El modelo basado en confianza cero (zero trust) se presenta cada vez más como una herramienta imprescindible para la seguridad actual, pero ¿es realmente una prioridad para los equipos de seguridad adaptarse a las nuevas exigencias de conformidad y leyes de protección de datos? Con el aumento de las regulaciones de privacidad de datos, de una superficie de ataque más amplia y compleja, así como del incremento en la frecuencia de ataques, la adopción de un nuevo marco de seguridad puede parecer una tarea complicada. Pero además de fortalecer la seguridad, el modelo zero-trust puede aliviar muchas dificultades que enfrentan los equipos de seguridad, al brindar un enfoque escalable que se adapta a las aplicaciones modernas y complejas, así como a una variedad de leyes de privacidad de datos específicas de cada región.
En esta publicación detallaremos los problemas de conformidad en programas de seguridad tradicionales, además explicaremos cómo el modelo de confianza cero facilita la conformidad al reducir los riesgos y simplificar los procesos de auditoría. También te mostraremos cómo implementar el modelo de seguridad de confianza cero.
Problemas de conformidad con la seguridad tradicional
Los controles se basan en redes, no en usuarios y datos
Con el auge del trabajo remoto, la adopción de la cloud y un amplio uso de API y otros servicios de terceros, los modelos de seguridad diseñados en torno a un perímetro corporativo seguro se han vuelto cada vez más obsoletos. De acuerdo a un informe sobre las prácticas comerciales realizado en 2021, las empresas utilizan en promedio 175 aplicaciones en la cloud, que residen fuera del firewall corporativo [1]. Y a medida que el trabajo remoto es cada vez más común, las empresas tienen menos control sobre el acceso de los empleados a los datos de la empresa desde dispositivos seguros.
En otras palabras, los perímetros de red no son más monolíticos, sino fragmentados, con muchos usuarios, dispositivos y con componentes de aplicaciones accediendo desde ubicaciones que se extienden más allá del perímetro corporativo. Los firewalls heredados (legacy firewalls) que brindan a todos los usuarios, dentro de una VPN o red de instalación local, acceso total a los sistemas y datos corporativos, permiten amenazas internas y exponen grandes cantidades de datos confidenciales para que reciban algún tipo de ataque.
Los datos diferentes son tratados de la misma forma
Las redes heredadas que utilizan un enfoque basado en el perímetro para proteger a todos los usuarios, dispositivos y componentes de aplicaciones no solo corren el riesgo de infracciones de seguridad en los endpoints vulnerables, sino que no cumplen con las leyes de privacidad que requieren los datos para ser tratados de forma diferente de acuerdo al lugar de donde se recopilan, a quién les pertenece y qué tan sensibles son. En los sistemas heredados, los datos de identificación personal, las credenciales de pago y los registros de seguridad son tratados con el mismo nivel de control de materiales de marketing y otros contenidos de baja confidencialidad.
Además, la conformidad de las leyes que restringen la transferencia de los datos entre fronteras de diferentes países o estados, necesita de políticas regionales específicas que controlen cuándo y cómo los datos personales o confidenciales pueden ser transferidos para otras ubicaciones, lo que hace que las políticas que manejan datos de igual forma sean no solo poco factibles, sino imposibles de enviar.
Las brechas de seguridad exponen a todo el sistema
Cuando son llevados amplios permisos a todos los usuarios dentro de una red corporativa, los atacantes pueden moverse a través de los sistemas, extraer una gran cantidad de datos y organizar ataques severos como el robo de una cuenta (account takeover) y la ejecución remota de código (remote code execution) de forma sencilla. Un estudio del MIT sobre incidentes recientes de ciberseguridad encontró que la mayoría no ocurrió por motivos de ataques de operación de dia cero, sino para “la obtención de credenciales de usuarios y el movimiento dentro de una red bien conectada que permite a los usuarios recopilar una cantidad significativa de información o tener efectos generalizados.” [2]
Y con la publicación de leyes de privacidad de datos más rigurosas, las violaciones de datos generalizadas pueden agravar las consecuencias financieras y legales que las empresas sufren debido a las diferentes regulaciones, ya sean propias del sector o de regiones específicas.
Con zero trust simplifica y fortalece la conformidad
De acuerdo con la definición de NIST, “zero trust (ZT) es el término para un conjunto emergente de paradigmas de ciberseguridad que mueven las defensas de perímetros estáticos, basados en la red, para enfocarse en los usuarios, los activos y los recursos”.4 Esto reemplaza un enfoque de seguridad basado en la red que brinda permisos amplios a usuarios y programas confiables con permisos restringidos y granulares que son concedidos de acuerdo al caso y sesión, mediante monitoreo y automatización continuos para la detección, así como para la respuesta a ataques rápidos.
Esto permite que diferentes tipos de datos sean tratados de forma distinta, en función de sus regulaciones específicas y riesgos asociados, lo que simplifica la conformidad al limitar el alcance de las restricciones de uso de datos de forma significativa. Como resultado, las empresas ganan visibilidad de los usuarios y de los componentes de terceros que acceden a tus datos que pueden ser documentados de forma simple para el mantenimiento de registros y auditorías. Además, las empresas pueden adoptar un enfoque basado en riesgos con el fin de mitigar las amenazas, lo que garantiza que los recursos se concentren en la protección de tus activos más importantes.
Comenzar con zero trust
Los primeros pasos para las empresas con interés en implementar la seguridad zero trust son clasificar y estructurar el flujo de datos en todo su sistema. A partir de ese punto, las empresas pueden iniciar el desarrollo de identidad granular y la gestión de acceso en función de cómo determinados activos deben ser protegidos, así como qué usuarios y sistemas solicitan acceso a ellos.
Para ello, las empresas deben escoger un socio de seguridad confiable y robusto que permita los permisos granulares, la segmentación de red, así como la visibilidad y los análisis robustos. La Plataforma de Azion lo hace posible por medio de una variedad de productos que incluyen Real-Time Metrics, Network Layer Protección y Data Stream. Como un proveedor de edge serverless puedes aprovechar nuestra edge network global para procesar los datos de forma local en conformidad de las leyes de privacidad de datos de regiones específicas, así como simplificar las tareas de seguridad a través de una plataforma serverless que cuida la seguridad de la infraestructura para que puedas concentrarte en proteger tus datos y aplicaciones.
Para conocer más sobre cómo Azion te puede ayudar a fortalecer y simplificar tu conformidad, lee nuestra publicación sobre zero trust o habla ahora con uno de nuestros expertos para agendar una demostración gratuita de nuestra plataforma.
Referencias
[1] Okta, Businesses at Work 2021
[2] MIT News, Zero-trust architecture may hold the answer to cybersecurity insider threats
[3] NIST, Zero Trust Architecture
