Zero Trust, sus orígenes y cambios en el tiempo
Zero Trust se originó como una filosofía o concepto centrado en un principio cardinal: nunca confiar, siempre verificar, acuñado por John Kindervag, un exvicepresidente y analista principal de Forrester, en 2010. Sin embargo, con el transcurso del tiempo, varios fabricantes han adoptado este término para definir diversas soluciones que se alinean con los principios fundamentales de esta filosofía. Esto ha llevado a que comercialmente Zero Trust sea percibido como un producto, al menos desde la perspectiva de muchas personas y empresas.
Este fenómeno puede compararse con el término «antivirus». A pesar de que las soluciones modernas pueden tener una serie de características y funcionalidades, y su nombre correcto sea «Antimalware» o «endpoint security», la mayoría de la gente sigue refiriéndose a estas como antivirus. Y es que modificar esta percepción se ha vuelto una tarea sumamente difícil, casi como cambiar una costumbre arraigada. Por tanto, Zero Trust, al igual que el antivirus, ha terminado siendo identificado más como un producto que como la filosofía que realmente es.
Implementar 100 % Zero Trust, no es una tarea fácil
Reflexionando este fin de semana, me puse a pensar en cómo podríamos aplicar el concepto de Zero Trust para robustecer nuestra primera línea de defensa y optimizar los tradicionales programas de capacitación o concientización en ciberseguridad para los usuarios.
Siendo honestos, independientemente de que las empresas inviertan en soluciones de ciberseguridad que valgan miles de dólares, segmenten sus redes, apliquen el principio de mínimo privilegio y autentiquen cada acción, el usuario seguirá siendo el principal vector de entrada para los cibercriminales.
Además, la implementación de Zero Trust sin sacrificar la accesibilidad, ni entorpecer o ralentizar los procesos operativos de una organización, es un desafío considerable. Por lo tanto, nos encontramos en un momento crucial para repensar nuestras estrategias y buscar formas innovadoras de integrar los principios de Zero Trust en nuestros esfuerzos de concientización y formación en ciberseguridad.
Principios de Zero Trust enfocado a usuarios
Jamás Confíe, Siempre Verifique
Cada vez que reciba una solicitud de acceso a algún recurso, o incluso cuando se le pida procesar un pago, es fundamental que siempre verifique la identidad del solicitante. No confíe de manera automática, incluso si se menciona un nombre que le resulta familiar.
- Si conoce al solicitante, considere utilizar un medio alternativo para ponerse en contacto con esa persona; idealmente, una videollamada podría proporcionar una confirmación más sólida de su identidad.
- Si, no conoce al solicitante y este se presenta como un proveedor u otro, lo mejor sería ponerse en contacto directamente con su contacto habitual en esa empresa proveedora o con su superior para validar la información. En ningún momento debe omitirse la verificación, sin importar cuán convincente pueda parecer la solicitud inicial.
Principio de Mínimo Privilegio
Cada usuario debe tener acceso única y exclusivamente acceso a la información que le permita ejecutar sus funciones.
- Debemos erradicar la noción de acceso indiscriminado a la información, una práctica que, lamentablemente, todavía prevalece en muchas pequeñas empresas. Este enfoque se traduce en que todos los miembros de la organización tienen acceso a toda la información, independientemente de su posición o función.
- Los datos de sus clientes y empleados deben ser gestionados con el máximo cuidado. Implementar el principio de mínimo privilegio puede prevenir situaciones donde un empleado insatisfecho extraiga y divulgue información confidencial, lo que podría dañar seriamente la imagen corporativa. Por lo tanto, es esencial garantizar que los usuarios solo tengan acceso a los recursos necesarios para su función específica, protegiendo así la integridad de la información de la empresa.
Múltiple Factor de Autenticación
Desde el punto de vista tecnológico, proteger todas tus cuentas de acceso a aplicaciones, con doble factor de autenticación, es primordial; sin embargo, ¿cómo autenticamos a una persona que te solicita un pago?, este punto va muy alineado al punto 1, en el caso del usuario, debemos tener más de un factor diferente, que nos permita identificar y autenticar a un individuo, aquí algunos ejemplos.
- Verificación Independiente: No confíes únicamente en el correo electrónico que has recibido. Si alguien te envía una solicitud de pago, busca su número de teléfono o dirección de correo electrónico a través de tus propios registros o su página web oficial, y ponte en contacto para verificar la solicitud. Este sería tu «segundo factor» de autenticación, pues estás confirmando la solicitud por un medio de comunicación distinto.
- Preguntas de verificación: Si tienes comunicación frecuente con el remitente, podrías establecer un sistema de preguntas de verificación. Asegúrate de que las preguntas no se puedan responder fácilmente con información pública.
- Establecer un sistema de códigos: Podrías establecer un sistema de códigos con remitentes de confianza. Por ejemplo, podrías acordar que siempre incluyan una palabra, código de proyecto o frase específica en sus solicitudes de pago. Si esa palabra o frase no está presente, sabrás que debes comprobar la solicitud.
Monitoreo continuo
Las constantes campañas de simulación de phishing, cuando se combinan con formación adecuada, nos proporcionan una medida de cuán susceptibles pueden ser nuestros usuarios a estas amenazas. De este modo, podemos tomar las precauciones necesarias. Es importante recordar que un usuario bien informado y correctamente capacitado es la herramienta más eficaz en nuestra lucha contra los cibercriminales.
Política de contraseñas fuertes y gestión de contraseñas
Los usuarios deben ser instruidos en la creación de contraseñas fuertes y únicas para cada cuenta, y se les debe animar a usar un gestor de contraseñas para manejar esta tarea de manera segura. En la actualidad continúo viendo organizaciones, que indican haber aplicado «Zero Trust», pero sus usuarios, continúan guardando credenciales en archivos de texto, o en notas de papel.
- Hacer uso de Passphrase en la medida de lo posible: «Practico artes marciales desde 1992.», esta frase es algo que NO encontrará en ningún diccionario de datos, será muy difícil de adivinar por un criminal, obviamente siempre cuidando su espalda, quien observa mientras escribe.
- No comparta credenciales con nadie en lo absoluto.
Conclusiones
La adopción del modelo Zero Trust es esencial para fortalecer las defensas contra las crecientes amenazas de ciberseguridad. Este enfoque, basado en el principio de «nunca confiar, siempre verificar», ayuda a prevenir el acceso no autorizado a la información y los sistemas, independientemente de dónde se origine la solicitud de acceso.
El principio de Zero Trust se puede aplicar de muchas formas en la vida diaria de los usuarios. La capacitación y la concientización en ciberseguridad, el uso de soluciones de seguridad avanzadas, la implementación de políticas de acceso por necesidad, la gestión efectiva de contraseñas, el mantenimiento oportuno de actualizaciones y parches, la seguridad de los dispositivos móviles y la preparación para la respuesta a incidentes, son todas prácticas esenciales que pueden mejorar en gran medida la postura de seguridad de un usuario.
Los cibercriminales están en constante evolución y siempre buscan nuevas formas de explotar las vulnerabilidades. Por lo tanto, es crucial que los usuarios estén bien equipados para defenderse y responder a estas amenazas. La implementación efectiva del principio Zero Trust es un paso crucial en esta dirección y una herramienta valiosa en la lucha contra las amenazas cibernéticas. Al final del día, un usuario informado y adecuadamente capacitado es el mejor activo para contrarrestar a los cibercriminales.