Después de comprender cómo funciona la fase de preparación de la jornada de Zero Trust, es hora de explorar más la planificación.
Mientras que la preparación implica análisis estratégicos y recopilación de información de forma amplia y profunda, la planificación supone documentar todos los recursos incluidos en el proceso de adopción de Zero Trust, clasificados en:
- Activos
- Identidades
- Datos
- Cargas de trabajo
En esta publicación, te explicamos con más detalle este importante paso de la jornada Zero Trust y el camino para crear inventarios basados en las mejores prácticas del NIST (National Institute of Standards and Technology, Instituto Nacional de Estándares y Tecnología).
¿Qué es la fase de planificación en la jornada de Zero Trust?
La planificación se basa en la creación de inventarios de activos tangibles e intangibles dentro de la red. A partir de la relación de estos activos, se hace posible medir la criticidad y las consecuencias de una eventual pérdida o violación, para luego construir una postura de defensa adecuada.
Completar esta tarea suele exigir un gran esfuerzo, especialmente en las grandes empresas. Por esa razón, las prácticas recomendadas por NIST indican que los activos de los stakeholders deben ser el enfoque inicial. Luego, el proceso puede dividirse en subconjuntos dirigidos a áreas menores.
Dicho direccionamiento está en sintonía con la idea de simplificar la jornada, ya que muchos de los esfuerzos se reducen para que se puedan dar los siguientes pasos.
¿Cómo clasificar y construir inventarios en la jornada de Zero Trust?
Aquí la pregunta es: ¿por dónde empezar a planificar? Clasificando los inventarios en activos, identidades, datos, flujo de datos y flujo de trabajo, proceso que abordaremos a continuación.
Activos
”No puedes protegerte de lo que no puedes ver”. Es posible que nunca te hayas encontrado con esta frase, pero define claramente la importancia del inventario de activos en la jornada de Zero Trust, ya que todos los sistemas, dispositivos, software y aplicaciones en una red están documentados en él.
Uno de los principales beneficios del inventario de activos es hacer posible la identificación de vulnerabilidades de seguridad y la creación de planes de acción eficientes, evitando así que se gaste tiempo y dinero innecesariamente.
El trabajo de crearlo puede ser más o menos dificultoso dependiendo del tamaño de la empresa y la cantidad de activos tangibles existentes. De todos modos, existen varias formas de automatizar el proceso para obtener visibilidad de los activos de TI de una manera rápida y sencilla.
Identidades
Las identidades pueden ser personas o cualquier tipo de entidad en la red. Dado que utilizan los recursos de la empresa, el control de acceso es necesario para que entidades autorizadas puedan acceder a a recursos determinados, en el momento y contexto adecuado.
Por ejemplo, los recursos a los que tienen acceso los administradores del sistema, los desarrolladores y lo stakeholders suelen ser críticos para el negocio y deben ser los primeros elementos mapeados y analizados cara a la seguridad.
El inventario de identidades tiene como objetivo precisamente almacenar información fidedigna sobre las entidades que accedan a los recursos de la red, para que el equipo de seguridad pueda analizar con anticipación los obstáculos y vulnerabilidades para la implementación de Zero Trust.
Datos
Además de los inventarios anteriores, es necesario crear un inventario para almacenar y catalogar todos los datos e información existentes en los sistemas que integren la estrategia Zero Trust. A partir de este inventario es posible comprender el estado actual de los activos, así como de la infraestructura de red y comunicaciones, lo cual es crucial para desarrollar la estrategia de defensa.
Como los datos estarán dispersos por toda la empresa y suelen ser numerosos, se recomienda que la organización priorice la documentación de los más importantes y sensibles. Ejemplos: información privada, secretos comerciales y propiedad intelectual.
Según la AFCEA (Armed Forces Communications & Electronics Association International, Asociación Internacional de Comunicaciones y Electrónica de las Fuerzas Armadas), una de las mejores prácticas para garantizar que los datos de misión crítica estén siempre disponibles para respaldar funciones de misión y para que nunca caigan en malas manos consiste en definir data stewards (gestores de datos).
¿Qué son los data stewards?
En una estrategia de Zero Trust, los data stewards son las personas a cargo de organizar y gestionar los datos de la misión. Tienen la responsabilidad de mantenerlos seguros y garantizar que se usen de acuerdo con los permisos de acceso y la función de cada dato en el contexto de dicha misión.
El hecho de que nos refiramos a la figura del data steward en plural no es casualidad. En la mayoría de las empresas, la gestión de datos se divide entre las diferentes áreas involucradas en la misión, de modo que a cada data steward se le asigna la gestión de un determinado conjunto de datos críticos. Este proceso es orquestado por el Chief Data Officer.
Flujo de datos
El flujo de datos es el camino que recorren los datos desde la empresa hasta el usuario final. En una arquitectura Zero Trust se debe prestar atención, entre otros puntos, al cifrado en la transmisión de datos entre aplicaciones, servicios y usuarios.
El inventario de flujo de datos es el documento que registra todo el trayecto de los datos por los activos, identidades y demás componentes considerados por la estrategia de Zero Trust.
Por ejemplo, un desarrollador usa su laptop para acceder a los datos necesarios para conectar soluciones vía API. El flujo entre la solicitud y la respuesta es lo que deberá estar en el inventario para obtener una visibilidad completa.
Cargas de trabajo
En el contexto de Zero Trust, las cargas de trabajo (workloads) son las conexiones existentes en las aplicaciones de la empresa. Cuando se documentan las cargas de trabajo, es más fácil comprender cómo se protegerán las interfaces entre las aplicaciones, orígenes, usuarios y entidades.
Este proceso comprende la seguridad de acceso a las aplicaciones y entornos que involucren a cualquier usuario, dispositivo y ubicación. Además, permite implementar en la arquitectura la creación de una zona de acceso seguro. Simplemente, no hay forma de construir una arquitectura Zero Trust eficiente sin una estrecha vigilancia sobre las cargas de trabajo.
Vale la pena mencionar que las cargas de trabajo son parte de un enfoque llamado Trusted Access (autenticación de usuarios), definido por Cisco en forma de tres pilares: workforce*,* workload * * y * * workplace ([fuerza de trabajo, carga de trabajo y lugar de trabajo). Se trata de un conjunto de mejores prácticas que hacen posible que exista la tercera fase de la jornada Zero Trust, tema que abordaremos en un próximo artículo.
Consideraciones imporantes sobre los procesos de la planificación
La creación de inventarios, con énfasis en las configuraciones de carga de trabajo, es una tarea que requiere una cantidad considerable de tiempo si se realiza manualmente.
Según Forrester, debido a la facilidad con la que las cargas de trabajo se generan, en arquitecturas en cloud deben documentarse con la ayuda de soluciones que brinden este tipo de visibilidad. De ese modo, el proceso se simplifica y no crea cuellos de botella, permitiendo que el equipo pueda continuar con las siguientes etapas de la jornada lo más rápido posible. En otras palabras, siempre es bienvenido el uso de herramientas, plataformas y soluciones que contribuyan a una buena visibilidad.
El trabajo centrado en los datos se beneficia de la adopción de soluciones de observabilidad, capaces de hacer visibles las interacciones entre usuarios, aplicaciones y datos desde una gran cantidad de dispositivos, incluyendo la creación de un conjunto de políticas de Zero Trust, que veremos en el siguiente artículo de esta serie.
El stack de seguridad de Azion simplifica la implementación de Zero Trust al facilitar la obtención, en tiempo real, de datos de eventos que ocurren en las aplicaciones. También simplifica la creación de políticas, reglas y controles de acceso eficientes para la generación de tus cargas de trabajo.
Entra en contacto con nuestros expertos y descubre cómo podemos ayudar a tu empresa a llevar su seguridad al siguiente nivel.
