zero trust

Llevar desde la idea hasta la implementación a la seguridad con un enfoque de Confianza Cero

Esto es lo que los líderes tecnológicos necesitan saber sobre los desafíos técnicos y culturales del enfoque de Confianza Cero antes de involucrarse de lleno.

Ya sea entre líderes, gerentes y trabajadores, proveedores y clientes o empresas y organismos reguladores, la confianza reduce las barreras a la cooperación y hace que las cosas fluyan sin problemas.

Aún así, la mayoría de las empresas, y las personas, reconocen que confiar demasiado y muy rápido puede ser una desventaja importante. Y para un modelo de seguridad de red emergente, el hecho de confiar ya es demasiado.

Hablamos acerca del enfoque de Confianza cero, una perspectiva respecto a la seguridad que experimentó un interés vertiginoso el año pasado, ya que las empresas han visto cómo se debilitaron sus perímetros de red tradicionales por el trabajo remoto masivo y la expansión de la nube pública y las aplicaciones SaaS.

En términos simples, el enfoque de Confianza cero significa: "Nunca confíe, siempre verifique".  Este enfoque se ha convertido en un tema candente para los ejecutivos desde que el acceso remoto aumentó rápidamente, debido al COVID-19, y hubo un incremento en la cantidad de adversarios con deseos de aprovecharse de las computadoras y de los usuarios remotos. La estrategia de nunca confiar y siempre verificar es mucho más rigurosa, proactiva y receptiva en comparación con tan solo desarrollar defensas perimetrales para mantener a los agentes maliciosos fuera de su red. La seguridad perimetral nunca es particularmente efectiva, y, con las tendencias actuales de tener aplicaciones y cargas de trabajo multi-cloud, junto con acceso remoto desde cualquier sitio en cualquier dispositivo, los modelos de confianza basados en el perímetro ofrecen cada vez menos medidas de protección adecuadas.

Un enfoque de Confianza cero con respecto a la seguridad no solo permite responder más rápido y con más precisión, sino que también reduce las posibilidades de que no se detecte un movimiento lateral de tráfico o agentes maliciosos de recurso a recurso dentro de un ambiente comprometido si ocurriera una violación (mucha de las violaciones sobre las que ha leído se podrían haber controlado o evitado en un ambiente con el enfoque de confianza cero).

Pese a todas sus recompensas, la implementación del enfoque de Confianza cero es una iniciativa complicada. Además de los desafíos técnicos, el éxito depende de involucrar y movilizar a diferentes partes interesadas de todas las empresas y ofrecer mucho manejo de los usuarios.

Este artículo ayudará a los líderes tecnológicos a orientarse con respecto al enfoque de Confianza cero a medida que empiezan a pensar acerca de cómo pueden implementarlo ellos mismos.

Explorar los aspectos técnicos de un enfoque de Confianza cero

Comenzaremos con los aspectos técnicos. En términos prácticos, una implementación efectiva del enfoque de Confianza cero no solo requiere tecnología, sino también políticas y procesos. No se trata de un interruptor que puede operar ni de un producto o servicio que puede comprar. Requiere de una combinación de herramientas diferentes de las que se usan en la seguridad perimetral tradicional.

En un ambiente con el enfoque de Confianza cero, las zonas de confianza se construyen en torno a cada aplicación, cada dispositivo y sus aplicaciones SaaS o servicios de almacenamiento. Los requisitos previos para conseguir esto sin crear una mala experiencia del usuario incluyen la implementación de un sistema de autenticación que le permita identificar dispositivos y usuarios. También requiere capacidad de microsegmentación.

Estas soluciones engloban políticas estrictas que definen qué usuarios y dispositivos pueden acceder a qué recursos; ya no puede haber acceso libre y abierto. Definir estas políticas y permitir su implementación puede ser un trabajo arduo. Requiere comprender los flujos de trabajo y las dependencias de las aplicaciones, pero existen soluciones de automatización y basadas en AI que alivian parte de la carga, y el beneficio tanto para la seguridad como para las operaciones vale la pena. La seguridad con el enfoque de Confianza cero depende de la administración de identidad y acceso, del control de los puntos de conexión y de una capacidad madura de monitoreo de seguridad.

Debe sumar a otras personas al recorrido hacia el enfoque de Confianza cero

Es importante reconocer que la implementación del enfoque de Confianza cero entrecruza los límites de los equipos de toda la organización. Involucra a los equipos de seguridad, redes e IAM, a los propietarios y administradores de activos y a los propietarios de aplicaciones. Este tipo de alcance significa que el CIO/CTO a menudo será el líder, y el CSO/CISO un colaborador crítico gracias a su perspectiva sobre la administración de riesgos.

También debe invertir tiempo en la creación de conciencia y socialización de los beneficios del enfoque de Confianza cero, al crear preguntas frecuentes detalladas y compartirlas a través de los boletines informativos y las intranets de la empresa con muchos enlaces a los recursos. Confíe en nosotros: la capacitación y la comunicación antes de la implementación pueden ahorrarle muchos problemas al servicio de ayuda a medida que los cambios en sus políticas y procesos comienzan a implementarse.

Comience de a poco, comience por lo importante y use DevOps

Puede comenzar con el pie derecho con el enfoque de Confianza cero si empieza de a poco, a fin de construir una serie de logros graduales, pero altamente visibles. Es posible que quiera empezar con el control de acceso y luego avanzar a implementaciones más complicadas de centros de datos.

Si comienza con una referencia en su ambiente, puede mejorarla a medida que detecta y clasifica su carga de trabajo y sus datos. Al mismo tiempo, comience a alinear las soluciones de tecnología y sus configuraciones. Entienda sus requisitos y seleccione socios que lo ayuden a integrar tecnologías apropiadas para proveer autenticación, control de acceso, microsegmentación y monitoreo.

Antes de la implementación, le recomendamos identificar y desarrollar sus políticas y, luego, hacer un lanzamiento piloto de sus políticas en modo de registro para poder aclarar el panorama de lo que sucede en su ambiente. Esto ofrece la oportunidad de evaluar los procesos antes del lanzamiento, para mitigar el riesgo de que se caigan los sistemas críticos e identificar patrones y procesos que se pueden automatizar. Una vez hecho esto, adopte implementaciones continuas en subconjuntos de usuarios, en paralelo con sus sistemas de seguridad existentes, para eliminar procesos y construir confianza en la base de usuarios.

Vale la pena mencionar que es probable que sea muy difícil hacerlo bien sin usar metodologías ágiles dentro del proyecto para implementar DevOps. Las primeras etapas implican mucho trabajo con muchas prioridades cambiantes. Por lo tanto, use metodologías ágiles para moverse rápidamente, fallar rápido y cambiar cuando sea necesario.

Además, los gastos generales pueden aumentar rápidamente, debido a las actualizaciones y a los cambios diversos y continuos en la infraestructura y la política. DevOps puede ser útil en este punto a medida que trabaja en la automatización de las actualizaciones de usuarios y dispositivos o en los flujos de acceso a aplicaciones y sistemas. Con la infraestructura como código, por ejemplo, se pueden crear sistemas que permitan que los usuarios usen la opción de autoservicio al registrar una incidencia para un dispositivo nuevo, que luego envía una actualización a la infraestructura. Además, ahora existen tecnologías que pueden ayudar a implementar DevOps en las cargas de trabajo heredadas, así como aplicaciones desarrolladas de manera heredada.

El enfoque de Confianza cero vale la pena

Pasar a una estrategia de seguridad con el enfoque de Confianza cero lleva varios meses de trabajo duro y muchas horas de administración y monitoreo continuos. Y, sin embargo, es un recorrido que esperamos que emprenda la mayoría de las empresas.

El cambio que hemos visto al trabajo remoto el año pasado no se revertirá por completo. Para algunos, pasará a ser algo corriente. Por lo tanto, a nivel ejecutivo todavía habrá inquietudes con respecto a si están protegidos los puntos de conexión de los usuarios, la mitigación de las amenazas internas y los riesgos de movimiento lateral por parte de intrusos en caso de que lleguen a vulnerar sus defensas perimetrales.

No es mágico, no hay una fórmula mágica en la seguridad. Pero el enfoque de Confianza cero es una manera de sacar a su organización de la seguridad perimetral y llevarla al borde de servicio de acceso seguro (SASE) al tiempo que su empresa continúa su transformación digital.

 

Join the Conversation: Find Solve on Twitter and LinkedIn, or follow along via RSS.

Stay on top of what's next in technology

Learn about tech trends, innovations and how technologists are working today.

Subscribe
cybersecurity skills gap

Libro electrónico: Libro de trabajo para la seguridad con el enfoque de Confianza cero

About the Authors

Jeffrey Tehovnik

Product Engineer - Government Solutions

Jeffrey Tehovnik

The role of Product Engineer for Government Solutions is a natural fit for Jeff Tehovnik with his diverse and complimentary skillsets in Development, Cloud Network Infrastructure, and Security. Jeff has been working in IT since 1998 and graduated from Virginia Commonwealth University (BS-IS 2012, MS-CISS 2014) and the SANS Technology Institute (PGC Ethical Hacking & Penetration Testing). Jeff also enjoys research and educating on Technical Information Security Topics including Network Security Monitoring and Advanced Persistent Threats. In addition to recently passing the CCSP exam, Jeff holds the CISSP, GCIH, GPEN, GWAPT, GXPN and VMware NSX: Micro-Segmentation certificates.  When he’s not delving into the cloud, Jeff enjoys Reading, Fishing, and Vacationing at the beach with his wife and kids.  He is also an avid Hockey Fan.  

Read more about Jeffrey Tehovnik