La vulnerabilidad más débil de su organización no es un sistema sin parches, una contraseña fácil de adivinar o un equipo de seguridad asediado.
En cambio, la vulnerabilidad más importante es algo mucho más amplio y difícil de gestionar: la confianza.
En las últimas semanas hemos asistido a una avalancha de ciberataques que utilizan una mezcla de exploits y se dirigen a diversos sectores que utilizan la confianza para quebrantar la seguridad de las organizaciones:
- En Ataque de SolarWinds utilizó un sistema de actualización de confianza para instalar código malicioso en hasta 18.000 organizaciones, entre ellas el Pentágono, el Departamento de Seguridad Nacional, la Administración Nacional de Seguridad Nuclear, hospitales e importantes medios de comunicación.
- La semana pasada, una nueva campaña orquestada por el mismo grupo que está detrás de SolarWinds (Nobelium) hackeó el proveedor de correo electrónico de U.S. AID, Constant Contact, para enviar correos electrónicos con URL maliciosas a aproximadamente 3.000 cuentas en más de 150 grupos internacionales de desarrollo y derechos humanos.
- Los hackers están aprovechando cambiando COVID-19 restricciones para enviar correos electrónicos falsos "de" directores de información para robar las credenciales de los empleados.
(No sabemos con certeza si el grupo que obligó a JBS Foods cerrará sus operaciones en EE.UU. y Australia recurrieron a tácticas similares, pero seguiremos la historia para ver qué papel desempeñó la confianza).

En todos estos exploits, los delincuentes envían enlaces o instalaciones desde un sitio supuestamente infectado. fuente de confianza. Adaptarse a esto puede ser todo un reto: en una sociedad compleja, remota y que trabaja desde cualquier lugar, tenemos que confiar en nuestros colegas, proveedores y sistemas para hacer nuestro trabajo, hacer pedidos, realizar y recibir pagos.
Los usuarios necesitan confianza. Pero las organizaciones no pueden permitírselo. En Internet, la confianza puede ser un gran lastre.
Hemos hablado de Confianza cero antes: no es un número de pieza ni un producto. No hay SKU para ello ni formulario de pedido rápido para comprarlo.
En cambio, «Zero Trust» es un principio; es un mentalidad que los equipos de seguridad deberían empezar a desarrollar. En términos generales, el modelo ‘Zero Trust’ es la clásica filosofía del «privilegio mínimo», pero ampliada a una escala mayor. Es una forma de encontrar el equilibrio adecuado entre costes y beneficios para proteger lo que más importa sin ralentizar a los usuarios ni perjudicar al negocio.
Una de las formas más eficaces de avanzar hacia El modelo «Zero Trust» consiste en dar prioridad a la identidad y recuerde que la gestión del acceso a la identidad (IAM) y la administración del gobierno de la identidad (IGA) son amplias. Se aplican a sus usuarios, recursos, aplicaciones y Tus proveedores: para aplicar el modelo ‘nunca confíes, verifica siempre’ de Zero Trust, debes empezar por establecer políticas de gobernanza que garanticen el acceso adecuado a los usuarios correctos y mantener una lista actualizada de sus funciones y privilegios. Las empresas necesitan formas mejores, más rápidas y más inteligentes de realizar un seguimiento y controlar esa información.
De nuevo, IAM e IGA son expansivos: los recientes hackeos de Nobelium subrayan la necesidad de inventariar todos los sistemas y accesos y proporcionar una autenticación sólida. Los sistemas basados en la nube para toda la empresa, como Office 365, Salesforce, Slack y Constant Contact, necesitan una autenticación más sólida, autenticación basada en el riesgo para garantizar seguridad en la nube y proteger tanto las identidades personales como el material sensible de las organizaciones. Además, los ataques demuestran también la necesidad de que las empresas eliminen su vulnerabilidad al robo de contraseñas y credenciales de acceso (y obtengan ahorros significativos) mediante la adopción de medidas como las siguientes sin contraseña.

Al identificar, gestionar y reducir el nivel de confianza que depositamos en los usuarios y los recursos, podemos sacar partido de nuestras conexiones y limitar el daño que estas pueden causarnos a nosotros, a nuestros compañeros y a nuestras empresas. En definitiva, el modelo «Zero Trust» no es un destino: es un camino que recorremos, en el que aprendemos y reaprendemos constantemente las concesiones que debemos hacer en un mundo digital. Cada vez más, se está convirtiendo en un camino que merece la pena recorrer.