En una publicación anterior sobre cómo simplificar la adopción de un modelo de seguridad Zero Trust, presentamos los pasos de planificación necesarios antes de que comience la implementación.
Uno de los pasos más complejos mencionados en ese artículo es la jornada Zero Trust, que consta de cuatro fases (preparación, planificación, control de acceso e implementación) y abarca varios procesos.
De manera similar a las otras partes de este proceso, la jornada Zero Trust puede simplificarse en muchos puntos, comenzando con la fase de preparación, que se tratará en esta publicación.
¿Qué es la fase de preparación en la jornada Zero Trust?
La visibilidad completa, precisa y oportuna es la base de la arquitectura Zero Trust, y todo comienza con la preparación. La fase de preparación consiste en crear misiones que incluyen tareas para establecer objetivos e involucrar a las partes interesadas en el proceso.
La fase de preparación se divide en cuatro etapas: estrategia, infraestructura, presupuesto y hoja de ruta. Veamos más de cerca cada una de ellas.
Estrategia
La etapa de estrategia define los objetivos, acciones y planes que juntos brindan una visión completa de cómo debe llevarse a cabo la implementación de Zero Trust dentro de la empresa. Además de hacer que la jornada sea transparente para los involucrados, la elaboración de la estrategia saca a la luz percepciones que pueden crear oportunidades para reducir costos y prevenir posibles cuellos de botella.
Según Forrester, evaluar la madurez del estado actual de Zero Trust de la empresa es una de las mejores prácticas en el desarrollo de una estrategia. Esto permite a la empresa:
-
entender los proyectos de negocio actuales y las iniciativas de seguridad;
-
documentar dónde se pueden reutilizar las capacidades de TI actuales;
-
establecer metas para el estado de madurez deseado y el tiempo necesario para alcanzarlo.
Como veremos, la estrategia allanará el camino para la construcción de una hoja de ruta que guiará a todos los involucrados.
Infraestructura
Toda la infraestructura de TI de la organización debe estar documentada para que los principios de Zero Trust se apliquen de manera efectiva. Esto incluye la arquitectura de sistemas y activos y sus características, como el entorno en el que se ejecutan (cloud, on-premise o híbrido, por ejemplo), y si la tecnología es operativa o está integrada en el negocio.
En el tema anterior, mencionamos la reutilización de las capacidades de TI. La documentación de infraestructura ofrece la posibilidad de descubrir cómo un proceso en curso o uno que ya estaba en los planes de la empresa, como la migración a una plataforma de edge computing, puede contribuir a acelerar la jornada Zero Trust y hacerla más eficiente.
Presupuesto
Adoptar un modelo Zero Trust significa transformar la cultura y la postura de la organización hacia la seguridad. Por lo tanto, no se trata solo del conjunto de soluciones a utilizar, sino de todos los recursos humanos y esfuerzos en la aplicación global de la política de seguridad Zero Trust.
Idealmente, el presupuesto para la implementación de Zero Trust debería basarse en una visión macro de la jornada, considerando los procesos y requisitos de cada etapa. Por ejemplo, la implementación de una micro-segmentación eficiente requiere varios componentes, como una arquitectura que facilite el trabajo con múltiples infraestructuras y API gateway, lo que agrega otros requisitos.
Hoja de ruta
Una vez reunida toda la información y definiciones necesarias, el siguiente paso es hacerlas visibles creando una hoja de ruta. La hoja de ruta es un plan altamente detallado que incluye la misión, actividades, áreas, proveedores de tecnología y otros elementos clave necesarios para lograr la arquitectura Zero Trust.
A partir de la visibilidad que brinda la hoja de ruta, las dependencias y requisitos para la jornada Zero Trust pueden ser analizados por las partes interesadas para identificar brechas y desbloquear acciones e iniciativas clave, promover mejoras necesarias y tratar con los aspectos financieros del proyecto, así como con cómo establecer los roles que cada parte interesada desempeñará.
¿Quiénes son las partes interesadas?
Algunos ejemplos comunes de partes interesadas en la implementación de Zero Trust son: Chief Executive Officer, Chief Information Officer, Chief Data Officer, Chief Human Resource Officer, Mission Owner y líderes en el área de operaciones de TI.
Además de los ejecutivos de nivel C y líderes de diferentes departamentos dentro de la empresa, los clientes y consumidores también son partes interesadas críticas en la jornada Zero Trust, ya que una cantidad significativa de datos cubiertos por la arquitectura Zero Trust les pertenece. La gestión de estas partes interesadas está relacionada con el principio de Gestión de Relaciones con el Cliente.
Independientemente de la estructura organizacional de tu empresa, las personas son los elementos más importantes del proceso. La razón principal de esto es que, como veremos en la siguiente sección, las partes interesadas brindan todo el apoyo necesario para el éxito de la jornada.
La importancia de tener en cuenta la madurez de seguridad
Después de revisar cada etapa de la fase de preparación en la jornada Zero Trust, es importante destacar lo que enfatiza Forrester: esto es una maratón, no un sprint. La implementación es un proceso gradual que puede llevar más tiempo en completarse, dependiendo del nivel de madurez de seguridad de la empresa.