“Zero Trust” o “Confianza cero”. Ese el concepto que la OTAN ha adoptado para enfocar la ciberseguridad, y el que va a implantar el Ministerio de Defensa español para proteger los sistemas de información y telecomunicaciones.
La secretaria de Estado de Defensa, Amparo Valcarce, firmó el 28 de junio una resolución “por la que se establece la Estrategia de implantación del concepto de seguridad Confianza Cero en el Ministerio de Defensa”.
En esa resolución se explica que “en el ámbito internacional, la OTAN ha aprobado su Política sobre el denominado concepto Zero Trust o Confianza Cero (Zero Trust Policy) como visión de la ciberseguridad; la aplicación de este concepto será de obligado cumplimiento para los sistemas de información y telecomunicaciones, nacionales o aliados, que transmitan, procesen o almacenen información clasificada de la Alianza Atlántica”.
Fuentes militares ya comentaban hacía meses que el Ministerio de Defensa tendría que aplicar en su ámbito esta nueva política de ciberseguridad de la OTAN, algo que va a empezar a hacer con esta resolución.
Se trata de una estrategia que establece unas líneas generales de actuación, por lo que el director general del Centro de Sistemas y Tecnologías de la Información y las Comunicaciones (CESTIC) podrá dictar disposiciones para aplicar la resolución.
“Nunca confiar y siempre verificar”: este es uno de los principios que se recogen en la estrategia de la Secretaría de Estado de Defensa, y que puede ser un buen resumen, en español, de lo que significa en la próxima esa Zero Trust Policy que impulsa la OTAN.
Se trata de que “en todas las actuaciones referidas a seguridad de la información debe aplicarse la desconfianza por defecto”, o lo que es lo mismo, “cada usuario, dispositivo o aplicación debe ser tratado, de entrada, como no autorizado ni autenticado. Se debe garantizar que, una vez autorizados, los usuarios, dispositivos o aplicaciones acceden únicamente a los datos que necesitan y cuando los necesitan”.
Para ello, señala Defensa, se debe “verificar de modo explícito y continuo”. “El entorno de seguridad debe adaptarse dinámica y permanentemente sobre el usuario, infraestructura, datos y cualquier otro activo asociado con la provisión de servicios”, se explica en la estrategia, y “para ello se verificará la identidad de usuarios, dispositivos o aplicaciones cada vez que requieran acceso a un servicio, información o infraestructura y que, en caso de concederse la autorización, ésta se verifique periódicamente. Se realizará un registro de control de accesos permanente y auditable”.
Para aplicar esa idea de que cada usuario de las redes informáticas del ministerio “acceden únicamente a los datos que necesitan y cuando los necesitan”, se ha definido otro principio de actuación: “Aplicar el mínimo privilegio”.
Consiste en que “de manera general, se conferirán a todos los recursos las capacidades mínimas necesarias para el cumplimiento de su función, asegurando un apropiado equilibrio entre la necesidad de conocer y la responsabilidad de compartir”.
El Ministerio de Defensa plantea esta Estrategia de implantación del concepto de seguridad Confianza Cero no como otra instrucción sobre ciberseguridad: declara en varios puntos que este plan requiere “una adaptación que no debe ser únicamente tecnológica, sino que se requiere un cambio cultural”.
Habla de un “nuevo paradigma”, que “requiere también un cambio cultural que afecta a las personas, a los procesos y procedimientos de trabajo. Por ello impacta transversalmente a todo el Departamento”.
Insiste varias veces en que “los retos actuales y futuros en materia de ciberseguridad no se pueden solucionar exclusivamente mediante la aplicación de la tecnología; llevan consigo un cambio de mentalidad y de cultura de seguridad, que es transversal a todo el Departamento y que afecta a todo su capital humano, como usuarios de servicios y sistemas TIC del Ministerio de Defensa”.
En este documento, Defensa trata se explicar la esencia del cambio de enfoque en la ciberseguridad.
“La implantación del concepto de seguridad Confianza Cero implica que el modelo actual, estático y basado en la seguridad perimetral, se debe redefinir hacia un nuevo modelo centrado en la verificación continua de la identidad y de los privilegios de los usuarios; y de la identidad y seguridad de los dispositivos, creando un perímetro virtual alrededor de cada recurso”, señala.
Eso se hará “sin asumir confianza implícita alguna en ningún activo por el mero hecho de su ubicación física o de red”, por lo que “cada vez que se acceda a un servicio deberán concederse los privilegios oportunos a través de políticas basadas en análisis de riesgos”.
Se reforzarán los mecanismos de autenticación, autorización y responsabilidad (Authentication, Authorization & Accounting - AAA) en cada usuario y dispositivo.
“De este modo, la seguridad se enfoca en cada activo; es dinámica porque se evalúa de manera continua. Al estar segmentado el acceso y evaluarse éste para cada servicio, y de manera periódica para confirmar que las autorizaciones concedidas siguen siendo válidas, se reduce la capacidad de que cualquier amenaza que haya podido penetrar en la red se mueva lateralmente hacia otros recursos y acceda a ellos”, es la idea del Ministerio de Defensa para tratar de mitigar la amenaza de posibles intrusiones de piratas informáticos.
Con la idea de lograr ese cambio cultural entre el personal, “se establecerá un plan de comunicación sobre la Confianza Cero para contribuir a su adopción cultural en el Ministerio”.
Habrá acciones de formación para concienciar y dar a conocer este nuevo enfoque de ciberseguridad.
Una de las ventajas que destaca Defensa es que, si se extiende el modelo de Confianza Cero tal y como lo ha diseñado, en base a las recomendaciones de la OTAN, permitirá a los usuarios de las redes del ministerio “acceder a los recursos y servicios requeridos, independientemente de su ubicación física, mediante cualquier dispositivo adecuadamente autorizado y haciendo uso de la debida autenticación”.
Este beneficio “se potenciará gracias al uso integrado de la Confianza Cero con tecnologías de hiperconectividad, nuevas generaciones de comunicaciones móviles (5G y futuros protocolos inalámbricos), y de computación en el borde (Edge computing)”.
Eso facilitará la deslocalización de los puestos de trabajo: Defensa se ha puesto como objetivo que “todos los usuarios deben ser capaces de trabajar y llevar a cabo sus misiones sobre aquellas redes y recursos a los que tienen acceso desde cualquier localización autorizada, por medio de credenciales de seguridad dinámicas”.
Otro aspecto al que se compromete la Secretaría de Estado de Defensa es que “la privacidad desde el diseño y por defecto debe formar parte del concepto de Confianza Cero, para proteger el activo más importante del Departamento que son las personas”.
Eso significa que “cualquier sistema, proceso o infraestructura que vaya a utilizar datos personales debe ser concebida y diseñada identificando los posibles riesgos a los derechos y libertades de los interesados y minimizarlos para que no lleguen a concretarse en daños”.
También prevé de que esta forma se incremente “la protección de la información procesada, transmitida y almacenada en los sistemas de información y comunicaciones del Ministerio de Defensa, para permitir la evolución del Departamento hacia una organización más ágil y compatible con un modelo de arquitectura basado en la nube”.
Esta estrategia obedece a una instrucción de la OTAN, y el ministerio adelanta que “la Confianza Cero mejorará el uso compartido de información en condiciones óptimas de seguridad en el seno de las organizaciones internacionales de seguridad y defensa de las que España forma parte”.
La estrategia contempla que “para el desarrollo e implementación del concepto de seguridad Confianza Cero, se definirán unos casos de uso y proyectos iniciales, cuya ejecución se adaptará a la evolución del contexto tecnológico y normativo que afecte a dicho concepto”.
Los primeros proyectos irán enfocados a distintos conceptos. Por ejemplo, sobre los usuarios, se trabajará en:
-- Disponer de un inventario de usuarios, asociado a la definición del puesto de trabajo digital.
-- Identificar los criterios evaluables para la autorización de accesos, incluyendo criterios específicos para las soluciones de trabajo en movilidad del Ministerio.
-- Alinear la evolución del sistema de gestión de identidades y acceso a los requisitos del concepto de seguridad Confianza Cero.
Otro proyectos irán encaminados a disponer de un inventario de dispositivos del Ministerio de Defensa, así como establecer mecanismos de detección y autorización de dispositivos, incluyendo los Internet of Things (IoT).
Se elaborará también “un inventario de aplicaciones, identificando entre otros factores, sus responsables funcional y técnico y el grado de clasificación de la información manejada”, y se habilitarán “mecanismos de monitorización continua de las autorizaciones de acceso a aplicaciones (tanto de usuarios como de dispositivos)”.