Share

Modelo “Zero Trust”: un paradigma diferente de seguridad

ByAdrián Agudo Fernández- 26 / 03 / 2012

Si bien comparto la idea que von Hammerstein plasmó en su frase “El miedo no es una visión del mundo”, las cifras que muestran los informes, análisis y encuestas que sobre Seguridad TIC se llevan a cabo periódicamente, siempre sacan a la luz una misma conclusión: en materia de protección de su información, las organizaciones no sólo tienen que preocuparse de las amenazas que provengan del exterior. El enemigo puede estar dentro.

Entiendo que a ello contribuye la coyuntura actual que vivimos, con esos riesgos de reducción de ingresos y de pérdida del puesto de trabajo, que podrían provocar reacciones no habituales entre algunas de las personas afectadas por ellos.

En medio de todo esto, surge ya con cierta fuerza en el mundo de la Seguridad TIC, una corriente denominada “Zero Trust Model”, que viene defendiendo Forrester desde hace tiempo (ver el artículo “No More Chewy Centers: Introducing The Zero Trust Model Of Information Security” de John Kindervag) del cual quisiera hablar a continuación.

La idea vendría a ser que, para cualquier organización, “la Red ya es una, no la suma de intranet, extranet e Internet”.

De esta forma, del modelo de seguridad tradicional “Trust but verify”, más reactivo y orientado a la defensa de un perímetro, que delimita lo que se consideraba “la red informática de la organización”, “Zero Trust” promulga un modelo “Verify and Never trust”, de tipo preventivo y orientado al dato y al usuario que lo trata.

Este modelo obliga a replantearse la estrategia de Ciberseguridad, de forma que la organización encuentre respuestas a estas cuestiones:

  • ¿Quién navega por mi red?
  • ¿Por qué tiene acceso?
  • ¿Cómo accede?
  • ¿Cuándo?
  • ¿De qué forma?
  • ¿A qué información accede?

Esta última cuestión se convierte en el cambio más importante que introduce el modelo: el objetivo pasa de la preocupación por las barreras, ya que estas cada vez son menos nítidas,  a poner el foco en el objeto del acceso: la información.

Básicamente, el modelo se basa en dos pilares: la tecnología, como es obvio si hablamos de Ciberseguridad, y la estrategia, que no por citarse en último lugar es el menos importante.

En cuanto al primero, sólo reseñar algunas que contribuyen a la implantación de este modelo: DBE (Data Base Encryption), DLP (Data Loss Prevention), NAC (Network Access Control), IRM (Information Rights Management), WAF (Web Application Firewall), CSA (Code Security Audit), DEM (Política de borrado de datos), IPS (Intrusion Prevention Systems), SIEM (Security Information & Event Management), VPN (Virtual Private Network).

En cuanto a la estrategia, la aproximación “Unified Threat Management” (Gestión Unificada de Amenazas) que contempla de forma global la tarea, debería contemplar estos aspectos:

  • Clasificación de la información
  • Gestionar: establecer mecanismos de medición, actuación y reporte
  • Comunicar y concienciar
  • Modelar la infraestructura
  • Integrar capacidades y funciones dentro de la organización