La seguridad Zero Trust

La seguridad Zero Trust

La seguridad Zero Trust 1000 667 Centro de Ciberseguridad Industrial

Zero Trust o Confianza Cero es la solución de ciberseguridad que está revolucionando el escenario actual en un momento en el que el acceso a los sistemas se produce en tiempo real, desde cualquier dispositivo y ubicación. Una inmediatez más que positiva para el funcionamiento del entorno industrial pero que sin duda, arroja importantes riesgos en cuanto a la ciberseguridad se refiere.

Hacer los procesos más seguros, eficientes y rentables posicionando a la empresa en un entorno muy competitivo, impulsa al conocimiento del proceso.

Desconfiar, al menos a priori, de cualquier usuario o dispositivo que intente acceder a algún recurso de gestión del proceso independientemente de si es propio de la Organización o externo, debe ser ya toda una pauta obligatoria y firmemente instaurada. Para ello, bastará con implementar la solución de ciberseguridad comúnmente conocida como Zero Trust (Confianza Cero). ¿Qué es, qué implica y cómo ejecutarla?

¿Qué es el modelo “Zero Trust”?

Zero Trust es una estrategia de seguridad basada en la filosofía de no confiar en nada dentro o fuera del perímetro de red. Ninguna persona o dispositivo dentro o fuera de la red de una organización debe tener acceso para conectarse a los dispositivos y sistemas hasta que se considere explícitamente necesario, a pesar de haberse conectado en alguna ocasión anterior.

*Para poder conectarse debe requerirse de autenticación de usuario antes de otorgar acceso a los recursos de la organización

La seguridad Zero Trust proporciona la visibilidad y el análisis de los comportamientos de acceso de los usuarios, a pesar de que sean autorizados. Para tal paso, el dispositivo así como la red desde la que se está accediendo debe ser verificado para poder utilizar la conexión.

Ventajas del modelo Zero Trust

El modelo Confianza Cero está mas que probado y es que bloquear accesos que puedan suponer cualquier tipo de riesgo es el primer paso para evitar ciberincidentes. Algunas de las ventajas de implantar un modelo de seguridad Zero Trust son:

Garantizar la confianza en los accesos a los sistemas y dispositivos de proceso asegurando que cada uno de ellos se conecta de forma segura desde cualquier lugar
Reducir el riesgo de posibles amenazas que puedan impactar en el proceso poniendo en peligro su seguridad
Disponer de una monitorización y registro en tiempo real que proporciona información precisa del comportamiento de la red y sus dispositivos. Así se detectan potenciales amenazas y se puede promover acciones preventivas para su mitigación.
● Gracias a Zero Trust también se hace mas sencillo el proceso de gestión de privilegios, pudiendo retirar los accesos a los usuarios que terminan su relación contractual con la empresa o modificarlos para los que cambian sus funciones.
Gestión de privilegios de acceso para identificar las autorizaciones que cada usuario debe disponer en función de las responsabilidades de su puesto de trabajo, así como las altas – bajas y modificaciones que cada usuario requiera.

¿Cuáles son los principios de la política Zero Trust?

Los principios en los que se asienta la solución Zero Trust en ciberseguridad industrial son variados a la vez que sólidos y efectivos. Sin ellos, es imposible la puesta en marcha de esta técnica.

  • Verificación continua de los accesos a los sistemas y dispositivos de la red industrial, No se confiará en ningún momento en ninguno de los usuarios ya registrados. Se realizará una comprobación constante.
  • Autenticación multifactor de los usuarios, requiriendo más de una evidencia para autenticar el usuario: como son datos biométricos, una contraseña de un sólo uso, un código enviado a un dispositivo móvil… La intención es obligar al usuario a utilizar dos elementos de autenticación de identidad previamente facilitados.
  • La segmentación de la red industrial, dividiendo los perímetros de seguridad en zonas reducidas y concretas que requieran políticas de seguridad específicas. El objetivo es restringir su acceso y bloquearlo en caso de amenaza sin afectar al resto de los equipos. Lo que implica que un usuario con acceso a una zona no podrá penetrar a zonas adicionales sin autenticarse nuevamente, reduciendo así el riesgo de ataques de movimiento lateral.
  • Asignar a los usuarios, por defecto, los privilegios mínimos para limitar los derechos de acceso a los sistemas otorgando así sólo los estrictamente necesarios para hacer el trabajo en cuestión. Los derechos de acceso serán revisados en caso de que su responsabilidad en el puesto de trabajo lo requiera y autorizados por el responsable del sistema al que el usuario debe acceder.
  • Analizar y registrar comportamientos en los accesos y uso de la red, en cuanto a dispositivos, direcciones IP, protocolos de comunicación para poder detectar posibles amenazas.

Así como la implantación de un sistema de gestión para la ciberseguridad industrial puede resultar complejo, ocurre de igual forma en la ejecución de un modelo de seguridad Zero Trust. Esta tarea como parte de las políticas de seguridad de la empresa enfocadas a llevar a cabo la protección de los activos industriales garantizarán una mayor seguridad del proceso industrial, una reducción del número de incidentes y, en consecuencia , de los daños que pueden ocasionar.

Máster Profesional Online de Ciberseguridad Industrial

Recomendaciones de implementación de una política Zero Trust

Uno de los puntos más delicados a la hora de poner en marcha en una compañía una política de Confianza Cero suele ser cómo los usuarios existentes lo van a percibir. Además, pueden sucederse otra serie de actitudes o incidentes que siempre hay que tener en cuenta para minimizarlos y, en cada caso, convertirlos en oportunidades (eliminando la amenaza interna).

Activos

Conocer los activos industriales que disponemos y sus características es el primer paso que nos permite identificar las amenazas y vulnerabilidades a las que nos enfrentamos. De ahí, será más fácil proponer las acciones que debemos desarrollar para su protección.

En el levantamiento del inventario se debe conocer si el dispositivo permite el acceso de usuarios y si dispone de conectividad de red, dos aspectos claves para afrontar el modelo Zero Trust.

Gestión de usuarios

Un procedimiento en la organización debe estar siempre disponible para validar las solicitudes de acceso. Evitar bloqueos será siempre un objetivo prioritario en la implementación de la solución.

Su responsable debe comprender por qué se solicita dicho permiso y si la persona a la que se le asigna el acceso dispone de la formación necesaria para llevar a cabo la actividad, siendo el encargado de su revisión y aprobación.

Acceso usuarios

La confianza en el acceso de los usuarios no es suficiente si no lleva implícita y se realiza una verificación previa.

La verificación correcta de la identidad del usuario debería estar basada en las identidades del directorio de la organización, examinadas y validadas por el departamento de Recursos Humanos. El engranaje debe estar perfectamente conectado para funcionar.

Se asignarán cuentas de usuario de acceso nominativas, cada una de las cuales deberá pertenecer a un grupo. Cada grupo tendrá igualmente definido un rol o perfil de acceso permitiendo administrar privilegios basados en grupos en lugar de individuos.

Los perfiles deben tener el nivel de privilegio necesario para realizar determinadas tareas en el sistema de control y automatización y solo durante el tiempo necesario para realizar la misma.

En algunos casos de cuentas privilegiadas y por la criticidad del acceso, se puede requerir el uso de una contraseña de un sólo uso (envío de código de acceso a un dispositivo externo para su validación por el usuario). La contraseña estará disponible hasta completar la acción o tarea a realizar en los sistemas de producción.

Equipos y sistemas

Se deberá administrar los accesos a los equipos y sistemas de control y automatización basándose en la ubicación e identificando las localizaciones que serán válidas para realizarlo (por ejemplo desde el Centro Global de Operaciones, oficinas centrales o cualquier otra ubicación que haya sido identificada previamente como requerida para una mejor gestión del proceso).

También es posible que solo se acepten accesos a los sistemas y equipos críticos desde máquinas específicas (por ejemplo sin acceso a Internet o al correo electrónico, al igual que desde redes determinadas y con conexiones securizadas, tipo VPN).

*No todas las ubicaciones y no todas las redes serán permitidas para el acceso a los sistemas de producción.

Monitorización

Será obligatorio registrar toda la actividad realizada durante una conexión privilegiada ya sea en fichero o grabación en vídeo para disponer de la información relativa a las acciones ejecutadas en la sesión.

Además se deberá asegurar que la conexión es de confianza y que la actividad realizada corresponde a los permisos asignados. En un momento dado puede ser de máxima utilidad detectar riesgos durante la conexión y para análisis forense posterior.

Formación

Sin duda alguna, será imposible configurar y llevar un correcto funcionamiento de la solución Zero Trust si el equipo no cuenta con la formación adecuada. Todos los empleados de la organización deben estar al tanto de la actividad y concienciados de su importancia. Este nuevo modelo traerá cambios en la operativa diaria y es fundamental el que todos estén al tanto de los procedimientos a seguir para el acceso a los sistemas.

Esta formación deberá ser periódica y adaptada a la evolución de la tecnología aplicada en el entorno de producción de la Empresa así como al equipo humano que la compone.

La Escuela del Centro de Ciberseguridad Industrial (CCI) con los cursos, talleres y Máster, programados anualmente así como las formaciones ad-hoc en cliente, ayudan al conocimiento y formación de las políticas, normas, modelos y soluciones para la gestión de la ciberseguridad en las organizaciones industriales.

Todo el conocimiento necesario para la implementación de una solución Zero Trust se puede adquirir cursando el Máster Profesional Online de Ciberseguridad Industrial de CCI. La próxima edición ya está en periodo de matriculación y arrancará el 19 de octubre de 2023. ¡Plazas limitadas!

Máster Profesional Online de Ciberseguridad Industrial

 

 

AutorAntonio Rodríguez Usallán

Experto Ciberseguridad Industrial – Profesor Escuela CCI

LinkedIn: https://www.linkedin.com/in/antonio-rodriguez-usallan-66407613?originalSubdomain=es