Hace unos 18 meses escribía sobre “el interminable viaje hacia Zero Trust”. Utilicé la palabra interminable porque, más que un producto o un destino, Zero Trust es un objetivo al que aspirar. Como ocurre con muchas cosas en materia de ciberseguridad, se trata de una evolución constante. Hay que adaptarse para sobrevivir y prosperar en el entorno. Incluso la idea de Zero Trust ha tenido que evolucionar con el paso de los años.
Cambiando con el tiempo
El juego del gato y el ratón, una carrera armamentística… hay muchas formas de describir cómo la seguridad siempre ha consistido en adaptarse y evolucionar para adelantarse a las amenazas. Los delincuentes experimentan constantemente para anteponerse a sus potenciales víctimas. Esto es exactamente lo que ha impulsado tanta innovación en el sector desde que se produjo el primer ciberataque de la historia.
Ni qué decir tiene que las herramientas de seguridad que se consideraban referentes cuando empecé mi carrera hace 35 años no serían rival para una banda de ciberatacantes moderna. No sólo han tenido que evolucionar las herramientas, sino también la mentalidad; ha tenido que cambiar nuestra forma de pensar en la seguridad y la manera de utilizar las herramientas que tenemos a nuestra disposición.
Zero Trust es un buen ejemplo de ello. Antes la seguridad se limitaba al perímetro, como un foso alrededor de un castillo, pero una vez que entrabas, ya estabas dentro. A medida que más y más empresas de todo el mundo han adoptado Zero Trust como práctica, esto ha cambiado. Ahora las medidas de seguridad tienen que estar dentro y fuera; las puertas se cierran con llave, se exige una prueba de identidad y no se permite el acceso a determinadas áreas si no es necesario. Pero la evolución nunca se detiene.
Presentando Zero Trust Data Resilience
Incluso los modelos de Zero Trust más utilizados tienen algunos defectos en el entorno moderno. En concreto, carecen de cualquier tipo de orientación en sectores esenciales como el backup y la recuperación de datos. Esta carencia es significativa, ya que los recientes ataques suelen dirigirse a los repositorios de copias de seguridad. Por ejemplo, según el Informe de Tendencias de Ransomware 2023 de Veeam, el ransomware tuvo como objetivo los repositorios de backup en al menos el 93% de los ataques en 2022.
Los sistemas de copia de seguridad y recuperación de datos son partes críticas para los equipos de IT y deben considerarse parte del panorama de la seguridad. Tienen acceso de lectura a todo, pueden escribir datos en el entorno de producción y cuentan con copias completas de los datos de misión crítica de la empresa. En pocas palabras, si se siguen al pie de la letra los principios modernos de Zero Trust, la seguridad tradicional es bastante impenetrable, pero queda un enorme vacío en el blindaje de las copias de seguridad y recuperación.
Incluso los modelos de Zero Trust más utilizados tienen algunos defectos en el entorno moderno
El alcance de Zero Trust se ha vuelto demasiado limitado a medida que las amenazas han ido evolucionando, por lo que ha nacido el concepto de Zero Trust Data Resilience. Una evolución que fundamentalmente amplía su alcance para garantizar que la copia de seguridad y la recuperación sigan los mismos principios.
Integrar el backup y la recuperación
Los conceptos básicos no cambian. El principio de ofrecer los mínimos privilegios y asumir que la brecha de seguridad es posible sigue siendo clave. Por ejemplo, los sistemas de gestión de copias de seguridad deben estar aislados en la red para que los usuarios no autenticados no puedan acceder a ellos. Del mismo modo, el propio sistema de almacenamiento de backup debe estar aislado. En este sentido, la inmutabilidad también es clave. Disponer de datos de copia de seguridad que no puedan modificarse ni manipularse significa que si los repositorios son alcanzados por ataques como el ransomware, no podrán verse afectados por su malware.
Asumir una brecha también significa que las empresas no deberían confiar implícitamente en sus copias de seguridad después de un ataque. Disponer de procesos para validar adecuadamente el backup, o «limpiarlo» antes de intentar recuperar el sistema, es vital para asegurarse de que no se está simplemente restaurando un entorno aún comprometido.
El último paso consiste en disponer de varias copias de seguridad a prueba de fallos en caso de que una o varias se vean comprometidas. La mejor práctica es tener tres copias de seguridad, además de dos almacenadas en distintos tipos de soporte, una in situ y otra offline. Con estas capas es posible empezar a considerar la copia de seguridad como Zero Trust.
Dando los primeros pasos
La capacidad de recuperación de datos de Zero Trust es un proceso y no se puede implantar de golpe. En su lugar, es necesario seguir un modelo de madurez en el que se vayan implementando gradualmente nuevas prácticas; perfeccionándolas y haciéndolas evolucionar con el tiempo. Las organizaciones que actualmente no estén validando sus datos de copia de seguridad deberían empezar a hacerlo manualmente y, con el tiempo, implantar tecnología para automatizar y programar los procesos rutinarios de validación.
El otro factor clave es la implicación. Todos los miembros de la empresa deben participar en el proceso. El liderazgo de los directivos es clave para implementar grandes cambios en toda la organización, pero también lo es educar a toda la empresa sobre los nuevos procesos y su necesidad.
Por último, especialmente en el caso de la recuperación de datos de Zero Trust, los equipos de seguridad y de operaciones de TI deben estar alineados. El backup suele ser responsabilidad de estos últimos, pero a medida que se vuelven más y más cruciales, ambos deben trabajar juntos para evitar silos o lagunas en torno a la ciberseguridad.
El camino hacia la Zero Trust es interminable. Tanto es así que el destino evoluciona con el tiempo. Mi consejo a las empresas es que, aunque Roma no se construyó en un día, es mejor empezar ya a dar pasos, por pequeños que sean, en lugar de posponerlo y quedarse atrás.
