Zero Trust, ayudando a las organizaciones con el cumplimiento
Carlos Moliner, director GuardiCore Iberia
21/11/2019Muchas empresas cuentan ahora con responsables de cumplimiento, o incluso con equipos dedicados a ello, personas y equipos sobre los que recae una gran carga de trabajo para garantizar, y poder demostrar, el cumplimiento de estas normas, y con el objetivo claro de estar empresas y organizaciones preparadas para someterse y superar satisfactoriamente a cualquier auditoría y también para implementar las mejores prácticas posibles.
A medida que los centros de datos se han vuelto cada vez más complejos y dinámicos, esta carga de trabajo no ha dejado de crecer exponencialmente. Es comprensible, por tanto, que la visibilidad sea difícil de lograr en un entorno heterogéneo y, si no sabemos dónde están nuestros datos, ¿cómo podemos protegerlos?
La seguridad perimetral tradicional causa problemas de cumplimiento
Si nuestra organización depende de una seguridad basada en el perímetro, cualquier infracción va a afectar y golpear toda nuestra red. Una vez que un atacante atraviesa el perímetro externo, ya puede acceder a todo. Este modelo de seguridad no puede distinguir entre tipos de datos o aplicaciones, y no define ni visualiza activos críticos, dando la misma protección a todo lo que se encuentre en el centro de datos.
Esta realidad es un auténtico problema para cualquier equipo de TI o de seguridad responsable del cumplimiento en la organización. Muchas autoridades responsables del cumplimiento imponen controles estrictos sobre la gestión de los datos del cliente, incluida la manera en la que se almacenan, eliminan, comparten y acceden. Tanto la información de identificación personal (PII) como cualquier lugar donde se almacene la información financiera (por ejemplo: CDE), necesita disponer de medidas de seguridad adicionales o de mecanismos de gestión para el cumplimiento. Sin embargo, a menudo ni se identifican y, mucho menos, se protegen. Una situación que se complica hoy debido a la cada vez mayor cantidad de datos que se sitúan o se mueven fuera del firewall, por ejemplo, en la nube. Conseguir su visibilidad es el primer obstáculo, y muchas empresas fracasan estrepitosamente en su intento.
Si nuestra organización solo cuenta con controles en el perímetro, tan pronto como este se rompe todos los datos quedan al alcance de los atacantes, que fácilmente pueden hacer movimientos laterales dentro de nuestra red. Aunque pudiéramos visibilizar lo que tenemos, la seguridad del perímetro no puede proteger adecuadamente los datos críticos que se ven afectados por la normativa de cumplimiento.
Carlos Moliner, director GuardiCore Iberia.
Zero Trust como solución para el cumplimiento
Muchas empresas son conscientes de que un modelo de Zero Trust les proporcionaría una postura de seguridad mucho más sólida, pero permanecen preocupadas por el movimiento lateral del tráfico que seguiría desprotegido. Creen que poner en marcha un paradigma de Zero Trust es un proceso increíblemente complejo. Segmentar aplicaciones, redactar políticas para diferentes áreas del negocio, establecer a qué otorgar permisos y en dónde, les parece que complicaría la seguridad en lugar de hacerla más sencilla.
Rene Murphy, analista principal de Forrester Research, comenta que un modelo de Zero Trust, cuando se pone en marcha de manera inteligente, en realidad hace que la seguridad y el cumplimiento sean algo mucho más fácil. “Terminas con un entorno menos complejo y en general haciendo menos trabajo. Una vez que sepa cuáles son [sus datos], dónde están y cuán importantes son, puede (entonces) centrar sus esfuerzos”.
Pero para que esto tenga éxito y siga siendo algo sencillo, la implementación de un modelo Zero Trust debe comenzar con la visibilidad. La clasificación de datos no es un problema de TI, es un problema empresarial, y la empresa necesita poder identificar automáticamente todos los activos y datos, tanto en tiempo real como bases históricas para comparar y definir políticas.
A la hora de crear un modelo Zero Trust, trabaje con un partner le ayude a dibujar un mapa automático de todas las aplicaciones, bases de datos, comunicaciones y flujos, incluidas las dependencias y relaciones. Este trabajo debe ser a la vez profundo, proporcionando una visión granular, pero también amplio, que abarque todo, desde los sistemas locales heredados hasta los sistemas de contenedores.
Elija un proveedor con una solución que cuente con buenas capacidades de aplicación granular. La mejor protección deja la menor exposición posible. Se necesitan políticas que puedan bloquear los entornos de cumplimiento más allá del puerto y la IP. Busque aquellos que puedan crear políticas a nivel de proceso, usuario y nombre de dominio.
Todo esto no solo proporciona el mejor punto de partida para implementar iniciativas de Zero Trust, sino que también significa que el cumplimiento se vuelve mucho más fácil como resultado de contar con mejor documentación e información en cada etapa.
Cuando se implementa Zero Trust, los datos pueden ser tratados de otra forma
Una vez que disponemos de visibilidad y contamos con una imagen precisa de nuestra red, podemos identificar fácilmente dónde se necesita protección. Las regulaciones de cumplimiento son muy claras acerca de qué datos están incluidos o quedan fuera del alcance de la reglamentación, y solo insisten en lo que se encuentra dentro. La seguridad perimetral hace imposible tratar de personalizar la seguridad en nuestro centro de datos, todo está protegido de la misma manera, y es ahí donde la microsegmentación y la confianza cero encuentra su lugar.
Si bien la seguridad perimetral hizo imposible distribuir la seguridad de manera diferente en todo su centro de datos, aquí es donde prosperan la microsegmentación y la confianza cero.
Con Zero Trust nuestra estrategia de seguridad puede reconocer que no todo es igual. Algunos datos o aplicaciones necesitan más seguridad y gobernanza que otros, y aunque ciertos activos tienen que ser vigilados y controlados de cerca, otros pueden quedar con controles mínimos.
Trabajando con el partner adecuado, las empresas pueden usar un firewall distribuido para priorizar dónde colocar su cumplimiento, dejando las tareas más esenciales para más tarde. Se pueden establecer reglas granulares, ya sean en el nivel de proceso o en función de la identidad del usuario, aplicando estrictamente unos micro perímetros alrededor de los sistemas y los datos que están dentro del alcance. Esta es una tarea mucho más fácil que “proteger todo, todo el tiempo”.
Demostrando el cumplimiento gracias a un entorno de confianza cero
Adoptar una mentalidad de Zero Trust es un mensaje inequívoco hacia los auditores de que estamos comprometidos. Una gran parte del cumplimiento es poder garantizar que, incluso en caso de incumplimiento, se han tomado todas las medidas razonables para garantizar que los datos están protegidos contra cualquier intento malicioso. Cada vez que se intenta un movimiento este-oeste, esta comunicación se revisa y verifica. Con esto vemos que la empresa nunca ha aceptado que las autorizaciones generales sean suficientes para garantizar una conexión segura y, gracias a la microsegmentación, se ha reducido el ataque tanto como es posible. Este proceso también ofrece un mecanismo de auditoría por el cual la respuesta y documentación es algo mucho más sencillo en caso de una brecha.
Como tal, su empresa nunca ha asumido que los permisos amplios son suficientes para garantizar una conexión segura, y con la microsegmentación, ha reducido la superficie de ataque tanto como sea posible. Este proceso también proporciona una pista de auditoría, lo que hace que la respuesta a incidentes y la documentación sean mucho más simples en caso de incumplimiento.
Considere asociarse con un proveedor que incluya monitorización y análisis, así como detección y respuesta a incidentes, para reducir de este modo la posibilidad de sufrir un ciber ataque y crear un plan para enfrentarse a cualquier suceso que viole las políticas o que sugiera que ha habido un intento malicioso. Con ello no solo mejoramos de forma notables nuestras posibilidades ante un ataque, sino que también ayudamos crear una sólida lista de verificación del cumplimiento.
Los días de depender de controles basados en el perímetro para cumplir y garantizar la seguridad han quedado atrás. En un mundo donde los modelos Zero Trust están ganando mayor aceptación y mejorando la postura de seguridad, las empresas necesitan esforzarse para demostrar que cumplen con las últimas normas.
El marco Zero Trust reconoce que las amenazas internas son ahora casi una realidad, y las empresas deben proteger los datos confidenciales y las principales aplicaciones con algo más que únicamente defendiendo el perímetro. Seguir cumpliendo con la normativa es un criterio importante para medir la seguridad de su infraestructura, y Zero Trust es un modelo efectivo para que ese cumplimiento se consiga.