'Zero Trust': buscando la ciberseguridad en un mundo sin barreras

No confiar en nada, a priori. Es cierto que como postura vital a más de uno podría parecerle algo radical pero en el ámbito de la ciberseguridad hoy en día parece ser la mejor estrategia.

Con un mundo en constante evolución en el que la digitalización no ha hecho sino borrar cualquier tipo de frontera, el enfoque 'zero trust' se impone en empresas y organismos públicos. Amenazas cibernéticas constantes y cada vez más sofisticadas han hecho necesario un cambio en el modelo de seguridad tradicional, basado en el perímetro, algo que hoy ya ni existe.

“El principal cambio es que hemos sacado al usuario del perímetro de seguridad de la empresa. Antes incluso se diferenciaba entre usuarios internos y externos; hoy esa diferenciación ya no sirve; usuarios son todos, se conecten y trabajen desde donde sea. Un cambio que ha hecho necesario que pasemos de una seguridad aperturista a todo lo contrario; a empezar de cero, con los equipos apagados y desconectados de la red para, poco a poco, ir dándoles los diferentes accesos y permisos estrictamente necesarios”, explicaba Jesús Feliz, gerente de Sectores Estratégicos en INCIBE.

Y, aunque el concepto de 'zero trust' hace tiempo que “vive” entre los especialistas en ciberseguridad, siguen existiendo empresas que desconocen los elementos esenciales que deben tener en cuenta al implementar y mantener una estrategia de seguridad 'zero trust' en toda la corporación.

Una mayor concienciación

“No sé si ha sido a golpe de palos pero es verdad que hace unos años había responsables de empresas que aún te decían que a ellos no les iban a atacar por que no eran una gran corporación y no tenían nada de valor. Hoy todos son ya conscientes de que están en el punto de mira de los ciberdelincuentes, que si no han sufrido algún ataque todavía, seguramente lo van a sufrir y eso se ve claramente en cómo la inversión en ciberseguridad no deja de aumentar”, apuntó Fernando Urien, responsable de Ciberseguridad Edge en SEIDOR.

Fernando Urien, responsable de Ciberseguridad Edge en SEIDOR. Cristina Villarino

Más conscientes de la necesidad de protegerse pero también de que esa protección no puede suponer un obstáculo para los propios usuarios, recalcaba en ese sentido Daniel Rodríguez, director general de Redtrust. “Poco a poco todos, proveedores y organizaciones, nos hemos dado cuenta de que no podíamos seguir por el camino de complicarle la vida al usuario, que la ciberseguridad debía ser algo sencillo y transparente para él. Al usuario le da igual qué es una VPN o la criptografía asimétrica. La tecnología que hay detrás no debe importarle ni tan siquiera conocerla, lo que sí tiene que hacer, lo que tenemos que lograr, es que este concienciado en la importancia de seguir determinados procesos y de los riesgos de no hacerlo”, añadía.

Una concienciación que pasa por la formación, como en este punto de la conversación defendía Santiago Anaya, Global Chief Technology Officer at Cipher, compañía de Prosegur. “Cuando abordamos la ciberseguridad hay que hacerlo con un enfoque holístico que también tenga en cuenta aspectos como el conocimiento, la formación, el factor humano, etc. porque la seguridad no es solo poner candados, es formar y concienciar a los usuarios y por eso mismo la ciberseguridad no puede ser igual para todos y cualquier estrategia, 'zero trust' incluida, tiene que adaptarse a cada empresa, a su nivel tecnológico y de formación de sus empleados”.

Santiago Anaya, Global Chief Technology Officer at Cipher, compañía de Prosegur. Cristina Villarino

Otro aspecto igualmente decisivo es la unión de esfuerzos, como casi reclamó Fernando Urien, desde SEIDOR. “Hoy en día y con la adopción de la nube aún más nos encontramos con un reto añadido: controlar el uso de herramientas y aplicaciones por parte de los usuarios sin el conocimiento o consentimiento del departamento de informática, el llamado ‘shadow IT’ y este no es sino una consecuencia de que, desde el área de ciberseguridad, al usuario le hemos dicho que no a todo lo que nos pedía hacer sin más, sin ayudarle y acompañarle”.

Una situación a la que hay que sumar que, según Urien, durante años, los propios responsables de ciberseguridad han creado silos, diseñando una estrategia distinta para securizar las infraestructuras, las redes, etc. dentro de cada empresa. Por ello, reflexionaba, “hoy es más necesario que nunca que vayamos todos a una y dejemos de hacer cada uno la guerra por su lado”.

Daniel Rodríguez, director general de Redtrust. Cristina Villarino

La adopción de la nube fue también analizada en el evento, una realidad que, como explicaba Daniel Rodríguez, de Redtrust, “podría suponer un riesgo al pasar de 'zero trust' a “all trust” ya que muchas empresas al migrar a cloud están dejando en manos del proveedor todos sus datos, confiando su gestión y el acceso a los mismos sin más”. Por ello, añadía, “no solo se trata de tecnología; hay que saber utilizarla y sobre todo configurarla. Sé que no es una tarea baladí y por eso hay que contar con expertos, en este caso en cloud, algo que nos lleva a la escasez de talento y a una asignatura pendiente, incluso, en mi opinión como país: generar esos perfiles expertos”.

La regulación, necesidad e impulso

El impulso regulatorio en ciberseguridad es innegable y en los últimos años las normas tanto españolas como europeas no han dejado de ver la luz. El reglamento europeo, las directivas NIS y NIS2, el Esquema Nacional de Seguridad, el Reglamento General de Protección de Datos... El listado es tan amplio como variado y, todos coincidieron, necesario.

“La regulación es esencial, entre otras razones, por que ayuda a las empresas a fortalecer su estrategia de ciberseguridad. Eso sí, no debería ser coercitiva sino ejemplarizante”, afirmó Jesús Feliz, el gerente de Sectores Estratégicos en INCIBE.

Jesús Feliz, gerente de Sectores Estratégicos en INCIBE. Cristina Villarino

Requisitos a los que Santiago Anaya, de Cipher (Prosegur), añadía la especialización. “Es cierto que regular es básico pero también es cierto que muchas veces es imposible, como empresa, adaptarse a determinadas normas y que si no lo logran no tienen más opción que “morir”. Por eso yo creo que debe darse una regulación especializada, específica para cada sector y entorno”.

Con esa necesidad de normas específicas se mostraba también de acuerdo el director general de Redtrust que apuntó además que “la regulación es también una vía de destapar las vulnerabilidades o problemas, un inicio de cómo hacer las cosas bien también para proveedores como nosotros. En definitiva, te obliga a cumplir con la normativa si quieres seguir operando y comercializando tus soluciones o servicios”.

“Al menos tienen que existir unas bases mínimas que cumplir y si no las cumples, como proveedor, no vendes. 'zero trust', en definitiva”, coincidía el responsable de Ciberseguridad Edge en SEIDOR.

El impacto de la inteligencia artificial

Y, como conclusión, una mirada al mañana que ya comienza a dibujarse hoy, el impacto de la inteligencia artificial en la ciberseguridad hacía reflexionar a todos que, sin bien consideraban que aún es pronto para ver casos de uso reales, sí pensaban en que la IA iba a suponer un antes y un después, también en este ámbito.

Una opinión que resumía el portavoz de INCIBE así: “La inteligencia artificial va a cambiar totalmente el paradigma actual de la ciberseguridad. Por ello es tan necesario regular su desarrollo, para proteger al usuario, pero también invertir en investigar sus posibilidades, las opciones que abre, y esto debería ser una postura estratégica para España, para no quedarse atrás frente a otros países”.

La ciberseguridad como una suma de formación, concienciación, regulación o tecnología pero sobre todo como una de las asignaturas más complicadas a las que se enfrentan hoy empresas, organismos y usuarios.

Jesús Feliz (INCIBE), Santiago Anaya (Cypher-Prosegur), Alberto Iglesias Fraga (D+I - EL ESPAÑOL), Daniel Rodríguez (Redtrust) y Fernando Urien (SEIDOR), durante el encuentro organizado sobre 'zero trust'. Cristina Villarino