El Modelo Zero Trust (Cero Confianza, en español) es un enfoque de seguridad de la información que se basa en la idea de que ninguna persona o dispositivo debe tener acceso libre a la red o a los recursos de una organización, independientemente de su ubicación o nivel de confianza. En lugar de confiar en la seguridad perimetral tradicional, que asume que todo lo que está dentro de la red es seguro y todo lo que está fuera es peligroso, el Modelo Zero Trust asume que todo es potencialmente peligroso y que se debe verificar y autenticar cada acceso. Este Modelo fue desarrollado por Forrester Research en 2010, como respuesta a la cantidad de amenazas cibernéticas y a la necesidad de desarrollar nuevas estrategias para proteger la información y los sistemas críticos de una organización. John Kindervag, analista de seguridad de Forrester Research, es considerado el creador del Modelo Zero Trust. Kindervag argumentó que la seguridad perimetral tradicional ya no era suficiente para proteger los datos y los sistemas críticos de una organización, y que se necesitaba un enfoque de seguridad más centrado en la autenticación y el acceso basado en roles. Este enfoque se basa en tres principios clave: 1. Verificación continúa de la identidad y los dispositivos: Todos los usuarios y dispositivos deben ser autenticados y autorizados antes de ser permitidos en la red. La autenticación debe ser continua y verificarse cada vez que se accede a un recurso. 2. Limitación del acceso: Se debe restringir el acceso a la información y los recursos solo a aquellos usuarios y dispositivos que necesitan acceder a ellos para realizar su trabajo. 3. Supervisión constante: Es necesario supervisar constantemente la actividad de los usuarios y dispositivos en la red para detectar cualquier actividad sospechosa o anómala. Al implementar este modelo, las organizaciones pueden minimizar el riesgo de brechas de seguridad y proteger mejor sus datos y sistemas críticos. Sin embargo, la implementación del Modelo Zero Trust puede ser compleja y costosa, y puede requerir cambios significativos en la arquitectura de la red y en los procesos de autenticación y autorización. En la práctica, ¿cómo una empresa puede empezar a implementar este Modelo? La premisa fundamental del Modelo Zero Trust parte del principio de que todo lo que se encuentra dentro de una red es potencialmente peligroso y que se debe verificar y autenticar cada acceso para garantizar la seguridad de los datos y los sistemas críticos. A continuación, se presentan algunos pasos que una empresa puede seguir para comenzar a implementar el Modelo Zero Trust: 1. Identificar los activos críticos: La empresa debe identificar los activos críticos que necesitan protección, como datos financieros, información de clientes, propiedad intelectual, sistemas críticos, equipos de producción y maquinarias, servicios únicos en el mercado, entre otros. 2. Evaluar la arquitectura de la red: Se debe evaluar la arquitectura de red actual y determinar qué cambios necesitan hacerse para implementar el Modelo Zero Trust. Esto puede incluir la segmentación de la red, la implementación de controles de acceso más estrictos, la eliminación de privilegios innecesarios, identificación de todos los componentes de la red: routers, switches, servidores, dispositivos de almacenamiento, aplicaciones, software y cualquier otro elemento relevante. 3. Implementar autenticación y autorización basadas en roles: Con esto se asegura que solo los usuarios que necesitan acceso a los recursos críticos puedan acceder a ellos. Esto puede incluir el uso de autenticación multifactorial para aumentar la seguridad. 4. Supervisar la actividad de los usuarios: Es preciso realizarsupervisiónconstante de la actividad de los usuarios en la red para detectar cualquier actividad sospechosa o anómala. Esto puede incluir la implementación de herramientas de monitoreo y análisis de la actividad de los usuarios. 5. Implementar controles de acceso y segmentación de red: Controles de acceso más estrictos y segmentar la red para reducir la superficie de ataque. Esto incluye el uso de firewalls, VPN, y otras tecnologías de seguridad como encriptación. 6. Capacitar a los empleados: La capacitación a los empleados sobre el Modelo Zero Trust y la importancia de la seguridad de la información es vital para el éxito en la implementación, algunos temas a tratar podrían ser: concienciación sobre seguridad, entrenamiento en buenas prácticas de seguridad y políticas de seguridad. La implementación del Modelo Zero Trust es un proceso continuo y requiere una inversión constante en tecnología, capacitación y monitoreo para mantener la seguridad de la red y los datos de la empresa. Actualmente, no existe una estadística precisa sobre cuántas empresas han adoptado el Modelo a nivel mundial. Sin embargo, se sabe que muchas organizaciones han comenzado a adoptar este enfoque de seguridad en los últimos años, especialmente después de varios ataques cibernéticos importantes que han afectado a grandes empresas. En un informe de 2020 de la consultora IDC, se encontró que el 60% de las empresas encuestadas estaban considerando adoptar el Modelo Zero Trust en los próximos dos años. En el 2021, Zscaler encontró que el 72% de las organizaciones encuestadas estaban en proceso de implementar o planeaban implementar el Modelo Zero Trust en los próximos 12 meses. En conclusión, este modelo adopta un enfoque de seguridad de punto a punto, lo que significa que la seguridad se aplica en cada punto de la red, incluyendo dispositivos, usuarios, aplicaciones y datos. Las organizaciones deben reducir la cantidad de puntos de entrada y de acceso a sus sistemas y datos, para poder protegerlos mejor de amenazas internas y externas. El Modelo Zero Trust es una estrategia de seguridad cada vez más popular y muchas empresas están reconociendo la importancia de implementar esas medidas de seguridad adicionales para proteger sus datos y sistemas críticos. Sin embargo, es importante dejar unas reflexiones finales, en el sentido de establecer que siendo el enfoque Zero Trust, una filosofía de seguridad que se centra en la idea de que no se debe confiar automáticamente en una red, persona, dispositivo, respecto de esto último y desde una perspectiva legal, hay que asegurarse cuando se está en presencia de un proveedor que afirme tener una solución «super segura» ya que el mismo debería proporcionar pruebas sustanciales para respaldar sus afirmaciones. Las afirmaciones publicitarias falsas o engañosas pueden ser una violación de las leyes de protección al consumidor y de la Ley Especial contra los Delitos Informáticos en su artículo 26 referente a Ofertas engañosas. Al proveedor se le debe solicitar documentación técnica detallada y especificaciones de la solución que propone, para poder evaluar si se ajusta a los principios y mejores prácticas del enfoque Zero Trust, acordar la realización de pruebas de seguridad, como pruebas de penetración, pruebas de vulnerabilidad o análisis de riesgos, para evaluar la resistencia de la solución a posibles ataques o vulnerabilidades. Otro punto no menos importante, es tomar en cuenta el cumplimiento normativo de la solución, es decir que la misma no colide con las leyes de privacidad de datos o las normativas de seguridad de la información. Consultar las referencias de otros clientes no debe dejarse de lado, para poder obtener feedback de usuarios reales y evaluar la efectividad de la solución. De esta manera, se estaría ejecutando desde el principio el enfoque Zero Trust o confianza Cero como una medida efectiva en las empresas. Únete a nuestra comunidad de Informática Forense, Pentester, Osint y Jurídico. https://t.me/LAZARUS_VENEZUELA