Planifique una estrategia de confianza cero en seis pasos
Lance una estrategia de confianza cero en seis pasos. Aprenda cómo formar un equipo dedicado, haga preguntas sobre los controles de seguridad existentes y evalúe la prioridad de las iniciativas de confianza cero.
La confianza cero no es una propuesta llave en mano. Las empresas deben crear una estrategia de confianza cero que aborde cómo la organización abordará la mudanza y quién liderará el esfuerzo, entre otros factores importantes.
Sin embargo, antes de comenzar la planificación, asegúrese de que el equipo de ciberseguridad esté en la misma página sobre los atributos de la confianza cero.
- La confianza cero es muy granular. Solo se concede el acceso mínimo posible a la unidad de recurso más pequeña.
- La confianza cero es dinámica. La confianza se reevalúa constantemente a través de la interacción entre el usuario y el recurso.
- La confianza cero es de extremo a extremo. La seguridad se extiende desde la entidad solicitante hasta el recurso solicitado.
- La confianza cero es independiente de las clasificaciones preexistentes. Los términos dentro del perímetro y fuera del perímetro no tienen ningún significado en el mundo de la confianza cero.
Una vez que todos estén de acuerdo en la base de la confianza cero, los equipos de ciberseguridad pueden crear una estrategia basada en seis pasos.
Paso 1. Forme un equipo dedicado de confianza cero
La confianza cero es una de las iniciativas más importantes que puede emprender una empresa. Por lo tanto, en lugar de hacer que "pasar a la confianza cero" sea una tarea que esté por debajo de las principales tareas pendientes de todos, dedique un pequeño equipo encargado de planificar e implementar la migración de confianza cero.
Este equipo debe incluir miembros de seguridad de aplicaciones y datos, seguridad de red e infraestructura, e identidad de usuario y dispositivo porque esas áreas son las tres vías de acceso más fáciles a la confianza cero. El equipo también debe incluir miembros de las operaciones de seguridad, en particular del centro de operaciones de seguridad, y de la gestión de riesgos.
Paso 2. Evalúe el entorno
Comprender los controles en todo el entorno hará que la implementación de una estrategia de confianza cero sea más sencilla. Aquí hay algunas preguntas que hacer.
¿Dónde están los controles de seguridad?
En un entorno de red, estos controles incluyen firewalls, puertas de enlace de aplicaciones web y similares. En un entorno de usuario/identidad, los controles pueden ser la seguridad del punto final (detección y respuesta del punto final o detección y respuesta extendidas) y la gestión de identidad y acceso (IAM). En un entorno de aplicaciones y datos, estos incluyen seguridad de contenedores, prevención de pérdida de datos, autorización de microservicios y controles similares.
¿En qué medida estos controles proporcionan marcos de confianza dinámicos, granulares y de extremo a extremo que no dependen de clasificaciones preexistentes?
Los firewalls generalmente no son granulares, de un extremo a otro o dinámicos y se basan en clasificaciones simplistas: afuera = malo, y adentro = bueno.
¿Cuáles son las lagunas de conocimiento?
Es imposible proporcionar acceso granular a los datos si no comprende la clasificación de seguridad de esos datos. Los datos no clasificados representan una brecha de conocimiento que deberá abordarse en una estrategia de confianza cero.
Paso 3. Revise la tecnología disponible
Ya sea al mismo tiempo o después de la evaluación, revise las tecnologías emergentes para la rampa de entrada de su iniciativa de confianza cero. Los equipos de red de próxima generación incluyen capacidades como segmentación profunda, o microsegmentación, enrutamiento virtual y administración de sesiones con estado que pueden convertir estos dispositivos en componentes clave de una arquitectura de confianza cero. Las capacidades de IAM se están volviendo cada vez más granulares y dinámicas.
Paso 4. Lance iniciativas clave de confianza cero
Compare los resultados de su revisión de tecnología con las tecnologías que necesita. La comparación informará cómo desarrollar, priorizar y lanzar iniciativas como "actualizar la infraestructura de red existente a equipos capaces de segmentar la red en profundidad" o "implementar autenticación de microservicios".
Paso 5. Defina cambios operativos
La estrategia de confianza cero puede cambiar fundamentalmente las operaciones de seguridad. Por ejemplo, a medida que las tareas se automatizan, es posible que sea necesario modificar o automatizar las tareas manuales correspondientes para mantener el ritmo y evitar brechas en la seguridad.
Paso 6. Implemente, enjuague y repita
A medida que la organización implementa nuevas tecnologías, evalúe su valor de acuerdo con los KPI de seguridad, incluido el tiempo total medio para contener los incidentes, que debería disminuir drásticamente cuanto más se acerque una organización a la confianza cero.