Por: Ryan Schwartz, Product Marketing Manager, IBM Security
¿De cuántas formas diferentes pueden estar comprometidos los datos? En primer lugar, los datos pueden ser el blanco tanto de amenazas externas como internas. Las amenazas externas pueden presentarse en forma de malware o ransomware, mientras que las amenazas internas pueden provenir de agentes internos malintencionados que se escudan detrás de cuentas confiables. Estos agentespueden convertirse en una amenaza con solo hacer clic en un enlace de phishing o dejándose engañar por un ataque de ingeniería social. La falta de una actualización de la base de datos o una configuración incorrecta podrían ofrecer los ciberatacantes la brecha por donde filtrarse en los sistemas de una organización. La confianza cero es un marco que debería abordar todos estos posibles vectores de ataque.
De hecho, según el informe Cost of a Data Breach de 2021, las organizaciones que no han puesto en marcha un programa de confianza cero enfrentaron costos de filtración de datos que promedian los US$ 5,04 millones globalmente. Aquellas con un mayor nivel de “madurez” en cuanto a confianza cero tuvieron un costo US$ 1,76 millones menor a nivel mundial. Incluso las empresas en la “etapa inicial” de implementación de tal iniciativa reportaron un costo US$ 660.000 menor. En resumen, la confianza cero puede mitigar el impacto de una filtración, pero dado que solo el 35% de las organizaciones alrededor del mundo han implementado este framework, es fundamental comprender en qué consiste y de qué manera puede ayudar.
De Cero a Héroe: seguridad dinámica de datos
Eslóganes como “nunca confíes, siempre verifica” solo insinúan lo que es la confianza cero. La confianza cero es la evaluación continua de cada conexión (incluyendo su postura y necesidades de seguridad) para acceder a los recursos dentro de la empresa. Estas conexiones pueden ser de los empleados, socios, clientes, contratistas u otros usuarios. Pero las conexiones también pueden significar dispositivos, aplicaciones o incluso redes. La confianza cero envuelve una defensa alrededor de cada conexión de una manera dinámica, ajustando los derechos de acceso y otros privilegios según el estado de riesgo.
Dado que la identidad, seguridad de datos, inteligencia sobre amenazas y otras herramientas críticas brindan un contexto constante de cada usuario, dispositivo y conexión, se puede crear un perfil que identifique quién o qué puede ser un riesgo. Pero a menudo la cuestión no es tanto identificar quién es un riesgo sino más bien quién no lo es.
Consideremos el trabajo remoto, por ejemplo. Millones de empleados ahora acceden a datos desde redes del hogar utilizando dispositivos desconocidos. Si bien, un empleado determinado puede no haber representado una amenaza en la oficina, su perfil de riesgo podría cambiar en el nuevo contexto del trabajo remoto. La tendencia típica sería bloquear el acceso a la red y a las aplicaciones corporativas para ese usuario.
Continúa funcionando sin interrupciones
Sin embargo, otro aspecto de la confianza cero es que les permite a las empresas seguir funcionando en forma fluida y, al mismo tiempo, garantiza su seguridad. De esta manera, ese mismo empleado que representa un riesgo, necesitaría que se volvieran a examinar sus privilegios de acceso. Para mantener la seguridad, el sistema debe realizar esta verificación del modo más preciso posible. Se pueden ajustar los privilegios para que coincidan con los niveles de riesgo que cambian según el contexto. Ese contexto, a su vez, se actualiza verificando los datos de seguridad, el uso de la base de datos y aplicación, la ubicación, y otros detalles y registros pertinentes sobre el usuario.
La confianza cero va más allá de la conducta binaria de “bloquear” o “permitir”. Significa que los usuarios que el sistema considera de menor riesgo aún pueden acceder a las herramientas mínimas necesarias para completar sus tareas. A medida que los usuarios representan un menor riesgo, se les puede otorgar más libertad en los datos a los que acceden. O al contrario, a medida que se vuelven más riesgosos, se puede tomar medidas directas para limitar su acceso o alcance.
Priorizar la seguridad de los datos con confianza cero
Al definir la confianza cero, debería parecer obvio dónde entra en juego la seguridad de los datos. No se trata de una herramienta más en el framework, sino de una pieza fundamental. El descubrimiento y la clasificación de datos, el monitoreo de la actividad de los datos, el análisis de seguridad de los datos y la integración con la identidad, la inteligencia de amenazas y las herramientas de respuesta brindan una cobertura de confianza cero de extremo a extremo.
Al descubrir dónde residen los datos confidenciales, podemos desarrollar políticas de gobierno y seguridad de los datos que cumplan con los objetivos de seguridad, cumplimiento y privacidad. Primero podemos monitorear y proteger las fuentes de datos confidenciales. Esto proporciona un flujo constante de datos para ayudar a un motor de análisis a generar conocimientos prácticos y otorgar un puntaje en función del nivel de riesgo. Entonces, ese motor puede actuar sobre estos conocimientos directamente. O puede compartirlos con las partes interesadas clave que gestionan la seguridad y el negocio. De esta manera, las personas pueden modificar las políticas y orquestar una respuesta amplia a las amenazas de datos de forma continua.
Es vital que otras herramientas supervisen la red, los endpoints o el acceso de los usuarios. Sin embargo, es la plataforma de seguridad de datos la que detecta comportamientos extraños directamente relacionados con datos sensibles. Si un usuario hace clic en un enlace sospechoso y descarga software malicioso para teléfonos inteligentes, eso sin duda es peligroso.
Pero, ¿Qué tan peligroso es?
Cómo trabaja Zero Trust junto con otras plataformas
La respuesta se relaciona con el modo en que se puede incorporar la confianza cero a otras plataformas. El monitoreo de la actividad de los datos y el análisis de seguridad de los datos deben registrar y analizar las acciones de ese usuario en muchas fuentes. Si ese usuario tiene acceso a credenciales privilegiadas, una plataforma de seguridad de datos debe integrarse con herramientas de gestión de acceso privilegiado para descubrir si ese usuario ha utilizado esas credenciales para hacer algo sospechoso. Si ese es el caso, las herramientas de seguridad de datos, que promueven aún más la confianza cero, deben enviar insights de riesgo accionables a una plataforma SIEM o SOAR para que se notifique al equipo del centro de operaciones de seguridad mientras realiza un seguimiento de la amenaza potencial en sistemas internos.
Sin herramientas de seguridad de datos implementadas, el framework de confianza cero no se puede sostener bien. Pero si lo que las personas están haciendo con sus datos se convierte en un punto ciego, saber qué usuarios presentan el mayor riesgo de una violación de datos se vuelve más difícil. Y ese es un problema que ninguna organización se puede permitir.
