Tiempo de lectura: 3

Ya no es posible basarse 煤nicamente en las ubicaciones f铆sicas o de la red para confiar en los activos digitales y en los usuarios. Este es el enfoque de confianza cero (Zero Trust) para el dise帽o de ciberseguridad, una arquitectura o conjunto de principios en torno a los cuales un n煤mero creciente de organizaciones est谩n reestructurando las defensas cibern茅ticas. De hecho, se espera que el mercado de seguridad de Zero Trust registre una tasa de crecimiento anual compuesta (CAGR, por sus siglas en ingl茅s) de 18% para 2026.1

[1] 鈥淶ero Trust Security Market - Growth, Trends, COVID-19 Impact, and Forecasts (2021 - 2026)鈥�, Research and Markets, July 2021.

Zero Trust llega en el momento justo

A nivel mundial, todas las empresas est谩n respondiendo a las tendencias aceleradas por los cierres de COVID-19, incluida la migraci贸n masiva al trabajo remoto, un aumento intensivo en los ataques de ransomware, pr谩cticas de 鈥渢rae tu propio dispositivo鈥� y la proliferaci贸n de aplicaciones en la nube.

Estas tendencias permiten que personas malintencionadas exploten los agujeros en la seguridad debido, en gran parte, al r谩pido ritmo de la transformaci贸n digital. En los 煤ltimos cinco a帽os, surgi贸 un ecosistema distribuido de datos y cargas de trabajo, mientras que el per铆metro de seguridad m谩s tradicional comenz贸 a disolverse. A medida que los activos individuales se volvieron m谩s dif铆ciles de proteger, la frecuencia y el alcance de los ataques cibern茅ticos se multiplicaron, incluidos varios ataques de alto perfil que afectaron a los clientes y da帽aron la reputaci贸n de empresas. Para 2025, se espera que los da帽os por delitos inform谩ticos globales alcancen los USD 10.5 billones de d贸lares anuales.2

Con un enfoque de Zero Trust, las empresas crean una defensa "sin per铆metro", [SC1] con medidas de protecci贸n y confianza para cada aspecto de ese ecosistema, incluidos los activos, las cargas de trabajo y otros recursos.

El gobierno de los EE.UU. dio su propio sello de aprobaci贸n al concepto de Zero Trust. Una orden ejecutiva de mayo de 2021 sobre la mejora de la ciberseguridad del pa铆s declar贸 la necesidad de que su gobierno "avanza hacia la arquitectura de Zero Trust" para modernizar su enfoque, como otro gran motivador para que las empresas p煤blicas y privadas hagan lo mismo.3

 

[2] 鈥淐ybercrime to Cost the World $10.5 Trillion Annually by 2025鈥� Cybersecurity Ventures, November 13, 2020.

[3] 鈥淓xecutive Order on Improving the Nation鈥檚 Cybersecurity鈥�, Executive Order 14028 of the US government, May 12, 2021.

Planificaci贸n de una transici贸n

Las organizaciones no tienen que encender un interruptor de confianza cero; pueden integrar sus principios gradualmente y usarlos de manera h铆brida, como muchas est谩n inclinadas a hacer mientras su portafolio de aplicaciones y servicios se modernizan. A medida que las organizaciones comienzan el proceso, pueden seguir estas recomendaciones:

1. Considerar establecer un centro de excelencia (COE, por sus siglas en ingl茅s) de Zero Trust

Para planificar e implementar un modelo de confianza cero, el grupo de partes interesadas debe expandirse m谩s all谩 del equipo de seguridad, debido a que muchas funciones pueden verse afectadas por una infracci贸n o incidir en la seguridad de la organizaci贸n. Identidad, redes, desarrollo de aplicaciones, tecnolog铆a end-point, arquitectura empresarial y l铆deres de la nube son algunos de los miembros importantes de un centro de excelencia de Zero Trust.

El centro de excelencia debe desarrollar una definici贸n de confianza cero espec铆fica para la empresa as铆 como los principios clave; establecer una l铆nea base de su estado actual y definir una hoja de ruta de adopci贸n y prioridades. Esto deber铆a incluir una curva de madurez en Zero Trust para comunicar claramente los objetivos prioritarios de manera trimestral.

El centro de excelencia suele ser muy activo los primeros dos o tres a帽os de la transformaci贸n. Una vez que la empresa comienza a implementar un dise帽o centrado en confianza cero, dicho centro puede supervisar el progreso con respecto a los objetivos y continuar estableciendo la direcci贸n para la adopci贸n.

2. No empezar con las soluciones

Hay que determinar qu茅 se necesita mejorar y qu茅 componentes Zero Trust tienen sentido, haciendo algunas preguntas clave:

  • - 驴C贸mo se valida la seguridad?
  • - 驴Qui茅n puede acceder a la informaci贸n y por qu茅?
  • - 驴C贸mo se impone el acceso?
  • - 驴C贸mo se habilita internamente la confianza actualmente?
  • - 驴C贸mo est谩 cambiando la fuerza de trabajo?
  • - 驴C贸mo est谩 cambiando el portafolio de aplicaciones?

3. Profundizar en los temas importantes

  • - Oportunidades de segmentaci贸n y microsegmentaci贸n
  • - Adopci贸n del principio de privilegio m铆nimo
  • - Supervisi贸n y visibilidad del tr谩fico en todos los segmentos, es decir, este-oeste (aplicaci贸n, o carga de trabajo a aplicaci贸n o carga de trabajo dentro del centro de datos o la nube) y norte-sur (usuario a aplicaci贸n o carga de trabajo)
  • - Consolidaci贸n y estandarizaci贸n de servicios y dispositivos end-point

4. Adaptar el alcance y la velocidad de implementaci贸n al nivel de madurez de la organizaci贸n

Por ejemplo, las grandes organizaciones y aquellas en industrias digitalmente avanzadas o altamente reguladas pueden estar un paso adelante, con medidas ya implementadas, como la identificaci贸n multifactorial y la segmentaci贸n de la red. Su pr贸ximo paso podr铆a ser mejorar la visibilidad e inteligencia sobre amenazas mediante la inversi贸n en una soluci贸n de interfaz 煤nica para monitorear mejor su ecosistema.

Es posible que otras entidades, incluidas aquellas dentro de la misma organizaci贸n, no sean capaces de adoptar totalmente Zero Trust debido a su estructura, los servicios que ofrecen, protecciones air gap , entre otros factores. Sin embargo, a煤n pueden trazar un camino ascendente hacia la confianza cero y mejorar su postura de seguridad mediante la aplicaci贸n de los componentes que mejor les funcionen.

Zero Trust es para todos

La confianza cero puede ayudar a las empresas a resolver sus desaf铆os emergentes de ciberseguridad, pero tambi茅n puede desempe帽ar otras dos funciones importantes: aliviar muchos de los problemas de seguridad que las organizaciones han enfrentado hist贸ricamente, as铆 como limitar el radio de da帽o ante una brecha de seguridad, en caso de que ocurra.

Est谩 bien si todos los segmentos de la empresa no logran adoptar la confianza cero por completo de inmediato; basta con encontrar el camino para comenzar. Dada la flexibilidad del modelo y su implementaci贸n, las organizaciones pueden desarrollar la soluci贸n adecuada para satisfacer sus necesidades actuales, con gran oportunidad de adaptarse en el futuro.

Comun铆quese con nosotros para obtener m谩s informaci贸n y analizar c贸mo podemos ayudarle en su enfoque de confianza cero en materia de ciberseguridad.

La informaci贸n aqu铆 contenida es de naturaleza general y no tiene el prop贸sito de abordar las circunstancias de ning煤n individuo o entidad en particular. Aunque procuramos proveer informaci贸n correcta y oportuna, no puede haber garant铆a de que dicha informaci贸n sea correcta en la fecha en que se reciba o que continuar谩 siendo correcta en el futuro. Nadie debe tomar medidas con base en dicha informaci贸n sin la debida asesor铆a profesional despu茅s de un estudio detallado de la situaci贸n en particular.

乐鱼(Leyu)体育官网

漏 2025 Ostos Vel谩zquez & Asociados, una sociedad venezolana y firma miembro de la organizaci贸n global de 乐鱼(Leyu)体育官网 de firmas miembro independientes de 乐鱼(Leyu)体育官网 afiliadas a 乐鱼(Leyu)体育官网 International Ltd, una entidad privada Inglesa limitada por garant铆a. Todos los derechos reservados. RIF: J-00256910-7.Para m谩s detalles sobre la estructura de la organizaci贸n global de 乐鱼(Leyu)体育官网, por favor visite /governance.