía necesarios para resolverlos.