¿Se puede establecer una estrategia Zero Trust?
La adopción de una estrategia Zero Trust es hoy en día esencial. Zero-Trust —»nunca confíes, verifica siempre»— surge como respuesta a la insuficiencia de los modelos tradicionales basados en perímetros fijos. Para hablar sobre ello y con el apoyo de Ping Identity y Transparent Edge, Byte TI organizó un encuentro que contó con la participación de Javier Santos, Director corporativo de seguridad de la información de Santa Lucía Seguros; Manuel Asenjo, CIO y CISO de Broseta; Daniel Damas, CISO de Nationale Nederlanden; Guillermo Arias, Strategic Account Executive de Ping Identity; Esther Muñoz, Subdirectora General de Ciberseguridad, Protección de datos y Privacidad de Madrid Digital; Luis Beute, Chief Commercial Officer en Transparent Edge; Juan María López, Director de Tecnología e Innovación de Grupo Martínez Abolafio.
Amenazas en aumento y cada vez más sofisticadas. La ciberseguridad es un pilar fundamental en la estrategia de cualquier empresa ya que que garantiza la continuidad operativa, la reputación corporativa y el cumplimiento legal.. Con el aumento del trabajo remoto, la migración a la nube y la proliferación de dispositivos IoT, los CISOs deben garantizar que cada acceso, transacción y usuario sea validado de forma continua. Esto implica implementar controles de identidad robustos, segmentación de redes y monitorización en tiempo real. Pero más allá de la tecnología, Zero-Trust demanda un cambio cultural: desde la alta dirección hasta el último empleado, todos deben entender que la seguridad es una responsabilidad compartida.
No obstante, adoptar este modelo no es sencillo. Los CISOs tienen obstáculos como la integración de soluciones heredadas, la escasez de talento especializado y la presión por equilibrar seguridad con agilidad operativa. La colaboración es asimismo otro aspecto a tener en cuenta a la hora de desarrollar una estrategia de estas características.
En este contexto, Guillermo Arias, Strategic Account Executive de Ping Identity explicó que su compañía “es una empresa de seguridad que protegemos la presencia online de los clientes. Nacemos de la fusión de dos empresas Ping Identity y ForgeRock. Bajo ese nombre, ofrecemos la ventajas únicas, entre las que se cuentan capacidades innovadoras en CIAM y de identidad del personal, como la protección contra fraudes y riesgos, la verificación de identidad, la identidad descentralizada, la autorización detallada, la gestión del ciclo de vida y la gobernanza y administración de identidades (IGA)”.
Ya entrados en la importancia de establecer una estrategia Zero Trust, Esther Muñoz, Subdirectora General de Ciberseguridad, Protección de datos y Privacidad de Madrid Digital aseguró que “esta estrategia es un concepto muy genérico que hay que ver dónde se aplica. La clave es que es el gobierno de la identidad, que creo que es lo más atacado. Por la identidad hay muchos ataques exitosos. Pero por otro lado, no sólo afecta a los robos de datos sin que también puede bloquear una institución. La identidad es lo primero, no sólo vale saber que es quien dice ser, sino el contexto y desde donde se está produciendo. Los accesos son también otro problema. Para mi la clave de Zero Trust en definitiva es el gobierno de identidad y de accesos. Su ventaja es que se puede aplicar a todo, porque la seguridad va de desconfianza”.
Por su parte, Javier Santos, Director corporativo de seguridad de la información de Santa Lucía Seguros, afirmó que “cuando veo Zero Trust, creo que el problema es que los sistemas son heterogéneos y aquí un problema asociado que es que para poder establecer un modelo Zero Trust real tienes que ser intrusivo porque tengo que establecer mis criterios para que los pueda gestionar un tercero. Las contraseñas están obsoletas y se aplica el doble factor, que también es intrusivo y no se puede extender a todos los modelos”.
Para Juan María López, Director de Tecnologia e Innovacion de Grupo Martínez Abolafio, “hay mucha falta de cultura y formación. Hay un choque directo con negocio porque al final te ven como alguien que les impide crecer. Al final se trata de falta de conocimiento y lo que se está planteando es que la tecnología es muy fácil, pero no se está transmitiendo la importancia de la ciberseguridad. El usuario es y será el eslabón más débil, pero sin una formación y una cultura de la ciberseguridad es importante tenerla”.
Por su parte, Daniel Damas, CISO de Nationale Nederlanden, afirmó que “la cultura tiene que estar en el centro de todo. A nadie nos enseñaron a ser pesimistas, con lo que todos somos optimistas y creemos que nunca nos va a pasar nada. Cuando alguien llega al departamento de seguridad es cuando empieza a ser pesimista. El mayor problema de implementar cualquier medida de seguridad es el tema de la confianza. Los empleados incluso te dicen que no confías en ellos y yo siempre respondo que no confío ni en mi mismo”.
En este sentido, Esther Muñoz afirmó que “el CISO tiene que ser desconfiado por naturaleza, Si no lo es, entonces no sirve para esa posición. El problema es que la mayoría de las personas no sabe ni entiende que hay un problema y que corren riesgos”.
Manuel Asenjo, CIO y CISO de Broseta, por su parte, afirmó que “nosotros somos un despacho de abogados y para nosotros la credibilidad es fundamental y si sufrimos un ciberataque exitoso, entonces perdemos clientes. Por eso es importante que todo el mundo sea consciente de la importancia que debe tener la ciberseguridad, algo que sucede en Broseta, donde todos, desde dirección al último empleado están concienciados sobre su importancia”.
Retos de las empresas
Las organizaciones se enfrentan a diferentes tipos de desafíos y el de la ciberseguridad es uno de los más importantes. Tal y como expuso Guillermo Arias, “hay varios retos. Por una parte está la concienciación, pero no toda la estrategia de la empresa debe estar basada en esa. Por otra parte, la tecnología es fundamental también. Para mi, la clave es qué hace un CISO cuando está compitiendo con el resto de compañías. Esa dicotomia entre soy muy seguro y no vendo o al revés, el CISO debe ser capaz de transformarlo en una oportunidad”.
El problema es que, como afirmó Manuel Asenjo, “cada vez es más difícil porque hay más factores que impactan en la ciberseguridad”.
Luis Beute, Chief Commercial Officer en Transparent Edge, consideró que “hay factores intrínsecos a la empresa como la concienciación o la falta de alineación entre CIOs y CISOs. Otra cosa que nos piden nuestros clientes es la capacidad de reacción: los ataques no están escritos en un manual. Todas las semanas hay ataques nuevos y ahí nos piden capacidad de reacción cada vez que se enfrentan a un ataque. Esto deriva en tener mecanismos de analítica avanzada para poder frenar estos ataques”.
Nivel de implementación de Zero Trust
La estrategia Zero Trust es compleja de implementar por lo que no todas las empresas la tienen desarrollada en su totalidad. En el caso de Broseta, Manuel Asenjo explicó que “nosotros intentamos ser muy firmes con la seguridad por lo que el modelo Zero Trust está implementado y no tenemos problema. Me falta poner un PAM, quitar la VPN, pero la clave principal es que los jefes y directivos entiendan el problema”.
Finalmente, Esther Muñoz explicó que “Madrid Digital gestiona todo 110.000 PCs, 130.000 móviles, tabletas, miles de personas trabajando, soluciones en la nube, etc. Yo parto de Zero Trust y lo que más nos preocupa para los portales de difusión, la parte de la identidad en un entorno con más de 180.000 trabajadores es complicado de gestionar . Si a eso le unes que también das servicio a los ciudadanos de la Comunidad de Madrid y a entidades como colegios u hospitales implica que para ir a Zero Trust tengo que quitarme el legacy y centralizarlo”.
Powered by WPeMatico
