Santiago, Chile. (El Mercurio/GDA). “Zero trust” o “confianza cero” es un concepto que cada vez suena más cuando se habla de mejorar la ciberseguridad de una empresa. Pero, ¿de qué se trata?

“Tiene como objetivo principal que las organizaciones no confíen en ningún momento en ninguna entidad, ya sea usuario, dispositivo, aplicación u otro, dentro o fuera de su perímetro”, indica David López, vicepresidente de Ventas para Latinoamérica de AppGate.

Juan Marino, responsable de Ciberseguridad para MCO de Cisco, advierte, por su parte, que el concepto de “zero trust” es “una hipérbole”, ya que llevar la confianza a cero “es literalmente imposible”.

Pero sí debe ser entendida como una forma de minimizar un exceso de confianza que pueda dar pie a una brecha de seguridad, explica.

La idea es pasar de la forma en que usualmente se piensa la ciberdefensa, con el establecimiento de un perímetro de seguridad representado típicamente por un firewall que rodea los sistemas de la empresa, a un diseño en que cada solicitud de acceso a información debe ser autenticada y encriptada.

Murallas y castillos

El enfoque tradicional es análogo: “Al principio de un castillo, todo el que quiera entrar debe pasar procesos de autenticación, pero quienes están adentro ya son confiables, por el hecho de haber entrado”, explica Marcelo Díaz, gerente general de Makros.

Por el contrario, con el modelo de “zero trust” “siempre se verifica la identidad de los usuarios y los dispositivos, siguiendo una política predefinida de accesos y niveles de confianza al interior de la organización”, detalla Carlo Dávila, analista senior de IDC Latam.

Según Alex Pessó, director de Asuntos Legales, Corporativos y Filantropía de Microsoft Chile, “vivimos la época de la ‘muerte de las contraseñas’ tal como las conocemos, es decir, que una cuenta de usuario con solo una contraseña sea suficiente para ingresar a la información y datos de una empresa”.

Sistemas y procesos para aplicar confianza cero

Con tal de implementar el concepto de “zero trust”, hay que decidir primero quiénes tendrán acceso a qué información, y luego “se define la implementación de tecnologías y procesos alineados a las capas de identidad, vulnerabilidad, confianza y administración del riesgo”, expresa Dávila.

Para ello, Marino indica que “típicamente un primer paso hacia el zero trust consiste en la implementación de tecnología MFA (por autenticación multifactor)”.

Esta, en su forma más simple, consistente en dos factores, generalmente algo que solo la persona que debe acceder a la información sabe (una contraseña) y algo que solo ella tiene (su smartphone ), agrega.

Pero una MFA robusta suma otros factores, como “el estado del dispositivo, si es o no vulnerable, desde dónde se conecta”, señala el ejecutivo de Cisco, así como también se puede decidir autorizar la conexión solo en momentos previamente estipulados.

Pessó menciona también el uso en MFA de autenticación biométrica y de certificados basados en la identidad.

Así, resalta el ejecutivo, “aunque un intruso logre pasar por el primer firewall corporativo, todavía necesitará de más factores de autentificación para llegar a la información de una empresa”.

“Se deberá contar con alguna solución que permita aplicar la gestión de accesos privilegiados (PAM)”, añade Díaz, además de autenticación multifactor.

El concepto de PAM consiste en un software o hardware que permite dar permisos de acceso diferenciados a cada cuenta, incluso a las del administrador.

Además, la confianza cero implica establecer procesos de segmentación dinámicos, indica Marino.

Estos permiten la red de acceso a los usuarios en función de quién se está conectando, con qué dispositivo y en qué momento o contexto.

Es distinto a lo que suele haber hoy, que depende fundamentalmente de a qué puerto de red se conecte la persona, detalla.

Costoso, pero necesario

Las tecnologías requeridas para aplicar confianza cero “no siempre son económicas, pero robustecen la seguridad de una organización”, aclara Díaz.

Dávila, en la misma línea, cree que “el concepto de zero trust debería ser considerado para todo tipo de empresas, no solo para las que manejen datos sensibles, sino también para aquellas cuyos procesos de negocios involucran un nivel significativo de interacción móvil entre sus colaboradores y socios; así como en las que están trabajando iniciativas de transformación digital”.

Andrés Muñoz, gerente de Cuentas Estratégicas ITQ Latam, asegura que “la adopción del modelo zero trust no tiene por qué implicar un incremento en los costos, no es algo que se debe implementar de un día para otro”, ya que “no se trata de desechar todos los sistemas de seguridad con los que ya se cuentan, sino que de ir poco a poco adaptándolos hacia este nuevo modelo”, precisa.

Copyright Grupo de Diarios América - GDA/El Mercurio/Chile