ZERO TRUST, CIBERSEGURIDAD Y PROTECCIÓN DE DATOS

Los avances que se experimentan cada día en equipos y soluciones para la recolección, análisis y utilización de la información, convierten a la ciberseguridad en materia obligada cuando pensamos en protección de datos. Además, los cambios en la forma de trabajar y producir, derivados de la acelerada digitalización y deslocalización, provocan el regreso del enfoque zero trust, cero confianza, abriendo capítulos nuevos en materia de ciberseguridad y protección de datos.

Existen diversos modelos de ciberseguridad en empresas e instituciones. Uno de los enfoques que despierta cierto interés en profesionales e investigadores se funda sobre la siguiente idea: considerar que los dispositivos cuyo funcionamiento demanda un flujo de datos son inseguros por defecto (aunque en distintos grados). Derivando de lo anterior unos procedimientos de verificación que van creciendo y son continuamente auditados.

Lo que vemos en lo anterior no tiene otro origen que los grandes cambios en la manera de trabajar y producir llegados durante las últimas décadas. Por ejemplo, lo “tradicionalmente” denominado como red corporativa remitía a una imagen de centralidad en la comunicación y administración de la información y los recursos. Esto implicaba, a su vez, alguna clase de “anillos de seguridad” dentro del perímetro digital de la red corporativa.

Pero ocurre que hoy la producción está extraordinariamente descentralizada. Una compañía o una institución pueden compartir determinada matriz de datos o recursos en la nube con un equipo de colaboradores, trabajadores, investigadores, etc. que podrían estar separados físicamente por miles de kilómetros.

Entre las derivaciones de esos grandes cambios productivos tenemos que la noción de dispositivo o conexión confiable ha cambiado, imponiéndose la continua verificación de identidad (incluso entre usuarios cercanos al borde del perímetro digital).

En relación con todo lo anterior, entre las aplicaciones prácticas tenemos el modelo conocido como zero trust. La cero confianza, al parecer, tiene ya una extendida implementación en los equipos y departamentos de ciberseguridad de las grandes corporaciones del mundo. Las pautas metodológicas de zero trust relativizan las ideas anteriores sobre perímetros digitales de confianza. Ningún dispositivo o conexión podría acceder a ningún nivel de la información o recursos compartidos sin cumplir con todo el proceso de verificación previo.

ZERO TRUST Y PROTECCIÓN DE DATOS

Claro, pensar en el interior del perímetro o en la red interna como algo donde la confianza no está dada, derriba conceptualizaciones sobre ciberseguridad que sencillamente han dejado de existir. Es decir, una vez que el perímetro digital seguro se tambalea como imagen, aparece lo inevitable: los riesgos a la seguridad que residen en el propio contenido de la red interna y los recursos que interactúan en ella. De lo que concluimos que, en estricto rigor, cualquier sistema o esquema de trabajo digital que actualmente no contemple medidas de seguridad internas equivalentes a las externas tendrá dificultades para garantizar una buena política de protección de datos.

En los viejos esquemas de ciberseguridad un usuario, un dispositivo o una aplicación podían someterse y superar la verificación de una puerta o puertas que permitían cruzar el perímetro donde se concentraban todas las medidas de seguridad. Pero una vez en el interior, el acceso a los datos o recursos solía tener pocas trabas importantes. El problema es evidente, si la seguridad del perímetro fallaba o era derribada (y esto es algo que los administradores del sistema podían advertir o, al contrario, pasar totalmente desapercibido por mucho tiempo) estaremos ante la antiquísima estrategia del caballo de Troya.

Así, tenemos varios fenómenos: la deslocalización de los procesos productivos, más el propio cambio digital, donde la creación de riqueza tiene su base estratégica en los datos, e incluso el cambio del símbolo “mercancía” (desde las teorizaciones clásicas de la economía política hasta las actuales objetivaciones de la fuerza de trabajo, donde el “producto” tiene su génesis en trabajo cognitivo) (Carrillo, 2018).

Tales fenómenos, simplemente, dejaron caducos los antiguos esquemas en materia de ciberseguridad y protección de datos, entre otros. En la actualidad, nuestro trabajo y todos los datos que éste demande rebotan entre centros de datos, recursos en la nube, etc. Es aquí donde se retoma el enfoque zero trust, buscando que los criterios de validación, verificación de identidad, etc. no funcionen de forma distinta si estamos en la red interna o en la red externa.

Pasar a cuestionar que pueda existir un ámbito de “confianza” durante el trabajo en entornos digitales, por supuesto, tiene importantes repercusiones en materia de protección de datos. Instituciones, organizaciones y empresas se enfrentan a menos riesgos y vulneraciones a la normativa representada, por ejemplo, en el Reglamento General de Protección de Datos (RGPD) bajo metodologías que, como zero trust, dejan de considerar la protección de los datos como algo sentado y garantizado en la seguridad del perímetro.

Parece ser un hecho que la continua verificación, ignorando el antiguo parámetro “red interna - red externa” reduce los peligros sobre los datos resultado de la enorme deslocalización que caracterizan los procesos productivos digitales.

Naturalmente, con zero trust nos estamos refiriendo a una metodología, no exactamente a una gama de nuevas soluciones de software. Aunque su implementación depende de los expertos en ciberseguridad, tales proyectos en empresas y Administraciones involucran de forma directa al conocimiento de los expertos y especialistas en protección de datos, dado que la investigación previa necesita profundizar en los modelos de protección ya existentes en la estructura, en la forma como circulan y se utilizan los datos, la conducta de los usuarios al conectarse, etc.

Esta indagación nos proporcionará un mapa claro sobre todos aquellos procesos y recursos que necesitan o requieren verificación, autenticación, etc. Posteriormente, ese mapa nos permitirá crear divisiones, segmentar al máximo por procesos, lugares, usuarios, dispositivos, demandas de información, etc. Tales divisiones, al contar con sus propias verificaciones, reducen las vulneraciones y elevan la protección a los datos (un ataque en un lugar del sistema de trabajo no implicaría necesariamente el peligro inminente para los demás).

Por ahora, no cabe duda de que zero trust es una teorización del máximo interés para expertos y especialistas en protección de datos, que poco a poco se abre paso en las culturas organizacionales.


Experto, Especialista y Máster en el Reglamento General de Protección de Datos (RGPD), impartido por la UNED y la Agencia Española de Protección de Datos (AEPD). Matrícula abierta para la Convocatoria 2022

Máster en Protección de Datos - UNED y AEPD

Compartir:

Email de información: jglez@cee.uned.es - rhc@agpd.es

Ir arriba