Cómo encontrar la estrategia correcta de confianza cero


En 2019, Forrester informó que la confianza cero (ZT) llegaría a la corriente principal en Europa. Los profesionales de seguridad y riesgo en organizaciones internacionales con operaciones europeas deben comprender cómo aplicar la confianza cero.

Forrester ha desarrollado un marco ampliado de confianza cero para guiar a los directores de seguridad de la información (CISO) con sus estrategias de confianza cero.

La confianza cero es un modelo arquitectónico conceptual que utiliza microperímetros y microsegmentación para asegurar las redes corporativas. El enfoque aumenta la seguridad de los datos a través de técnicas de ofuscación, limita los riesgos asociados con excesivos privilegios de usuario y mejora drásticamente la detección y respuesta de seguridad a través de análisis y automatización.

Conocimiento de datos

La disposición del Reglamento General de Protección de Datos (GDPR) significa que las empresas hoy en día saben más sobre sus datos: dónde están, cómo fluyen dentro y fuera de sus organizaciones, y cómo se rige el acceso a los datos. Y estas ideas proporcionan una ventaja sustancial en su implementación de confianza cero.

Pero la aceptabilidad de los controles técnicos de seguridad varía dramáticamente según el país. Forrester recomienda a los CISO que presten atención a las normas culturales y regulatorias europeas locales donde sea que planeen implementar el modelo de confianza cero. Planifique las regulaciones y las partes interesadas involucradas y elabore un plan para abordarlas.

Por ejemplo, los países con gobierno corporativo liderado por los empleados se resisten a la supervisión de los empleados. Los estándares de gobierno corporativo en países como Francia, Alemania y los Países Bajos enfatizan la participación de los empleados. Los consejos de trabajadores gozan de autoridad sustancial para desafiar a la gerencia y proteger los intereses de los empleados, y restringen en gran medida el monitoreo de las acciones de los empleados y el uso de los sistemas. Por lo tanto, los líderes de seguridad deben tener cuidado al monitorear las acciones de los empleados cuando usan análisis de comportamiento del usuario de seguridad (Suba), prevención de pérdida de datos (DLP) o gestión de identidad privilegiada (PIM).

Deberá demostrar a los consejos de trabajadores que sus planes no degradan los derechos de los empleados ni se entrometen en las acciones de los empleados. Como lo expresó un ejecutivo de proveedor: “Solía ​​ser que simplemente no vendimos ningún DLP en Alemania punto final La conversación ahora comienza con «¿Cómo podemos hacerlo de manera segura?» En lugar de una negación total «.

Los CISO pueden aprovechar este cambio hacia una comprensión más sofisticada de la intersección de los controles de seguridad y las leyes de privacidad. Sus propios esfuerzos para involucrar a las partes interesadas deben demostrar que ha escuchado sus inquietudes y que ha tenido en cuenta sus puntos de vista.

Planifique la revisión explícita y los pasos de aprobación de las partes interesadas en su hoja de ruta ZT a medida que desarrolla su arquitectura de referencia. Desarrolle un plan de mitigación de riesgos que muestre cómo mitigará cualquier inquietud de privacidad o cultural.

Regulaciones y restricciones de datos

El GDPR define la información personal ampliamente, obstaculizando la vigilancia de la seguridad. El GDPR considera que los puntos de datos como la dirección IP dinámica, el identificador del dispositivo y las credenciales de autenticación, que se recopilan comúnmente durante el monitoreo, son información de identificación personal (PII).

La implementación de controles de visibilidad en el modelo ZT se vuelve más difícil como resultado, particularmente cuando su plataforma de análisis se implementa fuera de la Unión Europea (UE) o el Espacio Económico Europeo.

Esté preparado para discutir su programa de monitoreo de empleados en el contexto de la estrategia de seguridad general con su oficial de protección de datos (DPO), los consejos de trabajadores y los reguladores de protección de datos. Sea claro sobre lo que está recolectando, por qué es necesario y cómo salvaguardará la privacidad de los empleados.

Revisión necesaria

Forrester recomienda que los CISO revisen las transferencias internacionales de datos y la gestión de claves criptográficas.

Si necesita transferir información de identificación personal de los residentes de la UE a un país no perteneciente a la UE (como el Reino Unido después del Brexit), es probable que necesite implementar marcos adicionales, como cláusulas contractuales modelo o normas corporativas vinculantes.

O si está transfiriendo datos a los EE. UU., Deberá cumplir con el Escudo de privacidad. Sea muy claro acerca de las ubicaciones donde se almacenan o procesan los datos, y trabaje con su privacidad y sus equipos legales para determinar las medidas más apropiadas. También prepárese para enfrentar la divulgación requerida a los gobiernos incluso de datos cifrados.

Por ejemplo, la Ley China contra el Terrorismo exige que las empresas entreguen claves de cifrado a las autoridades locales si les solicitan descifrar información.

Cuando los datos se anonimizan, se reduce la visibilidad de seguridad necesaria para la confianza cero. La anonimización de datos puede mitigar algunas preocupaciones de protección de datos, pero de acuerdo con el GDPR, solo los datos completamente anónimos no son de naturaleza personal.

Los datos se pseudonizan en la mayoría de los casos, lo que significa que es posible volver a identificar a las personas. Sin embargo, la aplicación de técnicas de anonimización de datos complica la visibilidad de ZT al dificultar la identificación de la sensibilidad o la criticidad de los datos en su forma anónima.

Colin McMillan, director técnico de seguridad de Cisco, dice: “Algunos clientes europeos han utilizado la anonimización de datos para tratar problemas de soberanía de datos. Pero cuando implementan ZT, todavía quieren visibilidad. Los clientes han implementado soluciones técnicas de maneras no estándar para evitar esto, lo que dificulta el mantenimiento y el soporte para todos los involucrados «.

Los ejecutivos que no son de seguridad piensan que la confianza cero es solo una arquitectura de seguridad de red. Los responsables de la toma de decisiones de seguridad de red han impulsado la adopción de confianza cero en Europa hasta el momento, con poca discusión por encima del nivel CISO.

Esto podría ser el resultado de la alta proporción (42%) de los tomadores de decisiones de seguridad empresarial de mayor jerarquía que informan al CIO en Europa. Forrester recomienda que los CISO deben enfatizar los muchos elementos del marco extendido de confianza cero de Forrester que van más allá de la red.

Si los CISO no elevan la confianza cero, sus esfuerzos de implementación no lograrán sus objetivos comerciales y de seguridad. norte

Este artículo es un extracto de Forrester Cómo implementar la seguridad de confianza cero en Europa por analistas Paul McKay, Chase Cunningham y Enza Iannopollo.