Por qué los fundamentos de seguridad son la parte más ignorada al adoptar una estrategia de confianza cero
Los fundamentos de seguridad fallan por la misma razón que la mayoría de los objetivos de fitness de Año Nuevo.
Todo el mundo sabe qué hacer. Deberías comer mejor, dormir más y hacer ejercicio de forma constante. Nada de esto es controvertido ni nuevo.
Y, sin embargo, en febrero o marzo la mayoría de las membresías del gimnasio ya no se emplean.
La ciberseguridad funciona de la misma manera.
No seguimos sufriendo vulneraciones de seguridad porque los atacantes son infinitamente creativos. Sufrimos infracciones porque las organizaciones tienen dificultades para realizar las tareas básicas de manera consistente y a gran escala. Y Zero Trust, más que cualquier otro modelo de seguridad, expone lo difícil que realmente es eso.
Esa realidad estuvo en el centro de una conversación reciente en el podcast The Segment con Ross Haleliuk. Ross es el cofundador y director ejecutivo de una compañía emergente de ciberseguridad en modo oculto, el presentador del podcast Inside the Network , el autor de Cyber for Builders y la voz detrás del boletín Venture and Security , una de las perspectivas más consistentemente lúcidas de la industria.
Esta publicación explica por qué la seguridad Zero Trust tiene éxito o fracasa en los aspectos fundamentales y por qué esa brecha es a menudo lo que determina el verdadero impacto de una infracción.
El mito de la seguridad de “próxima generación”
Cada año, la industria inventa un nuevo lenguaje para describir la innovación en seguridad.
Pero, como lo expresó Ross, la mayoría de las infracciones no son el resultado de nuevas cadenas de ataques o exploits exóticos de día cero.
Más bien, son el resultado de:
- Credenciales predeterminadas que nunca se cambiaron
- Activos que nadie recordaba que existían
- Excepciones agregadas por conveniencia y olvidadas con el tiempo
- Redes planas que permiten el movimiento lateral una vez que un atacante ingresa
No se trata de fallos de última generación, sino más bien de fallos operativos simples.
Una estrategia de Confianza Cero no elimina mágicamente estos problemas. De hecho, los hace más visibles.
Zero Trust obliga a las organizaciones a afrontar preguntas que evitaron durante años: ¿Qué tenemos realmente? ¿Quién debería poder hablar con qué? ¿Qué pasa cuando algo sale mal?
Y es precisamente por eso que el modelo de Confianza Cero puede resultar abrumador.
Por qué los fundamentos de seguridad fallan a gran escala
Para hacer bien los fundamentos se necesitan tres cosas: compromiso, constancia y tiempo.
Lamentablemente, ninguna de estas estrategias se adapta de forma natural al interior de las compañías modernas.
No se puede inventariar los activos una vez al año y llamarlo Confianza Cero. No se pueden revisar las licencias de identidad cada pocos trimestres y esperar que la contención funcione. No se pueden aplicar políticas de segmentación una vez y asumir que seguirán siendo válidas a medida que cambien los entornos.
Los fundamentos exigen repetición, y la repetición es costosa.
Es mucho más fácil comprar una herramienta que cambiar el modo en que los equipos operan día tras día. Y es mucho más fácil aprobar un proyecto que imponer disciplina en ingeniería, TI, operaciones y seguridad simultáneamente.
El modelo Zero Trust falla cuando las organizaciones subestiman el esfuerzo operativo necesario para sostenerlo.
Zero Trust es un problema de incentivos, no de conocimiento
Los equipos de seguridad tienen incentivos para reducir el riesgo. Se incentiva a los equipos de ingeniería a enviar código. Los equipos de TI tienen incentivos para cerrar los tiquetes rápidamente. Los equipos de ventas tienen incentivos para cerrar acuerdos.
Aquí es donde el modelo de Confianza Cero a menudo falla en la práctica. Nos gusta decir que la seguridad es tarea de todos. Pero en realidad, la seguridad es el único equipo que se mide por resultados de seguridad.
Esperar que otros equipos prioricen naturalmente los controles de Confianza Cero sin alinear incentivos no es realista.
Las políticas por sí solas no resuelven este problema. De hecho, a menudo crean más excepciones que medidas de cumplimiento.
Zero Trust tiene éxito cuando los equipos de seguridad aprenden a liderar a través de la influencia. Construyen relaciones, explican las compensaciones en términos comerciales y enmarcan los controles como facilitadores en lugar de bloqueadores.
Medir el éxito cuando las infracciones son inevitables
Esto también plantea la cuestión de cómo medimos los resultados de seguridad dentro de la compañía. Según Ross, las organizaciones a menudo no son muy buenas en esto.
Hizo referencia al experimento mental del problema del unicornio. Compras una caja que se ilumina si hay un unicornio en la habitación, pero no se ilumina. ¿La caja está rota o no había ningún unicornio? No se puede decir.
Si no se produce una infracción, ¿fue porque los controles funcionaron o porque nadie se esforzó lo suficiente?
Zero Trust no resuelve este desafío de medición, pero sí lo replantea.
El objetivo de la ciberseguridad moderna no es evitar las infracciones a toda costa, sino reducir su impacto, contenerlas y mantener la resiliencia del negocio.
Las organizaciones que invierten en aspectos fundamentales de manera constante aún pueden sufrir vulneraciones de seguridad. Pero cuando lo hacen, el movimiento lateral se ve restringido, la recuperación es más rápida, el daño a la reputación es menor y las conversaciones regulatorias son más racionales.
Demostrar el retorno de la inversión en seguridad hace que Zero Trust sea una decisión empresarial
El ROI de seguridad es notoriamente difícil de cuantificar, pero Ross ofreció un marco pragmático que se alinea bien con el pensamiento de Confianza Cero:
- Si la confianza del cliente está vinculada a los ingresos, la seguridad se convierte en un facilitador de ventas.
- Si el tiempo de inactividad amenaza las operaciones, la seguridad se convierte en una inversión de resiliencia.
- Si las normas de cumplimiento exigen pruebas, la seguridad se convierte en una apuesta segura.
En cada caso, Zero Trust trata de reducir los efectos de una violación cuando inevitablemente ocurren. Esto significa que el ROI de seguridad no se mide por los ataques evitados sino por la continuidad del negocio preservada.
Por qué los fundamentos de Confianza Cero importan ahora más que nunca
La infraestructura está más interconectada que nunca. Los entornos híbridos desdibujan los límites tradicionales. Los sistemas en la nube, locales y de terceros funcionan como una única superficie de ataque extendida.
En este mundo, la complejidad aumenta el riesgo.
Los fundamentos de Confianza Cero (incluida la visibilidad de los activos, el acceso con privilegios mínimos, la segmentación y la verificación continua) no son solo mejores prácticas, sino mecanismos de supervivencia.
Los atacantes no necesitan creatividad cuando las organizaciones les ofrecen caminos de menor resistencia. Explotan lo que ya existe y emplean IA para hacerlo prácticamente sin esfuerzo.
Centrar en lo fundamental no significa rechazar la innovación, sino más bien basarla en la realidad.
Y, como en el fitness, lo más difícil no es saber qué hacer, sino hacerlo mañana. Y el día siguiente. Y todos los días después.
Escuche el episodio completo de The Segment: A Zero Trust Leadership Podcast en Apple Podcasts, Spotify, o Nuestro sitio web.
%20(1).webp)
.webp)
.webp)
.webp)
