Red Seguridad 097

96 red seguridad segundo trimestre 2022 monográfico zero trust A la vista de los incidentes de cibersegu- ridad observados últimamente, cada vez más organizaciones están planteándose utilizar aproximaciones denominadas “de confianza cero” en sus redes y sistemas. Y esto es perfectamente razonable porque, tal y como nos advierten los diferentes organismos involucrados en la ciberseguridad nacional, el número y sofisticación de los ataques han aumen- tado, haciendo que la visión tradicional de la seguridad no esté preparada para responder a un entorno tan dinámico y cambiante. Por eso, aproximaciones de confianza cero son clave y se pueden uti- lizar en la práctica optando, entre otros, por la estandarización y la certificación como mecanismos para su adopción. Verificar siempre El modelo de seguridad de confianza cero lo compone un conjunto de prin- cipios orientados a prevenir ataques y pérdidas de datos. Se basa en que los modelos de seguridad tradicionales que presuponen que todo lo que se encuen- tra dentro de una red es confiable ya no son válidos. Arraigado este principio de “nunca confiar, siempre verificar”, la confianza cero está diseñada para proteger el en- torno digital. Sirvan como ejemplo algu- nas de sus principales consideraciones: Asumir que el entorno TIC es hostil y no confiable por defecto. Identificar componentes críticos en la infraestructura TIC, así como verificar y monitorizar todos los accesos. Proporcionar acceso solo a través de conexiones seguras, independiente- mente de la ubicación. Mantener un control de acceso estric- to, basado en la necesidad de cono- cer y de privilegio mínimo. Determinar los permisos de acceso según el nivel de confianza de la pe- tición: por ejemplo, el propietario de la cuenta, dispositivo, dirección IP o ubicación. Principios Debido a la creciente complejidad tec- nológica, las amenazas persistentes y las consideraciones geopolíticas, los gobiernos y la industria de las telecomu- nicaciones discuten aspectos como si se puede confiar y en qué grado y condicio- nes en la cadena de suministro. Con el fin de introducir un mecanismo objetivo en esta discusión, se necesitan directrices, criterios objetivos y meca- nismos de certificación. La exclusión de proveedores basados en aspectos no re- lacionados con la ciberseguridad, como el país de origen, socava un enfoque internacional basado en normas aplica- bles a todos, limitando la competitividad y la innovación en todo el sector. Por lo tanto, la confianza cero es una excelente herramienta. Incluso or- Confianza cero en entornos TIC G onzalo E rro I ribarren Responsable de privacidad y ciberseguridad de Huawei España