Si no estás familiarizado con este concepto, te recomendamos que comiences leyendo sobre zero trust vs seguridad tradicional. Sin embargo, quienes ya están familiarizados con el tema saben que implementar un modelo de seguridad zero trust puede ser un desafío.
Según el sitio web Zero Trust Roadmap, la arquitectura zero trust consta de siete componentes, y la implementación ideal requiere cumplir 28 pasos que involucran diferentes niveles de esfuerzo y áreas de TI. Esto puede parecer abrumador, pero los beneficios de adoptar zero trust son gratificantes.
Afortunadamente, por difícil que sea el ascenso hacia la arquitectura zero trust, es posible simplificarlo para que, pasando por ciertos puntos en el camino, puedas construir una base para alcanzar la cima más rápido. En esta publicación, presentaremos los primeros pasos para lograr este objetivo.
Requisitos para una jornada Zero Trust simplificada
Lo primero que hay que hacer es crear un plan para simplificar tu jornada. Según las mejores prácticas de Forrester, este plan debe guiarse por cuatro pasos: identificación, mapeo de soluciones, microsegmentación y jornada. A continuación, explicamos cada uno de ellos.
Identificación
La identificación es el punto de partida para la jornada de simplificación. Es donde se plantean todos los componentes de un ecosistema zero trust (datos, cargas de trabajo, redes, usuarios y dispositivos).
Datos
Para proteger y gestionar los datos sensibles de la empresa, es necesario identificarlos. Cuando se identifican, los datos pueden categorizarse y clasificarse para que se pueda establecer el control de acceso.
Vale la pena enfatizar que la visibilidad de los eventos que ocurren en las aplicaciones es importante para el control de acceso a los datos. Después de todo, esto permite comprender cómo se han tratado los datos y por quién (y de qué manera) se ha accedido a ellos y se han compartido.
Cargas de trabajo
En el contexto de zero trust, las cargas de trabajo se refieren a todos los elementos de los sistemas de front-end y back-end que ejecutan el negocio y ayudan a ganar, atender y retener clientes.
Esto incluye conexiones, aplicaciones y componentes que encajan como vectores de ataque y, por lo tanto, requieren un mecanismo de seguridad estricto para evitar la explotación por parte de intrusos.
NetworkIoT
Esto abarca todas las redes públicas, privadas y virtuales existentes en la empresa. Identificar redes permite la creación de control de acceso granular para usuarios, endpoints y dispositivos a través de un proceso llamado microsegmentación, del que hablaremos más adelante.
Usuarios
Consiste en identificar a todos los usuarios/entidades (y sus respectivos roles) en la red. Al obtener esta información, es posible establecer el control de acceso basado en el rol de cada usuario (control de acceso basado en roles - RBAC).
El concepto RBAC permite la aplicación de un modelo zero trust. Como los usuarios solo deben tener acceso a lo necesario para realizar una tarea o función, RBAC permite determinar por quién y cómo se puede acceder a datos o servicios específicos.
Dispositivos
Un dispositivo es cualquier activo físico o virtual que se comunica con la red, como una laptop, IoT o API. Identificar dispositivos permite al equipo de seguridad protegerlos y gestionarlos según las mejores prácticas de zero trust.
A medida que los dispositivos son identificados y analizados, el equipo de seguridad amplía su percepción de los riesgos (conciencia de riesgo) que representan para la seguridad de los datos y de la aplicación misma.
Mapeo de soluciones
Después del paso de identificación, comienza el mapeo de soluciones. Este paso es donde se configuran los privilegios mínimos y se determinan los parámetros de acceso para cada dato o servicio (quién, qué, por qué, cuándo y cómo), también aplicables a cargas de trabajo, redes y dispositivos.
Como ya sabes, otorgar acceso mínimo es uno de los pilares del modelo zero trust, y funciona de manera bastante simple en la práctica. Por ejemplo, para llevar a cabo su función, un contador necesita tener acceso a la información financiera de la empresa, pero no necesariamente a toda ella. Por lo tanto, su acceso debe restringirse solo a parte de la información financiera de la empresa.
De igual manera, una API solo debe comunicarse con aplicaciones y servicios correspondientes a su función. Si el propósito de la API es conectar un componente de aplicación a una base de datos, cualquier otro permiso de acceso además de realizar estrictamente esta tarea representa una brecha de seguridad.
Microsegmentación
La microsegmentación es la división lógica de infraestructura, redes y aplicaciones en segmentos de seguridad distintos, donde cada componente se configura y gestiona individualmente, sin interferir con los demás.
Podemos comparar la microsegmentación con contenedores. Al igual que los contenedores, los componentes segmentados tienen sus propias características de infraestructura y configuraciones de seguridad, y los atacantes no pueden moverse libremente por la red porque están “aislados” entre sí.
Jornada
La jornada es el último paso en la lista. Abarca preparación y planificación, basadas en la información recopilada en las fases de identificación, control de acceso e implementación.
- Preparación: implica crear una hoja de ruta que proporcione una visualización de actividades, recursos y dependencias necesarias para la ejecución de una estrategia zero trust eficiente.
- Planificación: elaboración de un plan que indica cómo se ejecutará la estrategia zero trust basada en procesos (gestión de cambios, solicitudes, etc.), mapeo (dispositivos, usuarios, entre otras variables), flujos de trabajo y flujos de datos;
- Control de acceso: identificar madurez, brechas y riesgos potenciales involucrando inventarios para documentar asuntos, flujos de datos y flujos de trabajo dentro de la empresa;
- Implementación: construcción de una política zero trust y definición de responsabilidad para individuos y sistemas, y monitoreo continuo, es decir, “nunca confíes, siempre verifica” en la práctica.
Al implementar estas cuatro fases, la empresa ha construido con éxito un enfoque zero trust. Ahora, los esfuerzos deben dedicarse a mantener el framework zero trust, lo que implica una revisión constante de la planificación y también el monitoreo de los cambios que puedan ocurrir en la empresa.
Beneficios de una jornada Zero Trust simplificada
La preparación es fundamental para asegurar que el equipo de seguridad tenga la visibilidad necesaria para hacer que la implementación no solo sea exitosa, sino que también cumpla con los requisitos de una arquitectura zero trust eficiente. Sin ella, cualquier acción dirigida a implementar el modelo sería inútil.
Además de proporcionar una dirección adecuada para las siguientes etapas de la jornada, implementar un framework zero trust —en el que cualquier recurso dentro de una red es accesible adaptándose a dimensiones y parámetros de confianza— significa seguir un camino opuesto a los modelos de seguridad tradicionales, cuyos controles de acceso son más indulgentes.
Con los pasos de identificación, mapeo de soluciones y microsegmentación bien conducidos y estructurados, es mucho más fácil desarrollar una postura de defensa que minimice el impacto de las amenazas, ya que tu equipo de seguridad podrá:
- limitar el alcance de un ataque dentro de la red;
- responder rápidamente a un ataque creando mecanismos de bloqueo personalizados apropiados para cada segmento de la aplicación;
- cubrir puntos ciegos que seguirían existiendo si no fueran identificados;
- realizar monitoreo complementado con análisis de datos que contribuye a una postura proactiva y correctiva.
Próximos pasos hacia Zero Trust
Por mucho que la arquitectura zero trust marque la diferencia en el contexto actual de la ciberseguridad, su valor se pierde cuando la empresa misma no sigue el enfoque al pie de la letra. Por lo tanto, es importante revisar el mapeo de soluciones con frecuencia para redefinir reglas y condiciones cuando sea necesario.
Un escenario común es la renovación de contratos con proveedores. Esto se debe a que pueden generar cambios que influyen en la estrategia en puntos específicos, como el uso de una API o un Web Application Firewall. Si los parámetros no se actualizan como resultado de estos cambios, la arquitectura zero trust se verá afectada.