5 pasos para adoptar un modelo de Confianza Cero
5 pasos para adoptar un modelo de Confianza Cero
Adoptar un modelo de confianza cero (Zero Trust) en su organización es una práctica esencial de ciberseguridad. Sin embargo, muchas empresas desconocen los pilares de un modelo de confianza cero. En este artículo, lo desglosamos: qué es el modelo de confianza cero, por qué lo recomendamos y cómo comenzar.
¿Qué es Confianza Cero?
La confianza cero es un concepto que significa que cada organización, de manera predeterminada, debería poner confianza cero en cada usuario, punto final, dispositivo, etc. Desde usuarios internos a externos, dispositivos móviles a computadoras portátiles, componentes de red a conexiones de red, cada punto final debe considerarse no confiable. hasta que sea autenticado y autorizado.
Algunos aspectos importantes a tener en cuenta sobre la confianza cero:
- La confianza cero es un viaje de varios años. La confianza cero no se implementa simplemente y luego se deja sola. No hay límite en cuanto a cuán lejos se puede llegar, y las empresas a menudo trabajan para mejorar y perfeccionar su estrategia de confianza cero con el tiempo.
- Es un conjunto de procesos, no una única solución. La confianza cero no es únicamente una solución técnica, sino más bien una colección de procesos construidos sobre sólidas capacidades de TI, como la gestión de activos, la gestión de identidades y la autenticación.
- Solo tiene éxito con una estrecha integración. Es confianza cero solo cuando todas sus señales de seguridad y capacidades de aplicación funcionan en armonía para hacer cumplir las tolerancias de riesgo de su organización.
¿Por qué se recomienda la Confianza Cero?
Aparte de los beneficios de seguridad obvios, hay varias otras razones por las que es una opción inteligente adoptar la confianza cero. En el estudio encargado The Total Economic Impact™ of Zero Trust Solutions from Microsoft, Forrester Consulting informa que la adopción de soluciones de Microsoft para implementar una estrategia de seguridad confianza cero ofrece lo siguiente:
- Un retorno de la inversión (ROI) del 92% a tres años con un período de recuperación de menos de seis meses.
- Un 50% menos de probabilidad de una violación de datos.
- Aumentos de eficiencia del 50 % o más en todos los procesos de seguridad.
Cómo empezar con Confianza Cero
La confianza cero es un concepto de seguridad fundamental, pero también puede ser difícil de entender si recién está comenzando. La confianza cero se visualiza de manera diferente para cada organización, entonces, ¿cómo debería comenzar con la confianza cero?
Aquí hay cinco pasos que puede seguir para acercarse a la creación de una estrategia de confianza cero que mejore drásticamente la postura de la organización con respecto a seguridad de su organización:
1. Defina sus objetivos
El National Institute of Standards and Technology articula dos objetivos principales de la confianza cero:
- Evitar el acceso no autorizado a datos y servicios
- Hacer que el control de acceso y las decisiones de control de acceso sean lo más detallados posible
Estos objetivos siempre deben tenerse en cuenta al establecer la confianza cero. Pero también debe tener en cuenta los objetivos específicos de su organización y por qué desea mejorar la seguridad.
2. Identificar lo que se debe proteger
Cada organización tiene varios tipos de datos y diferentes puntos de entrada a través de los cuales se puede acceder a los datos. Asegúrese de describir claramente ambos antes de evaluar su preparación para la confianza cero.
3. Evalúe su preparación para la confianza cero
Evaluar su preparación para la confianza cero implica evaluar los niveles de madurez de la red, los puntos finales, los datos y la identidad del usuario de su organización. El Cuestionario de Evaluación de Madurez de Confianza Cero de Microsoft puede ayudarlo a identificar estas áreas clave y evaluar su preparación.
4. Construya su arquitectura, defina políticas y limite el acceso
Una vez que haya definido sus objetivos, identificado lo que necesita proteger y evaluada su preparación, estará listo para construir su arquitectura de confianza cero. Una arquitectura de confianza cero es la forma en que se estructuran los dispositivos y servicios de red de una empresa para permitir un modelo de seguridad de confianza cero. No hay un solo producto que se pueda implementar para lograr la confianza cero. Es un conjunto de principios de diseño que constituyen un marco.
Todas las redes de confianza cero deben seguir estos principios fundamentales:
- Todos los controles de acceso predeterminados deben establecerse en "denegar" para todos los usuarios y dispositivos (todo está siempre en modo "no confiable")
- Use una variedad de técnicas preventivas para autenticar a todos los usuarios y dispositivos cada vez que se solicite acceso a la red
- Habilite el monitoreo y los controles en tiempo real para identificar actividades y amenazas maliciosas
5. Supervisar y mantener
Como se indicó anteriormente, continuar monitoreando y manteniendo un entorno seguro es extremadamente importante cuando se adopta un modelo de confianza cero. Implemente sistemas que puedan monitorear continuamente su entorno para protegerlo de ataques maliciosos y amenazas cibernéticas.
El modelo de confianza cero brinda seguridad contra todas las amenazas simplemente al no confiar en ningún dispositivo, punto final o usuario de forma predeterminada. Puede sonar como un concepto simple, pero hay muchas partes móviles. A medida que más empresas adoptan un modelo de confianza cero, se vuelve más evidente para todas las organizaciones que existen amenazas tanto dentro como fuera de la organización.
¿Está interesado en obtener más información sobre la confianza cero? ¿O está listo para adoptar un modelo de confianza cero para su negocio? Póngase en contacto con nuestros especialistas en seguridad hoy. Podemos decirle dónde se encuentra en su madurez de seguridad y ayudarlo a pasar al siguiente nivel de su viaje de seguridad.
Cómo puede ayudar BDO
Entendemos los riesgos y desafíos cibernéticos que enfrentan hoy las empresas. El equipo de especialistas de BDO tiene la experiencia para evaluar y proteger su infraestructura, así como para ayudarlo a responder a posibles incidentes cibernéticos que su empresa pueda experimentar. Comuníquese con BDO Perú para establecer un plan de acción para su organización, adaptado a sus necesidades de seguridad específicas.
Adaptado por BDO Perú de ‘5 steps for adopting a Zero-Trust Model’, BDO USA, Febrero 2022.