Por Raphael Marichez, CSO, asesor de ciberseguridad y transformación digital de Palo Alto Networks
El término «Zero Trust» existe desde hace tiempo en el ámbito de la ciberseguridad. El término fue inventado por primera vez por John Kindervag, un analista de Forrester Research, en 2010. Desde entonces, Zero Trust se ha convertido en algo más que un término y es ahora una estrategia esencial para las empresas que se digitalizan rápidamente y en las que el número de procesos interconectados es cada vez mayor. Pero, ¿cómo se aplica una estrategia Zero Trust de forma eficaz? Según Jesper Bork Olsen, Director de Seguridad para EMEA de Palo Alto Networks, hay tres factores importantes que son clave para una implementación exitosa de una estrategia de Zero Trust.
Zero Trust debe limitarse a los controles de ciberseguridad
En primer lugar, en los protocolos de seguridad se siguen haciendo suposiciones con demasiada frecuencia. Por ejemplo, cuando se asume que una cuenta genuina que está dentro de la red de la empresa puede ser clasificada automáticamente como segura. Pero en realidad significa que un caso así no debería descartarse como una amenaza potencial para la red de la empresa. Uno de los principales impulsores de una estrategia de confianza cero es tener el control de la ciberseguridad eliminando este tipo de suposiciones. Esto no significa que forme parte de una estrategia de confianza cero tener problemas de confianza mal concebidos con todos sus empleados y colegas. La confianza cero consiste en garantizar la seguridad de todos asegurándose de que no hay peligros potenciales dentro de la red de la empresa.
La confianza cero permite la escalabilidad en un mundo empresarial digital en rápida evolución
Junto con la digitalización de las empresas, nuestra situación laboral ha cambiado intrínsecamente. Esto hace que sea aún más importante no asumir nada relacionado con la ciberseguridad. Tanto si un usuario se conecta a la red de la empresa en su casa, como si lo hace en la oficina: ambos deberían requerir el mismo nivel de controles de ciberseguridad. La ciberseguridad se centra con demasiada frecuencia en qué tipo de dispositivo informático está protegido y de qué manera. Pero es igualmente importante, si no más, saber dónde se encuentran los dispositivos informáticos en su red. Las medidas de ciberseguridad deben ser las mismas, independientemente de la ubicación de un dispositivo conectado. Esta coherencia permite la escalabilidad, que es clave en un mundo empresarial digital en rápida evolución y cambio.
Zero Trust debe limitarse a las medidas de ciberseguridad
En primer lugar, en los protocolos de seguridad se siguen haciendo suposiciones con demasiada frecuencia. Por ejemplo, cuando se asume que una cuenta genuina que está dentro de la red de la empresa puede ser clasificada automáticamente como segura. Pero en realidad significa que un caso así no debería descartarse como una amenaza potencial para la red de la empresa. Uno de los principales impulsores de una estrategia de Zero Trust es tener medidas de ciberseguridad eliminando este tipo de suposiciones. Esto no significa que forme parte de una estrategia de confianza cero tener problemas de confianza mal concebidos con todos sus empleados y colegas. La confianza cero consiste en garantizar la seguridad de todos asegurándose de que no hay peligros potenciales dentro de la red de la empresa.
Zero Trust permite la escalabilidad en un mundo empresarial digital en rápida evolución
Junto con la digitalización de las empresas, nuestra situación laboral ha cambiado intrínsecamente. Esto hace que sea aún más importante no asumir nada vinculado a la ciberseguridad. Tanto si un usuario se conecta a la red de la empresa en su casa como si lo hace desde la oficina, ambos deberían requerir el mismo nivel de medidas de ciberseguridad. La ciberseguridad se centra con demasiada frecuencia en qué tipo de dispositivo informático está protegido y de qué manera. Pero es igualmente importante, si no más, saber dónde se encuentran los dispositivos informáticos en su red. Las medidas de ciberseguridad deben ser las mismas, independientemente de la ubicación de un dispositivo conectado. Esta coherencia permite la escalabilidad, que es clave en un mundo empresarial digital que evoluciona y cambia rápidamente.
La necesidad de segmentar los procesos empresariales clave
Incluso hoy en día, muchas empresas siguen operando con una arquitectura de IT plana. Al mismo tiempo, muchas empresas buscan estar más interconectadas, asegurando el acceso a toda la información para todos los que trabajan en la organización. Con el aumento de las cadenas de suministro digitales y el rápido crecimiento de las conexiones a la nube, la exposición al riesgo de cada negocio se vuelve insostenible. Es necesario segmentar los procesos empresariales clave para que, cuando se produzca un incidente, la exposición sea limitada. De este modo, se puede potenciar la resiliencia operativa digital.
Visibilidad total de los activos digitales que soportan el negocio
La estrategia de cloud first es ahora un estándar en todas las grandes empresas españolas. Al animar a las unidades de negocio a aprovechar plenamente y de forma autónoma las capacidades que proporciona la innovación digital, los límites tradicionales de la red empresarial se difuminan. Saber quién accede a qué y con qué finalidad requiere una visión global de las dependencias de los servicios digitales online (SaaS) y de las interconexiones con las redes de terceros (proveedores, socios e incluso clientes)
Componentes básicos de una arquitectura de Zero Trust
Zero Trust exige un enfoque holístico y coherente que se pueda aplicar en todos los ámbitos clave. Hay algunos elementos básicos de una arquitectura de confianza cero:
1. Verificar todos los usuarios, dispositivos, infraestructuras y aplicaciones: valide siempre la identidad del usuario, la integridad del host que está utilizando y la aplicación a la que pretende acceder. Independientemente de dónde se encuentre el usuario, el dispositivo o la aplicación.
2. Aplicar un acceso basado en el contexto: cada decisión de política de acceso debe tener en cuenta el contexto del usuario, del dispositivo y de la aplicación (por ejemplo, si el usuario utiliza o no un software antivirus) Esto garantiza una seguridad y una experiencia de usuario coherentes.
3. Asegurar todo el contenido: inspección continua de todo el contenido para verificar que es legítimo, seguro y protegido, y examinar todas las transacciones de datos para evitar la pérdida de datos de la empresa.
4. Supervisión y análisis continuos de toda la infraestructura de seguridad: compruebe todas las conexiones y contenidos en busca de signos de actividad anómala o maliciosa para ayudar a descubrir las lagunas en su implementación y utilice estos datos para analizar y ajustar continuamente sus políticas para mejorar la seguridad del sistema.
Zero Trust requiere una visibilidad constante. Si no puede identificar los procesos empresariales digitales clave en todo su ecosistema, tampoco podrá definir los controles de seguridad adecuados y coherentes. El tiempo y el esfuerzo en torno a la seguridad deben centrarse en ofrecer la máxima resistencia operativa del negocio. Las empresas ya no pueden basar la seguridad en lo que es IT, sino que deben centrarse en lo que hace y en los procesos empresariales que intervienen en ella.
1 comentario en “Zero Trust: de concepto a impulso estratégico clave”
Pingback: Zero Trust: de concepto a impulso estratégico clave ⋆ Bug Sentinel