Ahora que entendemos cómo funciona la fase de preparación de la jornada Zero Trust, es momento de profundizar en la planificación.
Mientras que la preparación implica un análisis estratégico y recopilación de información de manera profunda y amplia, la planificación es la documentación de todos los recursos enmarcados en la estrategia Zero Trust. Puede clasificarse en:
- activos;
- identidades;
- datos;
- cargas de trabajo.
En esta publicación, explicamos en detalle este importante paso en la jornada Zero Trust y el camino para construir inventarios basados en las mejores prácticas del Instituto Nacional de Estándares y Tecnología (NIST).
¿Qué es la fase de planificación en la jornada Zero Trust?
La planificación se basa en la construcción de inventarios de activos tangibles e intangibles dentro de la red. A partir de la lista de activos, es posible medir la criticidad y las consecuencias de una eventual pérdida o violación y luego construir una postura de defensa apropiada.
Es imposible ignorar el tamaño del esfuerzo para completar esta tarea—especialmente en empresas grandes. Por esta razón, las mejores prácticas de NIST indican que los activos de las partes interesadas deben ser el enfoque inicial, y luego el proceso puede dividirse en subconjuntos dirigidos a áreas más pequeñas.
Tal dirección va de acuerdo con la simplificación propuesta de la jornada, ya que gran parte del esfuerzo se reduce para poner en marcha los siguientes pasos.
¿Cómo clasificar y construir inventarios en la jornada Zero Trust?
Ahora la pregunta es: ¿dónde comenzar a planificar? Clasificando los inventarios en activos, identidades, datos, flujo de datos y flujo de trabajo, un proceso que cubriremos a continuación.
Activos
“No puedes protegerte de lo que no puedes ver.” Es posible que nunca te hayas encontrado con esta frase, pero define bien la importancia del inventario de activos en la jornada Zero Trust, ya que documenta todos los sistemas, dispositivos, software y aplicaciones en una red.
Uno de los principales beneficios del inventario de activos es permitir la identificación de vulnerabilidades de seguridad y planes de acción eficientes, evitando que se gaste tiempo y dinero innecesarios.
Este trabajo puede ser más arduo dependiendo del tamaño de la empresa y la cantidad de activos tangibles que existen. Sin embargo, hay formas de automatizar el proceso para obtener visibilidad de los activos de TI de una manera más rápida y optimizada.
Identidades
Las identidades pueden ser personas o cualquier tipo de entidad en la red. Debido a que utilizan los recursos de la empresa, se requiere control de acceso para que un recurso determinado sea accedido por la entidad correcta, en el momento correcto y en el contexto adecuado.
Por ejemplo, los recursos a los que tienen acceso los administradores de sistemas, desarrolladores y partes interesadas son críticos para el negocio, y deberían ser los primeros elementos mapeados y analizados en términos de seguridad.
El propósito del inventario de identidades es precisamente almacenar información autorizada sobre las entidades que acceden a los recursos en la red para que el equipo de seguridad pueda analizar con anticipación los obstáculos y vulnerabilidades para la implementación de Zero Trust.
Datos
Además de los inventarios anteriores, es necesario crear otro para almacenar y catalogar todos los datos e información existentes en los sistemas insertados en la estrategia Zero Trust. A partir de este inventario, es posible entender el estado actual de los activos, la infraestructura de red y las comunicaciones, lo cual es crucial para desarrollar la postura de defensa.
Dado que los datos están dispersos por toda la empresa y suelen ser numerosos, se recomienda que la organización priorice documentar los datos más importantes y sensibles.
Según la Asociación Internacional de Comunicaciones y Electrónica de las Fuerzas Armadas (AFCEA), una de las mejores prácticas para garantizar que los datos críticos para la misión estén siempre disponibles para apoyar las funciones de la misión y nunca caigan en manos equivocadas es definir administradores de datos.
¿Quiénes son los administradores de datos?
En una estrategia Zero Trust, los administradores de datos son las personas encargadas de organizar y gestionar los datos de la misión. Tienen la responsabilidad de mantenerlos protegidos y asegurar que se utilicen de acuerdo con los permisos de acceso y la función de los datos en el contexto de la misión.
El hecho de que nos refiramos a la figura del administrador de datos en plural no es casualidad. En la mayoría de las empresas, la gestión de datos se divide entre las diferentes áreas involucradas en la misión para que cada administrador de datos sea designado para un conjunto particular de datos críticos. Este proceso es orquestado por el Chief Data Officer.
Flujo de datos
El flujo de datos es el camino que toman los datos desde la empresa hasta el usuario final. En una arquitectura Zero Trust, es necesario prestar atención, entre otros puntos, al cifrado en la transmisión de datos entre aplicaciones, servicios y usuarios.
El inventario de flujo de datos es la documentación de todo el recorrido de un dato que pasa por los activos, identidades y otros componentes impactados por la estrategia Zero Trust. Por ejemplo, el desarrollador usa su laptop para acceder a los datos necesarios para conectar soluciones a través de API.
El flujo entre la solicitud y la entrega es lo que debe incluirse en el inventario para su completa visibilidad.
Cargas de trabajo
En el contexto de Zero Trust, las cargas de trabajo son las conexiones en las aplicaciones de la empresa. Cuando las cargas de trabajo están documentadas, entender cómo se protegerán las interfaces entre aplicaciones, fuentes, usuarios y entidades se vuelve más fácil.
Este proceso comprende asegurar el acceso a aplicaciones y entornos que involucran a cualquier usuario, dispositivo y ubicación, y permite la creación de una zona de acceso seguro para ser implementada en la arquitectura. En pocas palabras, no hay forma de construir una arquitectura Zero Trust eficiente sin una mirada cercana a las cargas de trabajo.
Vale la pena mencionar que las cargas de trabajo son parte de un enfoque llamado Trusted Access, definido por Cisco en tres pilares: fuerza laboral, carga de trabajo y lugar de trabajo. Este es un conjunto de mejores prácticas que permiten la tercera fase de la jornada Zero Trust—un tema que abordaremos en la próxima publicación del blog.
Consideraciones importantes sobre los procesos de planificación
Construir inventarios, con énfasis en las configuraciones de carga de trabajo, es una tarea que requiere un tiempo sustancial si se realiza manualmente. Según Forrester, debido a la facilidad con la que se generan, las cargas de trabajo en arquitecturas cloud necesitan ser documentadas con la ayuda de soluciones que ofrezcan este tipo de visibilidad.
La razón de esto es simplificar el proceso para que no se convierta en un cuello de botella y también para que el equipo pueda proceder con las siguientes fases de la jornada lo antes posible. En otras palabras, usar herramientas, plataformas y soluciones que contribuyan a una buena visibilidad siempre es bienvenido.
De manera similar, el trabajo basado en datos se beneficia de la adopción de soluciones de observabilidad, capaces de hacer visibles las interacciones entre usuarios, aplicaciones y datos de una gran cantidad de dispositivos, incluida la creación de un conjunto de políticas Zero Trust, que veremos en la próxima publicación de esta serie.
El stack de seguridad de Azion simplifica la implementación de Zero Trust al facilitar la obtención de datos en tiempo real de eventos que ocurren en aplicaciones. También simplifica la creación de reglas de control de acceso eficientes y políticas para generar tus cargas de trabajo.
Contacta a nuestros expertos y aprende cómo podemos ayudar a tu negocio a llevar la seguridad al siguiente nivel.
Referencias [1] Tips for Zero Trust Strategy Implementation Leads (AFCEA) | [2] Zero Trust Architecture: A Practical Approach, by Cisco