¿Cómo se ve el futuro de Zero Trust desde OT?
La irreversibilidad de la convergencia IT/OT y la eficacia de Zero Trust en los sistemas de TI empresariales dan una señal clara de que las redes OT la adoptarán.
El informe técnico de la ISA Global Cybersecurity Alliance (ISAGCA) sobre los resultados de Zero Trust proporciona un desglose de cómo los conceptos de dicho sistema de protección pueden manifestarse en entornos OT. Para ello, las organizaciones que intentan lograr esos resultados se encontrarán con equipos heredados con funcionalidades faltantes, prioridades en competencia y complejidad del sistema que las frenarán.
Los principios de Zero Trust se han establecido en la mente de los profesionales de la ciberseguridad de todo el mundo, y se hace referencia a ellos con frecuencia en arquitecturas, soluciones y discursos públicos.
Una información que publica el portal automation.com ilustra cuán omnipresente se ha vuelto su tasa de adopción basándose en resultados de investigaciones de principios del año 2024 de Gartner, en el que informaba que un importante número de empresas (63%) había implementado estrategias de protección Zero Trust. Eso es alentador, pero se ha de tener en cuenta que las redes OT representarán una pequeña parte de ese porcentaje.
Entonces, ¿cómo se verá y se sentirá exactamente la tecnología Zero Trust en el futuro? ¿Y cuándo sucederá?
Una implementación con un horizonte largo
Si la historia es un indicador del futuro (y lo es), podemos considerar que las tecnologías y los enfoques de TI modernos que finalmente se adopten en OT lo harán más tarde, a un ritmo más cauteloso y de diferentes maneras que se adapten a los requisitos únicos que contempla la tecnología operativa.
Los ejemplos clásicos son la computación en la nube, la IoT industrial y las tecnologías de virtualización. Es muy razonable establecer paralelismos entre esos ejemplos y los conceptos de Zero Trust y, considerando que la verdadera adopción y madurez de los conceptos aún está en progreso dentro de los sistemas de TI empresariales, deducir que los resultados de Zero Trust mencionados anteriormente pueden estar en un horizonte de 10 a 20 años.
Las soluciones asociadas con los conceptos de Zero Trust (que ya son un mercado establecido y en crecimiento) facilitarán la adopción pero, al igual que en ejemplos anteriores, el grado y la velocidad en que se adopten las filosofías de Zero Trust estarán influenciados por la larga vida útil de esos sistemas heredados y la complejidad de la implementación. Y la forma en que se adopten los conceptos de Zero Trust se modificará en gran medida para proteger las prioridades existentes en OT, principalmente, las funciones esenciales según se definen en la serie de normas ISA/IEC 62443 (que incluye funciones instrumentadas de seguridad).
La Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA) ha publicado y puesto a punto un modelo de madurez de Zero Trust para OT que ayuda a prever cómo podría ser el futuro. Los conceptos básicos de ese modelo incluyen:
-Integración de identidades en toda la empresa con acceso automatizado personalizado según las necesidades.
-Análisis continuo de activos con protección contra amenazas integrada y acceso que depende de análisis de riesgo de dispositivos en tiempo real.
-Microperímetros con controles de acceso just-in-time y en cantidad justa.
-Aplicaciones disponibles en redes públicas con acceso autorizado continuo y protección contra ataques sofisticados.
-Inventario y categorización de datos continuos y automatizados con controles de acceso dinámicos.
La suma de esa descripción de madurez debería ser similar a lo que experimentamos hoy en los sistemas de TI empresariales, lo que refleja una mayor seguridad y una mayor utilidad. Hoy, en los sistemas de TI empresariales, la adopción continua de claves de acceso permite la autenticación biométrica con un solo clic.
El acceso de los usuarios se puede administrar de forma fácil y dinámica de forma centralizada para aplicaciones individuales y con los privilegios mínimos adecuados por usuario, lo que permite el acceso del usuario a través de redes públicas. Y los equipos tienen datos y análisis precisos y en tiempo real disponibles para administrar, operar y optimizar.
Si se utiliza la historia como guía y se extrapola a partir de la orientación técnica cómo podrían ser los conceptos futuros de Zero Trust en OT, se trata de un futuro que brinda mayor seguridad y utilidad. Llega en un momento en el que una generación más joven, que espera (exige) que la tecnología sea intuitiva y conveniente, tendrá las riendas de los entornos de OT más críticos y sensibles del mundo.