Ciberseguridad: “Hay que proteger la información allá donde esté, se acabó el perímetro”

Últimamente las compañías han experimentado muchos cambios, sobre todo en lo referente a la ciberseguridad, un ámbito clave en toda la transformación que estamos viviendo.

Es frecuente la tónica de hablar y debatir sobre el panorama actual de la seguridad digital en las compañías, sobre todo en los tiempos que corren y con el foco en lo que es una de las principales tendencias del sector: el modelo Zero Trust. El hecho de que los empleados, dispositivos, aplicaciones y datos ya no tengan fronteras hacen que sea más relevante que nunca revisar esas estrategias de ciberseguridad.

En este webinar, Mónica Valle, periodista especializada en TI, cuenta con la participación de un grupo de expertos del sector que se prestan a compartir su punto de vista y a debatir sobre los riesgos que se están enfrentando últimamente en cuanto a la ciberseguridad y definirán de manera precisa qué es el ya tan conocido Zero Trust.

Principales riesgos que se enfrentan

La situación que estamos viviendo lo ha acelerado todo. Según Isaac Carreras, Director de Ciberseguridad de IaaS365: “Considero que, como principal riesgo de seguridad, enmarcaría la velocidad a la que se están produciendo los cambios provocado por esta transformación digital. Algunas compañías podrán aceptar estos cambios mediante, por ejemplo, el teletrabajo”. Y añade: “La necesidad también ha hecho que la adopción de soluciones cloud sea un hecho innegable. Pero con todo esto, es critico entender los peligros que hay cuando iniciamos ese camino hacia la cloud, los modelos de servicio y despliegue”.

“Los fabricantes deberían de ofrecer un mínimo de seguridad en el desarrollo de sus productos”.

¿Están cambiando los parámetros de ciberseguridad?

Mario García, Country Manager de CheckPoint España, por su parte, cree que “esta pandemia ha traído la necesidad imperiosa de poner a todo el mundo a teletrabajar y las empresas no estaban preparadas”. Esto ha llevado a que la seguridad, una vez más, se haya quedado en un segundo plano al tener que poner a todos los empleados a trabajar en remoto.

Insiste en que hay que cambiar de forma radical la mentalidad sobre quién accede a nuestra información corporativa. La situación que nos envuelve a hecho que ahora sea más fácil que nunca atacar a cualquier usuario; es más, ha habido un aumento masivo de ataques a nivel personal.

“El Zero Trust es una filosofía que viene a ayudar enormemente en como podemos plantear la ciberseguridad. Hay que proteger la información allá donde esté, se acabó el perímetro”, añadió Isaac Perez.

Chesco Romero Ciborro, Director de Seguridad en el Servicio Extremeño de Salud, defendía que “en el panorama actual no se concibe ya la idea de que todo lo que queda dentro del perímetro de control es confiable y lo que está afuera malicioso. Ahora es muy importante tener en cuenta el número de dispositivos que se conectan a la red, por lo que la superficie de exposición, y como consecuencia, la superficie de ataque ha aumentado exponencialmente.

Principios fundamentales en los que se basa el Zero Trust

Gabriel Moline, Director de Seguridad de Leroy Merlin España afirmaba: “Vamos a ser incapaces de volver al modelo que teníamos antes. Esto es una realidad que nos va a acompañar de ahora en adelante: tendremos a la mitad, por lo menos, de nuestros trabajadores en remoto. La filosofía Zero Trust es algo nuevo pero es un driver para poder llegar al negocio y poder transmitir la proporcionalidad de la seguridad en función de lo que queremos proteger”.

Intentando definir, de la manera más precisa posible, el modelo Zero Trust se diferencian tres pilares fundamentales: los usuarios, los dispositivos y los accesos que se asignan a los usuarios. La posibilidad de conectarse a cualquier dispositivo es una realidad que va a permanecer.

“El reto se vera en los servicios SaaS, disponemos de nuevos canales para la venta, para comunicarnos con nuevos canales de usuarios que hace dos o tres meses no pensaríamos que necesitaríamos. No ha cambiado solo desde dónde nos conectamos sino cómo nos conectamos, quien hace de pasarela a nuestra información”, matiza Moline.

¿Qué retos se enfrentan desde la Administración Pública?

“El modelo Zero Trust no deja de venir a recoger lo que teníamos antes que es la defensa en profundidad. No te limites a pensar que por tener una capa de protección con eso basta y no te hace falta nada más. No puedes confiar la seguridad de un activo a que haya otras capas que te protejan”, explica Ignacio Pérez, CISO en Aragonesa de Servicios Telemáticos.

Este modelo tiene una pequeña trampa intrínseca que, los administradores, cuando lo aplican, tienen que ser conscientes. “Cuando alguno cree que no existe perímetro yo lo veo como una falacia. Claro que existe perímetro, solo que no es rígido. Es algo dinámico”, añadía Ignacio Pérez.

“No es cuestión de niveles de confianza sino de niveles de riesgo. El Zero trust va de reducir la exposición”.

Isaac Pérez intervino para detallar lo importan que es interiorizar el concepto de que “el perímetro no es que no exista, es que esta en todos los sitios”. Y añadió: “Hay que explicar lo importante que es cifrar, es algo que tendría que adoptarse por defecto”.

“Hemos superado la fase de cifrar las comunicaciones, vamos a pasar a la fase de cifrar los datos aunque estén en reposo y tengamos en cuenta en el desarrollo que la información debe de ser protegida cuando se está procesando”.

Jorge Sanz, Cybsecurity Specialist en el sector de la automoción, quiso aclarar que el modelo Zero Trust no va a ser para nada un impedimento para el usuario, al contrario, “va a ser mucho más uniforme y más homogénea su forma de conectar sin olvidarnos de que hay que involucrar al usuario siempre para que entienda lo que hace, como lo hace y como pude proteger a la empresa”.

“Es muy importante la concienciación, pero no solo por evitar un ataque en sí, sino porque a todos nos pasa que cuando nos ponen una norma si no la comprendemos es mucho más difícil que la cumplamos a rajatabla. Si los usuarios encuentran un barrera y no entienden por que esta ahí, van a intentar saltarla. Y al saltarla van a abrir un agujero de seguridad mucho mas grande que el que estábamos tapando con esa barrera”, comentaba Modesto Álvarez experto en ciberseguridad en SERESCO.

“La seguridad no es un producto, es un proceso”

“Se ha generado mucho debate sobre todo lo que hay en el entorno pero internamente nos lleva a una reflexión de lo que podríamos mejorar. Se ha debatido mucho acerca del usuario final, pero es nuestro primer mecanismo de defensa, es parte del Zero Trust. Por eso hay que transmitirle al usuario que lo necesitamos en el carro. Si la seguridad busca ser intrusiva, vamos a hacerla intrusiva: vamos a meter factor de autenticación o intentar buscar clientes, pero si explicamos por qué lo hacemos y lo engranamos en nuestra infraestructura de negocio no tiene por qué engañar”, apuntaba Gabriel Moline.

¿Zero Trust significa no confiar en los empleados?

A modo de conclusión y como cierre de la mesa de debate, José Manuel Rodríguez, CIO en el sector de ingeniería, dijo que “el modelo Zero Trust no va de no confiar en los empleados sino de no delegar en ellos la responsabilidad de la seguridad. En definitiva, la manera en la que ha cambiado la forma en la que los empleados trabajan experimentando un cambio de paradigma”.

“Lo primero que hay que hacer es parar y ver hacia donde queremos ir, ver qué camino necesitamos recorrer. Al final hay que pensar como el atacante, él solo busca un agujero para entrar. Precisamente por eso no podemos olvidarnos de la vulnerabilidad de los dispositivos” matizaba Chesco Romero.

“El foco está sobre nosotros, tenemos la responsabilidad de educar al usuario”.  

Zero Trust va de tener medidas preventivas, intenta establecer unas medidas de prevención para evitar ciertos incidentes. El problema de la tecnología es conceptual, tenemos el conocimiento pero el problema es situar la ciberseguridad dentro de los organismos de dirección.