Confianza cero: Microsoft revela los 5 pasos para aplicar esta "mano dura" en seguridad informática
La confianza cero es una estrategia que consiste en implementar una serie de medidas de higiene que cualquier organización, pública o privada, debe adoptar para estar protegida y mitigar los riesgos en materia de seguridad informática.
"El modelo de confianza cero es una forma holística de pensar y de hacer realidad la ciberseguridad (…) tiene como mantra ‘nunca confío, siempre verifico’", afirmó Marcelo Felman, director de ciberseguridad de Microsoft para América latina. En la siguiente entrevista con iProfesional Felman explicó los cinco pasos para aplicar la confianza cero en una organización.
-¿Qué balance hace del año 2022 en materia de seguridad informática en la Argentina y América latina? ¿Cuáles fueron las prácticas delictivas informáticas que más crecieron respecto a 2021?
-Dependiendo de la región del mundo de la que hablemos, las cifras varían. Por ejemplo, en el último informe de defensa digital de Microsoft observamos que hubo un descenso en el número de casos de ransomware reportados en Europa y Norteamérica con respecto al 2021, mientras que los casos reportados durante el mismo periodo en América latina aumentaron, incluida la Argentina.
Sin embargo, la principal certeza que tenemos es que, a nivel global, y en América latina en particular, los ciberataques se encuentran en aumento. Según el informe, el número de ataques de contraseña aumentó un 74% en el último año.
Mientras que, en el mismo período, hemos tenido un incremento de 230% de ataques de "password spray", un tipo de ataque de fuerza bruta en el cual un atacante prueba la misma contraseña en varias cuentas antes de avanzar a otras y repetir el proceso.
De esta manera, no caben dudas que en estos tiempos la tendencia del cibercrimen es al alza. Lo que vemos es que los procesos de transformación digital y de rápida adopción de dispositivos con acceso a Internet han beneficiado enormemente la vida de la gente, pero al mismo tiempo ha incrementado considerablemente el campo de acción de los cibercriminales.
-¿Los peligros de seguridad informática en el sector privado se convirtieron en riesgos de negocio?
-Sin dudas que representan un riesgo para los negocios de cualquier organización, sin importar la rama de la actividad a la que pertenezca. Ninguna organización, por más grande o pequeña que sea está exenta de sufrir un ciberataque. Los principales motivos que preocupan a las organizaciones son:
- La disrupción operacional (la cual lleva de forma directa a pérdidas económicas en el sector privado).
- La pérdida de propiedad intelectual sensible.
- El impacto reputacional, normativo o regulatorio de un incidente de seguridad.
Estas consecuencias van mucho más allá de la tecnología y han vuelto a la ciberseguridad un tema a nivel de directorio.
-¿Qué es la confianza cero para Microsoft? ¿Por qué deben implementarla las empresas?
-Una estrategia de confianza cero consiste básicamente en implementar una serie de medidas de higiene que cualquier organización, pública o privada, debe adoptar para estar protegida y mitigar los riesgos en materia de seguridad informática.
El modelo de confianza cero es una forma holística de pensar y de hacer realidad la ciberseguridad. Este modelo tiene como mantra "nunca confío, siempre verifico" y se basa en tres pilares:
- Verificar explícitamente..
- Utilizar el menor privilegio posible.
- Asumir que ya fuimos comprometidos.
De esta forma, asumimos que todo intento de acceso proviene de un lugar inseguro hasta que se verifique lo contrario. Sin embargo, lo más importante que debemos tener en cuenta es que al implementar este tipo de enfoque, en conjunto con otras medidas básicas e higiene de seguridad, logramos cubrirnos contra el 98% de los posibles ciberataques.
-¿Cuál es la ruta de implementación de la confianza cero que recomiendan para las empresas? ¿Qué requisitos tecnológicos, de gestión y culturales deben tener en cuenta?
-Cualquier organización que decida implementar un enfoque de confianza cero debe seguir idealmente los siguientes cinco pasos:
- Fortalecer las credenciales: utilizar la autenticación multifactorial (MFA) en todo lugar, así como una guía de contraseñas fuertes, y continuar el camino hacia un ambiente sin contraseñas ("passwordless"). El uso adicional de la biometría asegura una autenticación rigurosa para las identidades de usuario.
- Reducir la superficie de ataque: deshabilitar el uso de protocolos antiguos y menos seguros, restringir el acceso a los puntos de entrada, adoptar la autenticación en la nube y ejercer un mayor control sobre el acceso administrativo a los recursos.
- Automatizar la respuesta ante las amenazas: aplicar MFA o bloquear el acceso riesgoso e implementar ocasionalmente un cambio seguro de contraseñas. Implementar y automatizar la respuesta y no esperar a que un agente humano responda ante la amenaza.
- Utilizar inteligencia de la nube: consultar My Microsoft Secure Score (un resumen numérico de la postura de seguridad de la organización basada en las configuraciones del sistema, el comportamiento de los usuarios y otras medidas de seguridad relacionadas). Monitorear y procesar los registros de auditoría para aprender de ellos y fortalecer las políticas con base en dichos aprendizajes.
- Empoderar a los colaboradores con autoservicio: implementar una restauración autónoma de contraseña, brindar acceso autónomo a grupos y aplicaciones y proporcionar a los usuarios repositorios seguros para descargar aplicaciones y archivos.
-Una vez implementada la confianza cero, ¿cómo deben mantenerla vigente las empresas que adoptan este criterio?
-Como mencionaba anteriormente, al adoptar una estrategia de confianza cero podemos protegernos contra el 98% de los ataques cibernéticos, pero ¿qué hacemos con el 2% restante de los ciberataques?
Voy a ser absolutamente honesto y decir que muchas veces debemos aceptar la vulnerabilidad de nuestras organizaciones y empezar a adoptar una postura de resiliencia digital.
Es decir, que debemos prepararnos para enfrentar a las amenazas en vez de evitarlas aceptando que la vulnerabilidad es inherente al trabajo híbrido y que debemos mejorar la resiliencia, limitando qué tan lejos puedan llegar los atacantes de ransomware; elevando la ciberseguridad a una función empresarial estratégica; y reconociendo que quizás ya cuentan con lo necesario para gestionar las crecientes amenazas e implementando funciones básicas de seguridad, como las que previamente mencionamos.