Aunque no le gusta el término Zero Trust, Mark Ryland, director de la Oficina del CISO de Amazon Web Services, piensa que este enfoque de ciberseguridad debe ser adoptado por los gobiernos, como ya lo hizo el gobierno del presidente Biden en Estados Unidos.
“Este tipo de modelo tiene muchos elementos y es muy probable que se vuelva común y, en cierto sentido, obligatorio. Al menos las políticas deberían fomentar la adopción de tecnología de confianza cero”, dijo Ryland en entrevista con El Economista.
Zero Trust es un enfoque de ciberseguridad que implica que no se puede confiar en ningún actor, ya sea interno o externo, y que se deben verificar todas las solicitudes de acceso a los recursos de la red.
En lugar de confiar en un único factor de autenticación, Zero Trust exige múltiples capas de seguridad y verifica constantemente la identidad y el comportamiento de los usuarios y dispositivos. En mayo de 2021, el gobierno de Estados Unidos emitió la Orden Ejecutiva 14028 sobre la "Mejora de la Seguridad de la Nación y la Protección de la Infraestructura de Información y Comunicaciones de la Nación". Dicha orden establece varias medidas para reforzar la seguridad de la infraestructura informática del gobierno estadounidense. Entre las medidas que incluye esta orden ejecutiva está la adopción del enfoque Zero Trust en las agencias del gobierno federal estadounidense. Esto incluye la migración a sistemas en la nube, la implementación de factores de autenticación múltiples y el cifrado de datos tanto en reposo como en tránsito.
“Creo que Zero Trust es una nueva mejor práctica, o otra forma de pensarlo es como una práctica de defensa en profundidad”, dijo Ryland, para quien el nombre de Zero Trust es incorrecto, pues lo que se intenta con este enfoque es que existan múltiples motivos de confianza y no sólo uno.
“Si lo piensas de manera más amplia, se está abogando por algo que las personas de seguridad siempre deberían haber hecho, que es pensar que debería haber más de una cosa que tiene que salir mal para que un atacante tenga acceso a algo. Si una cosa sale mal, todavía estoy bien; si dos cosas salen mal, tal vez no esté bien. ¿Pero qué tal tres? Al menos tener dos, porque la posibilidad de que dos cosas salgan mal es mucho menor que una”, dijo.
Otro aspecto del enfoque de ciberseguridad Zero Trust, de acuerdo con Ryland, es que las personas no deben conservar los accesos a su sesión para siempre, sino que cada vez que quieran acceder a los sistemas, deben identificarse.
"Es necesario evaluar continuamente su ubicación en la red, por ejemplo, si acaba de saltar de la Ciudad de México a Singapur, eso no parece correcto. Cierra la sesión y pídeles que vuelvan a autenticarse”, dijo.
El directivo de la oficina del jefe de Seguridad de Amazon Web Services (AWS), la división de cómputo en la nube de Amazon, dijo esto mientras en México ha comenzado a discutirse en el Poder Legislativo una potencial Ley de Ciberseguridad.