lunes, 5 de marzo de 2018

La confianza es ciega y peligrosa

Cuando la confianza sale a la palestra la mesa se divide en dos bandos. Mientras que por un lado mucha gente opina que el ser humano es confiado por naturaleza, algo marcado por su carácter social y su necesidad de sobrevivir en sociedad; por otro lado algunos opinan que el ser humano tiene tendencia a ser desconfiado y no da nada por hecho.


Esta división de opiniones será, probablemente, algo que perdurará en el tiempo pero, tal y como muestran las noticias, en el mundo de la ciberseguridad más nos valdría andarnos con más ojo. Desde CIGTR queremos poner el foco en la entrevista realizada por TechRepublic y ZDNet a Bill Man, director de productos en Centrify, en la que explica su punto de vista de cómo las empresas necesitan adoptar un modelo de cero confianza si quieren protegerse contra los ciberataques. 

Debido a la gran importancia que ha cobrado la confianza en cualquier tipo de relación, tanto personal como profesional, suena chocante que un profesional de la ciberseguridad de la talla de Bill Mann venga a hablarnos sobre el modelo de cero confianza. Según Mann nuestra tendencia a confiar demasiado nos ha llevado a confiar en modelos de seguridad que en realidad no nos ayudan: “Antes solíamos confiar en que el firewall iba a mantener alejados a los malos, pero la realidad es que los malos ya están en nuestro entorno. Además, la realidad es que tenemos muchos trabajadores móviles y outsourcing de TI y estamos usando estadísticas e infraestructuras como servicios, por lo que los peligros se encuentran actualmente dentro de los muros que los firewalls estaban protegiendo previamente.”

Según la forma que tiene Bill Mann de entender el panorama actual, no consiste en dejar de confiar sino en dejar de confiar implícitamente para comenzar a confiar explícitamente. Para mejor entendimiento, Mann pone un ejemplo: “Cuando estás en casa y duermes en la cama, confías intrínsecamente en tu entorno porque la puerta de entrada está cerrada, las ventanas están cerradas, etc... Pero imagínate ahora que las ventanas estaban abiertas y las puertas estaban abiertas. ¿Cómo pensarías sobre la seguridad en casa? Y me gustaría pensar que probablemente pondríamos un candado en la puerta de nuestra habitación, ¿verdad? Y esa es una especie de mentalidad en la que el profesional de TI tiene que pensar ahora también.”

A pesar de que el modelo que plantea Mann es fácilmente entendible, resulta complicado imaginar a empresas empresariales de gran escala cambiar las bases de seguridad en las que se han basado en el pasado. Para explicar la facilidad de este proceso Mann nos da las claves para entender los distintos componentes claves del modelo de confianza cero y cómo funcionan: “El primer componente se basa en implementar en nuestro entorno una mejor forma de entender quién es ese usuario. La tecnología es como la autenticación de múltiples factores. Nos puede ayudar a entender quién es esta persona en particular que viene al medio ambiente.”

Una vez entendido este primer paso hay que entender la importancia de conocer el dispositivo con el que el usuario se conecta a la red: “Asegurémonos de que no tenga ningún tipo de vulnerabilidad. Se trata de garantizar que ese punto final que se utiliza para conectarse a tu entorno tenga una cierta seguridad, y es digno de entrar dentro del entorno. 

Una vez conocemos quien es ese usuario y cuál es el dispositivo con el que se está conectando a nuestra red aparece el tercer elemento. Mann se refiere a limitar los accesos y privilegios de los usuarios a los recursos: “Si Bill es un vendedor y no un gerente regional, no debería poder ver todo dentro de la empresa. Del mismo modo, si Jane es un desarrollador de TI y solo tiene alcance para hacer la administración de Oracle, solo debería poder hacer la gestión de Oracle. No debería poder iniciar sesión en una cuenta de ruta y hacer otros cambios, etc.”

El modelo que plantea Mann consiste en un aprendizaje constante que requiere continuas adaptaciones, pero si el entorno es cambiante ¿por qué no deberían serlo nuestras estrategias de seguridad? El modelo de confianza cero tiene el objetivo de que te sientas seguro dentro de tu propio entorno y que cada uno de los elementos de tu red hayan pasado un análisis previo que te permita confiar, con total seguridad, en cada uno de ellos. 

0 comentarios:

Publicar un comentario