1 190 Table of Contents 192 236

Seguritecnia 493

obligación de “buscar soluciones que cubran el perímetro desde cualquier dis- positivo y desde las propias casas o sedes remotas”. “Eso hace que los fabricantes veamos una necesidad de limitar ese silo de soluciones creadas en función de si- tuaciones concretas”, manifestó. Componentes de ‘Zero Trust’ Además del cambio de modelo laboral, los invitados explicaron en qué consisten las políticas de Zero Trust . Según aldón, esta estrategia se fundamenta en cuatro pilares: “la identidad del usuario, la segu- ridad del propio dispositivo, la definición de una política de acceso mínimo a los recursos y la monitorización de la activi- dad del usuario”. Larrea añadió otros dos elementos: “de- finir cuál sería la superficie de exposición” y “proteger el dato”. “Es muy importante ver cómo interactúan los usuarios con el dato y tener herramientas que sean ca- paces de identificar y saber dónde están esos datos, porque en muchos casos no sabemos dónde encontrarlos”, enfatizó el representante de Forcepoint. A este respecto, Muñoz Grandes dio también relevancia “a la posibilidad de actuar en tiempo real para poder poner en cuarentena un dispositivo que tenga un comportamiento anómalo”. “Esto últi- mo también es el reto, saber qué es un comportamiento anómalo y, a partir de ahí, implementar soluciones de inteligen- cia”, observó el CEO de S21Sec. No solo identidad El encuentro puso de manifiesto, no obs- tante, que las políticas Zero Trust no solo están centradas en el acceso del emplea- do a la red corporativa. También lo están con otros aspectos como la navegación o el correo electrónico, que han de man- tener la misma filosofía de desconfianza de todo lo que suponga tráfico en la red. No en vano, “a día de hoy no se puede diferenciar la navegación del acceso a la información o del propio desempeño de los usuarios”, sostuvo Larrea. El represen- tante de Forcepoint señaló que “es funda- mental establecer controles en el tráfico web, tanto a través de las soluciones tra- dicionales que están en las oficinas como de aquellas en la nube”. En torno a esto último recomendó complementar Zero Trust con soluciones SASE ( Secure Access Service Edge ) que “permiten unificar todo el tráfico en la nube como un servicio de seguridad y aplica políticas de control de la navegación, de acceso o de uso acep- table por la compañía”. Para aldón, que coincidió con la idea de Larrea, “ Zero Trust es una evolución tradicional de la protección web”. Es más, los conceptos de este modelo también pueden aplicarse a otros ámbitos como el correo electrónico.“Vemos casos de estafa a clientes que reciben correos aparentemente legítimos o estafas que utilizan direcciones muy similares a los de una compañía para estafar a terce- ros”. Se trata de mantener la posición de desconfianza con lo que llega por correo. Experiencia de usuario Aun con lo dicho, Zero Trust tiene también sus inconvenientes, pues requiere la inte- racción del usuario y puede ralentizar el desempeño de procesos de acceso a la red. Sin embargo, como defendió Muñoz Grandes, “el coste de sufrir un incidente por tener pérdidas es muy superior a la exigencia de esas políticas de seguridad”. aldón consideró al respecto que “es fundamental que las soluciones de segu- ridad sean compatibles con la labor del empleado”. “Es peligroso que el usuario no perciba que la seguridad trabaja para facilitarle las cosas, por ello tenemos que desplegar soluciones que les faciliten el trabajo”, reflexionó este profesional. Larrea también concluyó que es com- plicado aplicar controles sin afectar al usuario, “entre otras cosas, porque le blo- queas ciertas actividades y le complicas la vida para, por ejemplo, el acceso”. De ahí que la tendencia deba ser implantar “soluciones de seguridad unificadas” y “herramientas que aprendan el compor- tamiento del usuario y detecten desvia- ciones de su trabajo normal”. Como colofón, Muñoz Grandes des- tacó la importancia de la formación y la concienciación. “Cualquier despliegue de tecnología tiene que ir acompañado de concienciación, para que los empleados pasen de ser opositores a ser colaborado- res con esas políticas, porque entienden para qué sirve y los riesgos de no aplicar- las”, apostilló el CEO de S21Sec. / Enero-Febrero 2022 183

RkJQdWJsaXNoZXIy ODM4MTc1