En el primer artículo de nuestra serie sobre cómo simplificar la adopción de un modelo de seguridad Zero Trust, presentamos los pasos de planificación que deben tomarse antes de que comience su implementación.
Uno de los pasos más complejos citados es el plan de implementación de Zero Trust, que consta de cuatro fases (preparación, planificación, control de acceso e implementación) y que engloba varios procesos.
Así como las otras fases del proceso, el viaje se puede simplificar en varios puntos, comenzando con la preparación, una etapa que abordaremos en este blog post.
¿Qué es la fase de preparación en el plan de implementación de Zero Trust?
La visibilidad completa, precisa y oportuna es la base de la arquitectura Zero Trust. Todo comienza con la preparación, que consiste en crear misiones que engloben tareas de definición de objetivos e inserción de los stakeholders en el proceso.
La preparación se divide en cuatro etapas: estrategia, infraestructura, presupuesto y hoja de ruta. A continuación, veamos qué implica cada una de ellas.
Estrategia
Esta define los objetivos, acciones y planes que, en conjunto, brindan una visión completa de cómo se debe llevar a cabo la implementación de Zero Trust dentro de la empresa. Además de hacer transparente el camino para los involucrados, la elaboración de la estrategia saca a la luz percepciones que pueden generar oportunidades para reducir costos y prevenir posibles cuellos de botella.
Por ejemplo, evaluar la madurez del estado Zero Trust actual de la empresa es una de las mejores prácticas en el desarrollo de una estrategia, lo que permite, según Forrester:
- Comprender los proyectos de negocios actuales y las iniciativas de seguridad.
- Documentar dónde se pueden reutilizar las capacidades de TI actuales.
- Establecer objetivos para el estado de madurez deseado y el tiempo para alcanzarlo.
Como veremos más adelante, la estrategia allanará el camino para la construcción de una hoja de ruta que guiará a todos los involucrados.
Infraestructura
Toda la infraestructura de TI de la organización debe documentarse para que los principios de Zero Trust se apliquen de manera efectiva. Esto incluye la arquitectura de los sistemas, de los activos y de sus características, como el entorno en el que se ejecutan (cloud, on-premise o híbrido, por ejemplo) y si la tecnología es operacional o integrada al negocio.
En el punto anterior, mencionamos la reutilización de las capacidades de TI. La documentación de la infraestructura brinda la posibilidad de descubrir cómo un proceso en curso o que ya estaba en los planes, como migrar a una plataforma de edge computing, puede contribuir a acelerar el plan de implementación de Zero Trust y hacerlo más eficiente.
Presupuesto
Adoptar un modelo Zero Trust supone transformar la cultura y la postura de la organización con relación a la seguridad. Por tanto, no se trata solo de un conjunto de soluciones a utilizar, sino de todos los recursos humanos y esfuerzos que intervienen en la aplicación global de la política de seguridad Zero Trust.
Idealmente, el presupuesto debe basarse en una visión macro del plan que considere todos los procesos y necesidades de cada etapa. Por ejemplo, una microsegmentación eficiente requiere de una serie de componentes, como una arquitectura que permita trabajar con múltiples infraestructuras y API gateway, lo que también lleva a pensar en otros requisitos.
Hoja de ruta
Después de levantar y recopilar tanta información y definiciones, el siguiente paso es visibilizarlo todo creando una hoja de ruta. Podemos considerar la hoja de ruta como un plan muy detallado en el que se enumeran: misión, actividades, áreas y proveedores de tecnología, entre otros elementos clave para llegar a la arquitectura Zero Trust.
A partir de la visibilidad brindada por la hoja de ruta, los stakeholders pueden analizar las dependencias y los requisitos del plan de implementación de Zero Trust para identificar brechas y permitir que fluyan acciones e iniciativas clave, promover las mejoras necesarias y manejar los aspectos financieros del proyecto, así como para alinear los roles de los stakeholders.
¿Quiénes son los stakeholders?
Algunos ejemplos comunes de stakeholders en la implementación de Zero Trust son directivos directivos de nivel C (C-Levels) y otros: Chief Executive Officer, Chief Information Officer, Chief Data Officer, Chief Human Resource Officer, Mission Owner y los líderes del área de operaciones de TI.
Además de los C-Levels y de los líderes de áreas diversas de la empresa, los clientes y los propios consumidores también son stakeholders críticos, ya que gran parte de los datos que cubre la arquitectura Zero Trust les pertenecen. La gestión de estos grupos de interés está relacionada con el principio de CRM (Customer Relationship Management, gestión de relación con los clientes).
Independientemente de cómo sea el organigrama de tu empresa, las personas son los elementos más importantes del proceso. La principal razón de esto es que, como veremos en el próximo contenido, las partes interesadas brindan todo el apoyo necesario para el éxito del plan.
La importancia de considerar la madurez de la seguridad
A partir de la visión general de cada etapa de la fase de preparación en el plan de implementación de Zero Trust, vale la pena reiterar lo que dice la propia Forrester sobre el tema: “estamos hablando de un maratón, no de un sprint”. La implementación es un proceso gradual que, según sea el nivel de madurez de la seguridad de la empresa, puede tardar más o menos tiempo en completarse.
En breve, publicaremos el próximo artículo de esta serie, en el que presentaremos consejos y mejores prácticas para la siguiente fase del viaje: la planificación. Así que mantente atento a las próximas publicaciones del blog o suscríbete a nuestra Newsletter.
