Cómo la confianza cero te permite recuperar el control

Cómo la confianza cero te permite recuperar el control


Cero confianza. No es solo una nueva palabra de moda, o tal vez el nombre de una película de acción cuestionable, sino un conjunto real de principios, procedimientos y métodos para abordar el cambiante panorama de seguridad de TI y modernizar los enfoques de seguridad de infraestructura de TI desde cero.

En los últimos años, la eliminación, o al menos la reducción, de la confianza en la red ha sido fundamental para que las empresas se defiendan contra las múltiples amenazas de seguridad que surgen de la informática moderna.

La informática móvil, el trabajo remoto y la prevalencia de las soluciones de software como servicio (SaaS) han significado que las soluciones tradicionales seguridad perimetral se penetra fácilmente: por lo tanto, la confianza es un riesgo de seguridad y se deben implementar estrategias de autenticación adicionales para garantizar que cada fuente de datos o dispositivo tenga un nivel de seguridad adecuado.

Esto no es solo sentido común desde una perspectiva tecnológica, sino que es posiblemente necesario. El Reglamento General de Protección de Datos (GDPR) y otras leyes y reglamentos específicos de la industria exigen que las organizaciones implementen medidas de seguridad técnicas y organizativas apropiadas para garantizar un nivel de seguridad de datos y sistemas que sea apropiado para el riesgo.

Si bien la confianza cero aún no se exige específicamente en muchos estándares comunes de seguridad de la información, cada vez es más un reflejo del comienzo del arte en términos de seguridad.

La confianza cero cambia el modelo tradicional de «confianza, pero verifique», donde usted asume que cualquier dispositivo o activo conectado a su red interna probablemente tenga permiso y sea seguro para acceder a recursos internos, pero aún verifica que ese sea el caso, para » nunca confíe, siempre verifique «, donde cada dispositivo debe pasar las verificaciones de políticas de autenticación y seguridad para acceder a los recursos corporativos y controlar el acceso solo en la medida requerida.

Afortunadamente, este cambio a la confianza cero es donde los equipos de infosec retoman el control de los muchos nuevos perímetros del ecosistema corporativo. Cambia la seguridad de la capa de dirección y ubicación a un modelo centrado en datos. La segmentación de red de confianza cero también proporciona visibilidad en el tráfico y le permite comprender “quién, qué, cuándo, dónde, por qué y cómo”, que son importantes para administrar el acceso, la seguridad, el monitoreo y el cumplimiento.

Deberías leer:   Hielo industrial o casero: diferencias, cuál enfría más y consejos para hielo en casa | Life

La confianza cero generalmente combina elementos de control para administrar el dispositivo, el usuario y el nivel de confianza para cualquiera que desee acceder a los recursos corporativos:

  • Gestión unificada de puntos finales: la capacidad de hacer cumplir y monitorear el cumplimiento de todos los dispositivos de punto final, ya sean corporativos, traigan su propio (BYOD) o el contratista provisto. Esto significa que comprende el estado de su dispositivo y las amenazas de seguridad específicas que pueden surgir, como la desactualización de los sistemas operativos.
  • Inicio de sesión único (SSO): Un punto de inicio de sesión, que pasa credenciales completamente validadas de un sistema a otro. Una versión única de la verdad de ID de usuario y un único punto de entrada que valida las credenciales de un usuario y registra el acceso dentro y fuera de los sistemas corporativos, es una parte importante de una experiencia de usuario fácil en un entorno de confianza cero.
  • Autenticación multifactorial (MFA): un dispositivo confiable, una clave de seguridad de hardware, una medida biométrica, análisis de comportamiento, datos de ubicación, restricciones basadas en el tiempo, etc., todo se puede combinar para crear un «perfil» de múltiples factores para establecer las credenciales de un usuario. Cuando cada usuario debe ser validado, confiar en un solo factor ya no es una opción.

El nuevo mantra para administrar la seguridad de TI es hacer que sea lo más difícil posible que un ataque atraviese sus defensas, pero comprenda que este no es un caso de «si» atraviesa un atacante, sino «cuándo». Necesita saber cuál es la mejor manera de registrar, rastrear y rastrear las rutas de acceso y los datos extraídos, y limitar la contaminación entre sistemas, segmentar los activos y el acceso para restringir los movimientos de los atacantes, incluso cuando logran ingresar.

Si bien la confianza cero tiene sus beneficios, también tiene sus desafíos. Muchas empresas aún ejecutan sistemas de software personalizados o heredados que pueden haber sido diseñados teniendo en cuenta las defensas perimetrales más tradicionales. Puede ser difícil pasar a cero confianza. Por lo tanto, la transformación digital para lograr la confianza cero puede ser costosa y lenta. Al implementar soluciones de confianza cero, a menudo se requieren nuevas tecnologías para la segmentación y la autenticación, lo que significa que el riesgo de la cadena de suministro también debe gestionarse.

Deberías leer:   Bienvenidos a los verdaderos granjeros de TikTok

Nuestros mejores consejos para los CISO que intentan pasar a cero confianza son:

1. Asegúrese de que los activos y sistemas de datos se identifiquen y evalúen correctamente en términos de la sensibilidad de los datos

Las organizaciones deben tener un registro de todos los sistemas y las razones y el alcance de su acceso a los activos y datos corporativos. Sin dichos registros e identificadores de activos, puede ser difícil comprender la topología de la red corporativa e identificar riesgos y mitigaciones a través de la comprensión de los flujos de datos y puntos de acceso dentro y fuera de la red.

Una evaluación adecuada y actualizada de la sensibilidad de los datos almacenados también puede contribuir a la priorización de la seguridad de la red, asegurando que los sistemas y datos más sensibles estén protegidos adecuadamente. Esto se relaciona fuertemente con el mapeo de datos, y puede ayudar a demostrar las medidas de seguridad técnicas y organizativas apropiadas y garantizar la responsabilidad a los fines del cumplimiento normativo.

2. Identifique sistemas problemáticos como el software heredado o personalizado que puede ser difícil de migrar a cero confianza

Muchas organizaciones necesitan implementar un enfoque híbrido que les permita administrar el riesgo de los sistemas de confianza y verificación en software heredado y personalizado hasta que esos sistemas estén listos para actualizarse, en lugar de simplemente actualizarlos para cambiar a seguridad de confianza cero.

Un enfoque híbrido puede ser la única opción para los sistemas de misión crítica más antiguos que no se pueden reemplazar fácilmente. Comprender qué dispositivos y recursos interactúan con los sistemas basados ​​en la confianza ayudará a identificar dónde más se debe implementar la confianza cero para garantizar que se minimicen las brechas.

3. Considere qué nivel de protección es apropiado para el riesgo de los datos, mapee los flujos de transacciones de datos por completo, diseñe medidas de seguridad de manera apropiada y desarrolle e implemente una política diseñada para respaldar este diseño y clasificación

Para algunos activos de datos que son menos sensibles que otros, retener un nivel de confianza podría ser apropiado, siempre que otros activos de datos más sensibles estén protegidos utilizando un enfoque de confianza cero.

Deberías leer:   Alerta por un producto de Mercadona mal etiquetado no apto para personas celiacas | Life

4. Seleccione cuidadosamente los proveedores en el ecosistema de confianza cero, emprendiendo la diligencia adecuada y las pruebas de los productos que ofrecen

Se sabe que las violaciones de datos y el tiempo de inactividad ocurren cuando hay fallas en las soluciones de terceros y, por lo tanto, es clave contar con un proceso riguroso para evaluar a los proveedores. Por ejemplo, una falla de seguridad en el software o los servicios de autenticación podría socavar todo el enfoque de la confianza cero (como vimos recientemente con un importante proveedor de MFA).

5. Cree soluciones de confianza cero cuidadosamente en los procedimientos de continuidad del negocio y recuperación ante desastres y pruébelos

Las soluciones alternativas en las que se basan las situaciones de recuperación ante desastres donde los activos de datos o los procesos de autenticación están fuera de línea a menudo dependen de la confianza y, por lo tanto, pueden socavar las soluciones de confianza cero que pueden implementarse. Por ejemplo, las soluciones de inicio de sesión único generalmente se implementan en todos los recursos corporativos que actúan como puerta de enlace, validador y autenticador para todos los sistemas, ya sea accedidos o ubicados dentro o fuera del sitio.

Garantizar que los administradores de TI hayan documentado los procedimientos de emergencia y las fallas de autenticación locales garantiza que los impactos de las fallas críticas de los sistemas se minimicen.

6. Garantizar que la compatibilidad de confianza cero sea obligatoria para todos los nuevos programas y adquisiciones de sistemas para facilitar el viaje hacia la confianza cero, no solo parcial.

La confianza cero es claramente un desarrollo necesario para proteger los datos y los activos en un ecosistema de TI cada vez más fragmentado. Para muchos, se requerirán soluciones híbridas hasta que se puedan actualizar los sistemas heredados y personalizados.

Puede ser una batalla cuesta arriba para algunas organizaciones, pero la realidad de no lograrlo probablemente implicará mayores riesgos para la seguridad de la información y mayores riesgos de incumplimiento de la normativa y daños a la reputación en el futuro.


Robert Grannells, asociado del equipo de tecnología de FieldFisher, proporcionó asistencia para la investigación de este artículo.

Acerca de

Pilar Benegas es una reconocida periodista con amplia experiencia en importantes medios de USA, como LaOpinion, Miami News, The Washington Post, entre otros. Es editora en jefe de Es de Latino desde 2019.