Red Seguridad 090
52 red seguridad tercer trimestre 2020 autenticación opinión 'Zero Trust': más vale prevenir que lamentar cuando se trata de ciberseguridad Luis Miguel García Responsable de Desarrollo de Negocio de Wallix P ara muchos de nosotros , que una violación de datos cope los grandes titulares de los diarios ya no es una sorpresa. Sin embargo, sí que vuelve a reforzar el mensaje de que es fundamental proteger los datos y saber exactamente quién tiene acceso a ellos y cuándo. Esto es particularmente importante en el contexto del nuevo Reglamento General de Protección de Datos (RGPD) y otras regulaciones, ya que se empieza a apremiar a las empresas que no cumplen con estas normas. En este sentido, ¿de qué forma pueden las organizacio- nes implantar políticas que les per- mitan adecuarse a la legislación? El reto está en que los ciberata- ques suelen presentarse de diver- sas formas y tamaños, aunque existe un número sorprendente de violaciones de datos que continúan realizándose mediante el uso inde- bido de privilegios (más del 80 por ciento, según el Informe Forrester PIM Wave 2018 ). Las organizacio- nes necesitan tener visibilidad, no solo de todos los datos y dónde están registrados, sino también de quién tiene acceso a ellos, desde empleados y contratistas hasta terceros proveedores. La aplica- ción de un modelo Zero Trust , o Confianza Cero, permitirá a las compañías tomar medidas para lograrlo. El modelo Zero Trust se basa exactamente en lo que su nombre sugiere. No se puede confiar en nadie cuando se trata de identidad, accesos y datos. Las organizacio- nes no deben relajarse a la hora de permitir un acceso completo y total a los datos de la empresa. Esto no significa, por supuesto, que nunca deba concederse a los usuarios un acceso privilegiado a los recursos de la red, ya que sería inviable; pero debe existir un plan de segu- ridad que les exija constantemente no solo probar quiénes son, sino también demostrar que tienen tanto la necesidad como la autorización de acceder a esos recursos sensi- bles antes de que se les conceda la entrada. A diferencia de esto, otros paradigmas o modelos de seguridad actuales asumen que la actividad es legítima hasta que se demuestre lo contrario: sin embar- go, más vale prevenir que lamentar. Con un sistema holístico Zero Trust se asume que ninguna activi- dad es legítima por defecto. Todo requiere una prueba en contrario antes de permitir el acceso privi- legiado a los recursos sensibles. Zero Trust exige la verificación de credenciales, identidad y permisos. Es importante señalar que el mode- lo no da por hecho que todos los usuarios son malos actores, sino que simplemente requiere que se proporcione una "prueba positiva" para confirmar que el acceso está autorizado. Cada usuario, un riesgo Aunque las empresas son cada día más conscientes de la necesi- dad de hacer las cosas bien, en el incierto y cambiante panorama de hoy en día mantener la competiti- vidad y la rentabilidad es más difícil que nunca. Todas las personas con las que se trabaja son un potencial riesgo para la seguridad: desde los empleados, socios, proveedores y subcontratistas, hasta los contac- tos de logística y de la cadena de suministro. Aunque ellos mismos no sean conscientes. La realidad es que ninguna orga- nización, ya sea grande o pequeña, es inmune a las violaciones de datos. Y todos los sectores, desde las finanzas y el gobierno hasta la manufactura y el comercio mino- rista, necesitan salvaguardar los datos. Ninguna organización quiere ser la siguiente en salir en los titu- lares de los periódicos, y como ya demostró la filtración de datos de Capital One, el impacto financiero
Made with FlippingBook
RkJQdWJsaXNoZXIy ODM4MTc1