Para muchos de nosotros, que una violación de datos cope los grandes titulares de los diarios ya no es una sorpresa. Sin embargo, sí que vuelve a reforzar el mensaje de que es fundamental proteger los datos y saber exactamente quién tiene acceso a ellos y cuándo. Esto es particularmente importante en el contexto del nuevo Reglamento General de Protección de Datos (RGPD) y otras regulaciones, ya que se empieza a apremiar a las empresas que no cumplen con estas normas. En este sentido, ¿de qué forma pueden las organizaciones implantar políticas que les permitan adecuarse a la legislación?
El reto está en que los ciberataques suelen presentarse de diversas formas y tamaños, aunque existe un número sorprendente de violaciones de datos que continúan realizándose mediante el uso indebido de privilegios (más del 80 por ciento, según el Informe Forrester PIM Wave 2018). Las organizaciones necesitan tener visibilidad, no solo de todos los datos y dónde están registrados, sino también de quién tiene acceso a ellos, desde empleados y contratistas hasta terceros proveedores. La aplicación de un modelo Zero Trust, o Confianza Cero, permitirá a las compañías tomar medidas para lograrlo.
El modelo Zero Trust se basa exactamente en lo que su nombre sugiere. No se puede confiar en nadie cuando se trata de identidad, accesos y datos. Las organizaciones no deben relajarse a la hora de permitir un acceso completo y total a los datos de la empresa. Esto no significa, por supuesto, que nunca deba concederse a los usuarios un acceso privilegiado a los recursos de la red, ya que sería inviable; pero debe existir un plan de seguridad que les exija constantemente no solo probar quiénes son, sino también demostrar que tienen tanto la necesidad como la autorización de acceder a esos recursos sensibles antes de que se les conceda la entrada. A diferencia de esto, otros paradigmas o modelos de seguridad actuales asumen que la actividad es legítima hasta que se demuestre lo contrario: sin embargo, más vale prevenir que lamentar.
Con un sistema holístico Zero Trust se asume que ninguna actividad es legítima por defecto. Todo requiere una prueba en contrario antes de permitir el acceso privilegiado a los recursos sensibles. Zero Trust exige la verificación de credenciales, identidad y permisos. Es importante señalar que el modelo no da por hecho que todos los usuarios son malos actores, sino que simplemente requiere que se proporcione una «prueba positiva» para confirmar que el acceso está autorizado.
Cada usuario, un riesgo
Aunque las empresas son cada día más conscientes de la necesidad de hacer las cosas bien, en el incierto y cambiante panorama de hoy en día mantener la competitividad y la rentabilidad es más difícil que nunca. Todas las personas con las que se trabaja son un potencial riesgo para la seguridad: desde los empleados, socios, proveedores y subcontratistas, hasta los contactos de logística y de la cadena de suministro. Aunque ellos mismos no sean conscientes.
La realidad es que ninguna organización, ya sea grande o pequeña, es inmune a las violaciones de datos. Y todos los sectores, desde las finanzas y el gobierno hasta la manufactura y el comercio minorista, necesitan salvaguardar los datos. Ninguna organización quiere ser la siguiente en salir en los titulares de los periódicos, y como ya demostró la filtración de datos de Capital One, el impacto financiero puede ser millonario, sin olvidar toda la credibilidad que se pierde y el fuerte impacto sobre la reputación de la compañía.
Mal uso de los privilegios
El último Informe de Investigación de Violación de Datos de Verizon muestra un incremento en el mal uso de los privilegios, confirmando la amplitud del problema y el riesgo de este tipo de brechas de seguridad. Mientras que en algunos casos estos ataques pueden realizarse de forma deliberada por parte de los empleados, también pueden ser los ciberdelincuentes los que roben las credenciales privilegiadas de aquellos sin que lo sepan (lo que significa que incluso los empleados más confiables pueden causar daño, por ejemplo, simplemente haciendo clic en un enlace malicioso).
Con ‘Zero Trust’, las organizaciones pueden combatir las amenazas tanto externas como internas, no solo salvaguardando el negocio, sino también dando a los empleados paz mental para trabajar
Si volvemos a fijarnos en la violación de datos que sufrió Capital One, se trataba de un cortafuegos mal configurado que permitía a los ciberdelincuentes robar los datos de usuarios privilegiados, dándoles acceso a números de cuentas bancarias, números de seguridad social y aplicaciones de tarjetas de crédito. Con un modelo Zero Trust, esta amenaza puede ser eliminada.
Desafortunadamente, la amenaza del mal uso de cuentas privilegiadas no desaparecerá pronto. Es más, con la transición, de la noche a la mañana, de una gran parte de los empleados al teletrabajo debido a la pandemia, la amenaza no hará más que crecer. Ya estamos viendo que los informes de la industria confirman un aumento de los ciberataques. Dado que las empresas tienen que gestionar a sus trabajadores a distancia, a los nuevos empleados que pasan directamente al trabajo virtual, los calendarios de permisos y la mano de obra temporal, es imperativo que las organizaciones mantengan la seguridad de los datos. No desplegar medidas de Zero Trust podría tener implicaciones muy serias, como un empleado remoto que no use una conexión segura o una llave USB aprobada y que accidentalmente invite a un malware a entrar al sistema.
El modelo ‘Zero Trust’
A través de un modelo Zero Trust, las organizaciones pueden combatir las amenazas tanto externas como internas, no solo salvaguardando el negocio de los daños financieros y de reputación, sino también dando a los empleados la paz mental para continuar trabajando libremente sin la preocupación de que puedan estar causando daños sin saberlo.
Con una plataforma de gestión de accesos privilegiados que siga el modelo de Zero Trust, las organizaciones no solo podrán verificar el acceso en función del usuario, sino que también podrán reforzar la seguridad teniendo en cuenta otros requisitos, como la hora del día o la ubicación del usuario, evidenciando cualquier pista falsa. Esto permite a las organizaciones crear sus propios filtros, dando a los empleados la libertad de seguir trabajando, con acceso a los datos que necesiten, cuando los necesiten, pero bajo una red de seguridad añadida.
El simple hecho de dar a todos los usuarios acceso total a los datos es una negligencia, y los ciberdelincuentes buscarán las maneras de explotarlo. Las organizaciones son ahora responsables de ello, y tienen el deber de proteger los datos de los clientes, así que es imperativo que empiecen a reforzar su seguridad contra el abuso de privilegios.