¿Por qué Zero Trust también se necesita en el mundo real?

Sin embargo, la necesidad de Zero Trust no acaba en el perímetro cibernético. Con la digitalización de tantos procesos en nuestras vidas diarias, la manera en la que se controla la información tiene un impacto directo en el mundo real.

Un ejemplo del mundo real de por qué Zero Trust es importante

Conducía a la farmacia para recoger una receta que mi médico acababa de enviar. A los pocos minutos, recibí un mensaje de texto de la farmacia diciéndome que era "demasiado pronto" y que debería esperar dos meses para poder retirar la receta. Entonces, llamé a la farmacéutica para confirmar. Ella revisó mi historial y me dijo: "Su aseguradora dice que se usó la receta el 25 de diciembre en [una cadena de farmacias distinta]" de modo que tendrá que esperar. Pero no fue así. "Acabo de recibir la receta; han pasado dos años desde la última vez que fui al médico y definitivamente no fui a ninguna farmacia el día de Navidad, menos aún a otra cadena".

Afortunadamente, pude aclarar las cosas después de pasar una hora al teléfono con la aseguradora. Pero lo que sucedió ilustra los problemas que la Zero Trust está diseñada para contrarrestar.

Un mes antes (el día de Navidad), otra persona con mi misma fecha de nacimiento utilizó una receta para el mismo medicamento, que es relativamente común. Esta persona fue a una farmacia que, casualmente, está a 30 millas de mi casa. Resulta que él tiene la misma aseguradora que yo y un nombre que suena similar al mío.

En los EE. UU., la mayoría de las farmacias ahora usan la fecha de nacimiento como identificador principal. Luego, se consulta el nombre y esta información se utiliza para seleccionar de la lista de personas con esa fecha de nacimiento. A veces, es posible que pregunten si su aseguradora sigue siendo la que figura en sus registros. Sin embargo, en este caso, como era Navidad, la persona probablemente estaba apurada y el empleado no escuchó bien el nombre ni notó que había varias personas con nombres similares. ¡Uy!

Análisis de la situación desde la perspectiva de la seguridad

Desde la perspectiva de la seguridad, varias cosas salieron mal. El identificador principal (fecha de nacimiento) que utilizó la farmacia no es único. No hicieron una coincidencia exacta con el segundo identificador (nombre y apellido), que tampoco es único. Como tampoco lo es el nombre de la aseguradora. Normalmente no verifican el único dato que sí es único: el número de identificación del seguro. Esto probablemente se debe a que demoraría el procesamiento, algo que sería molesto para los clientes. Sin embargo, saltar ese paso también significa que "se confía" implícitamente en cualquiera que haya sido autenticado mediante los atributos no únicos para darle acceso a recursos (medicamentos en este caso) que no debería tener.

Eso es lo que Zero Trust resuelve: asegurarse de que las personas tengan permiso explícito en cada paso del proceso. Las personas solían creer que la conveniencia (para el usuario y los equipos de seguridad) sobrepasaba el riesgo potencial. No obstante, como tan bien sabemos, ahora vivimos en un mundo distinto y las suposiciones de antes ya no aplican. Ni tampoco los enfoques de seguridad antiguos. Afortunadamente, hay nuevas formas de abordar la seguridad, como el perímetro de servicio de acceso seguro (Secure Access Service Edge o SASE), que están ganando tracción rápidamente y proporcionan una manera de entregar Zero Trust como servicio (ZTaaS). Pero ese es otro tema.

Para quienes deseen profundizar más, aquí hay un video en el que Petko Stoyanov, nuestro CTO de Global Governments de Forcepoint explica cómo los controles de identidad se adaptan a una arquitectura de Zero Trust.