Pasos prácticos para lograr la confianza cero

Pasos prácticos para lograr la confianza cero


La confianza es un concepto interesante. Considere «¿confía en esta persona?» o «¿haría negocios con esta organización?». La confianza es algo que se puede desarrollar con el tiempo, pero por dónde empezar, porque sin confianza, no harías nada.

Al final, se reduce a la comprensión del riesgo y la exposición de una situación y los controles que podrían implementarse para mitigar el riesgo y la exposición, o al menos reducir el riesgo y la exposición a un nivel aceptable.

Cero confianza en el contexto de una empresa u organización es actualmente un tema candente, pero ¿qué significa? En esencia, la situación predeterminada es que no se confía en nada fuera o dentro de la red de una organización y, por lo tanto, se deben establecer controles para reducir el riesgo a un nivel aceptable. En otras palabras, defensa en profundidad.

Están en juego dos factores de confianza principales: las personas y la tecnología, y existe una interacción entre ellos. El punto de partida para estos factores de confianza es un conjunto de políticas, estándares, procedimientos y prácticas de trabajo bien pensado y actualizado, complementado con documentación de red detallada e inventarios de activos (información, licencias de software). , hardware, etc.)

Consideraciones tecnológicas en cero confianza

Mirando el lado de la tecnología, comencemos con el tráfico entrante a una red desde una fuente externa, como Internet o una red asociada. Por lo general, esto se controla inicialmente en el perímetro mediante una combinación de firewalls diseñados con zonas desmilitarizadas (DMZ) que admiten servidores proxy, servidores proxy inversos y equipos de terminación que ofrecen correo electrónico, red privada virtual (VPN) y terminación de acceso de clientes desde redes externas y navegación web de Internet desde la red interna.

Estos dispositivos proxy y de terminación normalmente ejecutarían tecnologías antivirus, de malware y de prevención de spam y, cuando sea necesario, proporcionarían servicios de autenticación y autorización de acceso (AAA) (proxy de un sistema AAA interno). Cortafuegos a nivel de aplicación (por ejemplo, HTML, SQL) también podría aparecer en los servicios ofrecidos en la DMZ. Los dispositivos de seguridad de la próxima generación de varios proveedores integran algunas o todas estas características y, por lo tanto, pueden ofrecer a los administradores de red una visión unificada de sus operaciones.

El diseño de la red interna puede agregar más controles, como la segregación de la red y tecnologías adicionales de detección de antivirus y malware, junto con controles AAA sobre el acceso al sistema y a los archivos. A menudo, el elemento humano forma el control final, ya sea alguien que recibe un correo electrónico o navega por Internet. La efectividad de este control final depende de la educación y de una cultura organizacional solidaria y sin culpa. De nuevo, esto es defensa en profundidad.

En la segregación de redes, la práctica recomendada es que los servidores y servicios clave (como NAS y SAN), los empleados de la empresa y los invitados tengan sus propias redes Wi-Fi y, en organizaciones más grandes, se puede pensar en poner algunos departamentos en sus propias redes . Todas estas redes se conectarían entre sí a través de la tecnología de firewall, que podría ser firewalls discretos, o utilizar las capacidades de firewall que se encuentran en los conmutadores Ethernet de nivel empresarial, o conectarse a un firewall de múltiples puertos a nivel empresarial, o una combinación de todos Tres enfoques.

La función de estos firewalls internos es proporcionar aislamiento de las otras redes, permitiendo la conectividad basada en la dirección IP y el filtrado de puertos. También se podrían incluir funciones adicionales, como firewalls a nivel de aplicación o capacidades de proxy. La efectividad de la segregación de la red puede verse parcialmente afectada si las políticas y procedimientos de AAA son deficientes, no se aplican rigurosamente o se implementan de manera deficiente en los controles técnicos.

Cómo reducir el riesgo y mejorar la confianza

  • Las contraseñas deben ser seguras, un mínimo de ocho caracteres alfanuméricos e imprimibles combinados, 12 o más caracteres de preferencia y palabras no reconocibles.
  • Las identificaciones de usuario y las contraseñas deben mantenerse seguras, y debe existir una política de escritorio clara cuando las personas no estén en sus escritorios.
  • Los usuarios normales no deberían tener privilegios de administrador, incluso en la PC de su propia empresa.
  • Solo los técnicos autorizados deben tener identificaciones de usuario con privilegios de administrador y, aun así, deben recibir dos identificaciones, una normal para las funciones diarias (correos electrónicos, redacción de informes, etc.) y otra limitada a tareas administrativas. Se debe pensar en utilizar un servidor de «salto» para tareas administrativas.
  • Las tecnologías de autenticación de dos factores deben explorarse y, cuando se considere necesario, implementarse.
  • El acceso y la autorización a la red, los sistemas y los archivos de la empresa deben basarse estrictamente en el principio de privilegio mínimo que permita a una persona hacer su trabajo. Ningún usuario debe estar en condiciones de acceder a todos los archivos y sistemas de la compañía, solo aquellos relacionados con su trabajo y la información general de la compañía. Las funciones de acceso a archivos también deben ser limitadas. Por ejemplo, si se requiere acceso de solo lectura a un archivo, solo se debe otorgar acceso de lectura. La antigüedad de una persona no debe anular estos principios.
  • Perfiles de usuario variables. Se recomienda que los perfiles de acceso de los usuarios se modifiquen automáticamente en función de dónde acceden a la red de una empresa, por ejemplo, un perfil de acceso completo si se accede desde una PC de la empresa conectada directamente a una red de la empresa, pero acceso limitado cuando se accede desde una PC que no es de la empresa por ejemplo, la PC de la casa de una persona o un cibercafé o la PC del hotel. El acceso desde lugares públicos y redes públicas de Wi-Fi también debe restringirse, pero menos si se trata de un dispositivo de la empresa a través de un enlace VPN cifrado. Tenga en cuenta que el acceso al navegador https podría tener el mismo privilegio que el acceso encriptado VPN cuando existe una autenticación mutua utilizando certificados X.509 específicos de la compañía. La autenticación de dos factores debe considerarse nuevamente.
  • Si bien debe haber una cultura sin culpa dentro de la empresa, los usuarios deben ser responsables de sus acciones, como mantener su identificación y contraseñas seguras.
  • La cultura debe ser solidaria y libre de culpa. Si un usuario no está seguro de qué hacer (tal vez recibe un correo electrónico de una fuente conocida pero con un archivo adjunto o enlace inesperado), debe saber que puede pedir ayuda y no sentirse culpable por haberlo pedido. Esto debería ser compatible con líneas de comunicación claras y publicitadas para permitir a los usuarios informar problemas o solicitar ayuda.
  • Se debe enseñar a los usuarios cómo pueden ayudar a mejorar la seguridad de una organización y esto se debe respaldar regularmente con recordatorios y campañas. Debe haber un registro de la educación dada para garantizar que todos (incluida la junta) participen en el programa.
  • Los talleres informales para ayudar a las personas a comprender la seguridad con énfasis en el hogar y su tecnología conectada a Internet es una excelente manera de lograr que las personas acepten más la seguridad, lo que a su vez mejorará la cultura de seguridad corporativa: un ganar-ganar
Deberías leer:   El viaje de Pelosi retrasa el anuncio de la planta de América del Norte del proveedor CATL de Tesla
Acerca de

Pilar Benegas es una reconocida periodista con amplia experiencia en importantes medios de USA, como LaOpinion, Miami News, The Washington Post, entre otros. Es editora en jefe de Es de Latino desde 2019.