Este blog post forma parte de la serie Plan de implementación Zero Trust, en la que presentamos formas de desplegar una arquitectura Zero Trust de forma simplificada. Si esta es tu primera lectura, te recomendamos que consultes también los textos anteriores.
La tercera fase del plan de implementación Zero Trust comprende la identificación de la madurez, lagunas y riesgos potenciales relacionados con los inventarios, los flujos de datos y el trabajo de la organización. Además, define los privilegios mínimos para cada usuario, servicio o dispositivo que solicite acceso a un activo.
Una forma conveniente de poner en práctica el control de acceso es apegarse a marcos normativos. Por ejemplo, implementar acciones que permitan a una organización estar en concordancia con las normas internacionales de seguridad u obtener certificaciones, se traduce en avances directos en el despliegue de Zero Trust. Aquí es donde entra en juego la norma ISO/IEC 27002.
A continuación, profundizaremos en ella y explicaremos cómo puede aplicarse a la construcción del control de accesos en el proceso Zero Trust.
Aplicación de la norma ISO/IEC 27002 en la creación del control de acceso
Diseñada para ser “referencia en la selección de controles dentro del proceso de implementación de un sistema de gestión de seguridad de la información basado en ISO/IEC 27001”, ISO/IEC 27002 aborda prácticas alineadas con los principios de Zero Trust.
Por ejemplo, entre sus premisas está la idea de que “todo está prohibido a menos que esté expresamente permitido”, lo que sustituye la idea tradicional de que “todo está permitido a menos que esté expresamente prohibido”.
Pero, ¿qué hacer para aplicarla en la práctica dentro de tu estrategia de Zero Trust? En primer lugar, tratar de las responsabilidades de los usuarios y del control de acceso al sistema y a la aplicación; luego, elegir las tecnologías adecuadas para ejecutar el proyecto.
En esta primera parte del contenido, analizaremos los requisitos para el control de acceso previstos en la norma ISO/IEC 27002 llevándolos al contexto Zero Trust.
Requisitos para el control de acceso basados en la norma ISO/IEC 27002
El cumplimiento de esta norma es uno de los requisitos más importantes para Zero Trust. Esto se debe a que mediante ella definimos la política de control de acceso, incluyendo redes y servicios de red. Veamos cómo funciona.
Política de control de acceso
Según la norma ISO/IEC 27002, una política de control de acceso debe establecerse, documentarse y analizarse críticamente sobre la base de los requisitos de seguridad de la información y los negocios que enumeramos a continuación.
Requisitos de seguridad de las aplicaciones empresariales individuales
Este punto aborda la clasificación de la información y sus condiciones de restricción e intercambio en función de las necesidades empresariales. Estos procedimientos fueron abordados en las fases anteriores de la jornada de Zero Trust.
Es importante que todos los resultados de la clasificación se actualicen en función de su valor, sensibilidad y criticidad a lo largo de su ciclo de vida, ya que la empresa es un organismo vivo que siempre cambia y evoluciona a la hora de tratar la información.
Política de difusión y autorización de la información
Consiste en establecer las reglas para la difusión de la información. Por ejemplo, difundir datos clasificados como altamente críticos, cuando se permite, es una acción que requiere procedimientos de autorización, autenticación y validación de usuarios/dispositivos configurados en la arquitectura Zero Trust.
Coherencia entre derechos de acceso y políticas de clasificación
La clasificación de la información se basa en su sensibilidad y criticidad operativa. Por lo tanto, las políticas de clasificación de la información de los sistemas y redes deben ser coherentes con los niveles de seguridad del activo clasificado.
Por ejemplo, si un determinado activo es esencial para el funcionamiento de la empresa, el nivel de protección y control de acceso al mismo debe ser suficiente para garantizar su confidencialidad, integridad y disponibilidad.
Obligaciones contractuales y compliance relacionados con la protección de acceso
Deben definirse y documentarse los controles específicos para el cumplimiento de las leyes y los requisitos contractuales, así como las responsabilidades individuales para aplicarlos.
En el proceso de implementación Zero Trust el papel de los data stewards (gestores de datos) en este tipo de acciones es fundamental, ya que garantiza el uso de los datos de acuerdo con los permisos de acceso y sus funciones en el contexto de la misión.
Gestión de los derechos de acceso
Según la norma ISO/IEC 27002, se recomienda que la gestión de los derechos de acceso se realice en un entorno distribuido y conectado a una red capaz de reconocer todos los tipos de conexiones disponibles.
Uno de los pilares de la arquitectura Zero Trust es la visibilidad. Por lo tanto, cuanto más recursos de observabilidad brinde la tecnología, más eficiente será el equipo de seguridad a la hora de monitorear las conexiones, analizar los datos de eventos y crear reglas de control de acceso.
Segregación de las funciones de control de acceso
La segregación de las funciones de control de acceso consiste básicamente en asignar tareas y funciones como solicitud, autorización y gestión de acceso no solo a una persona, sino a un grupo.
Esta distribución de funciones es relevante en el contexto Zero Trust, ya que ayuda a prevenir movimientos laterales de actores maliciosos, ya que ningún usuario administrativo tiene permisos y privilegios amplios que puedan ser explorados.
Requisitos para la autorización formal de la solicitud de acceso
Para poder relacionar a los usuarios con sus responsabilidades y acciones es esencial que cada usuario disponga de un ID de usuario único, que debe concederse mediante un proceso formal de registro y cancelación que incluya documentación y reglas de emisión.
Esta práctica es también un requisito para la estrategia Zero Trust, que propone crear los ID de usuario a partir de un proceso formal que otorga privilegios mínimos, de modo que cada usuario tenga acceso únicamente a las funciones, recursos y activos necesarios para cada tarea que deba realizar.
Requisitos para análisis crítico periódico de los derechos de acceso
Una arquitectura eficiente de Zero Trust requiere que los propietarios de los activos realicen, en intervalos regulares, análisis críticos sobre los derechos de acceso de los usuarios. La frecuencia de esto es importante para garantizar que no se obtengan privilegios no autorizados.
Se recomienda que este tipo de análisis se produzca siempre que un colaborador, por ejemplo, sea ascendido, trasladado o despedido, o cuando empiece a realizar otro tipo de actividades dentro de la organización.
En este punto, cabe una observación: cuanto mayor sea el nivel de criticidad y sensibilidad de los activos o recursos implicados, más frecuente deberá ser el análisis crítico. Los usuarios de sistemas como “sysadmin”, “administrator”, “root”, “apache” y “nginx”, por ejemplo, requieren este tipo de atención.
La razón es que poseen privilegios que interactúan directamente con el sistema operativo o incluso con la gestión de identidades. La apropiación de cuentas como estas por un agente malicioso supone un riesgo real de impacto sobre toda la compañía.
En estos casos, es aconsejable considerar el monitoreo o incluso la desactivación del usuario, además de no permitir el acceso remoto a estas cuentas. Recuerda que las políticas de acceso no solo se aplican a las personas, sino también a las cuentas utilizadas por los sistemas.
También vale la pena enfatizar que los análisis críticos recurrentes son necesarios tanto para garantizar que el acceso se limite a los usuarios adecuados como para mantener el control de acceso actualizado y alineado con la estrategia Zero Trust.
Supresión de los derechos de acceso
Para evitar que colaboradores que hayan rescindido sus actividades, contratos o acuerdos corrompan o comprometan la integridad, confidencialidad o disponibilidad de los activos de la empresa, deben eliminarse o ajustarse sus derechos de acceso. Esto puede hacerse tan pronto como se produzca el cese o incluso antes y de modo gradual.
Archivar los registros de eventos relevantes
Todos los eventos significativos relacionados con la gestión de identificadores de usuario e información secreta de autenticación deben archivarse siguiendo las directrices de control de acceso establecidas en la estrategia de Zero Trust.
Con los registros de estos eventos, el equipo de seguridad, así como los data stewards, disponen de recursos esenciales de observabilidad que pueden utilizarse en auditorías y análisis de vulnerabilidades relacionados con los derechos de acceso.
Reglas para el acceso privilegiado
Una vez establecida la política de control de acceso, será necesario gestionar los derechos de acceso privilegiado mediante un proceso de autorización formal basado en ella y aplicar en la práctica la concesión de privilegios mínimos.
Acceso a redes y servicios de red
Este requisito garantiza que los usuarios solo tengan acceso a las redes y servicios de red cuyo uso haya sido específicamente autorizado. Para ello, la política en esta etapa del plan de implementación Zero Trust debe establecer:
- A qué redes y servicios de red se permitirá el acceso, así como los medios a utilizar para acceder a ellos.
- Procedimientos de autorización de acceso y controles de gestión para proteger el acceso a las conexiones y servicios de red.
- Requisitos de autenticación de los usuarios.
Todas estas son acciones sencillas de implementar, pero cruciales para prevenir amenazas como conexiones no autorizadas e inseguras que pueden llegar a ser literalmente letales para la organización, riesgo que incluso no para de aumentar debido a fenómenos como la expansión del trabajo remoto.
Y cuando hablamos, por ejemplo, de seguridad en el puesto de trabajo, tenemos que pensar en los paradigmas que promueven el control de accesos en entornos modernos, tales como la seguridad perimetral, la segmentación de redes y la observabilidad, que adhieren a los principios de Zero Trust para redes.
Próximos pasos para la implementación del control de acceso
Ahora que ya conoces estos requisitos, pasaremos a la siguiente fase. En el próximo blog post hablaremos sobre las responsabilidades de los usuarios, el control de acceso al sistema y a la aplicación y sobre las tecnologías que se asocian al Zero Trust.
Para recibir de primera mano los próximos contenidos de nuestra serie Zero Trust, suscríbete a nuestra newsletter completando el siguiente formulario.