Cómo implementar un modelo de seguridad Zero Trust en su organización

ChatGPT: cuando pensábamos que era invencible: lo hackeraron

Sepa qué debe hacer antes de implementar una arquitectura zero trust. Además, conozca cuál es el ciclo de vida de seguridad y los cinco pilares de la confianza zero que ManageEngine maneja como estrategia para lograrlo.

Nunca confiar y siempre verificar son los principios bajo los que funciona el modelo de seguridad zero trust o confianza cero, un método que permite crear un marco de seguridad robusto para evitar las violaciones de datos.

Para que quede claro, un modelo de seguridad zero trust funciona como un complemento que ayuda a aumentar la seguridad tradicional que está basada en perímetros.

Es por ello que protege ante amenazas que los métodos tradicionales no pueden enfrentar, como por ejemplo, ataques basados en credenciales e infiltraciones maliciosas.

La implementación de un modelo de zero trust debe ser gradual y también exige estar abierto a realizar cambios en los procesos y soluciones tecnológicas que protegen sus activos digitales de valor, según se explica la publicación especial Zero Trust Arquitecture (ZTA),  de la National Institute of Standards and Technology (NIST).

En este blog de ManageEngine le contaré qué pasos deben incluir para migrar a un modelo de zero trust, qué es el ciclo de vida de seguridad y cuáles son los cinco pilares que se deben tener en cuenta para construir una estrategia fuerte de confianza cero.

¿Cómo migrar a una arquitectura zero trust?

Implementar un modelo de seguridad zero trust es todo un proceso que implica llevar a una empresa a organizarse de manera contundente, sobre todo si su plan es iniciar una transformación digital.

Realizar un inventario del sistema, levantar un inventario de usuarios, revisar los procesos del negocio, evaluar los riesgos y el desarrollo de políticas, implementar y monitorear las operaciones son los pasos principales que deberá dar para llevar a cabo la implementación de un modelo zero trus ¡Conózcalos!

Tomado de NIST, Zero Trust Architecture.1.Empezar por una evaluación o assestmentBásicamente la organización debe empezar por realizar un inventario de sus sistemas que incluye los activos, flujos de datos, flujos de trabajo, así como un inventario de usuarios y revisión de los procesos del negocio. Esto le permitirá identificar qué sistemas o procesos deben implementarse y conocer el estado actual de sus operaciones.2. Ejecutar una evaluación de riesgosEl siguiente paso es identificar y clasificar los procesos comerciales, para que se puedan detallar las condiciones para otorgar o denegar solicitudes de acceso a los recursos; lo que permite identificar los riesgos. En esta etapa es recomendable iniciar con procesos comerciales de bajo riesgo sobre todo durante la primera transición hacia una arquitectura zero trust. Por ejemplo, de acuerdo con el documento NIST, aquellos procesos que usan recursos basados en la nube o que se realizan de manera remota son los mejores candidatos para iniciar la implementación de arquitecturas confianza cero.3. Desarrollar las políticas para zero trust El establecimiento de las políticas para implementar zero trust dependerá de varios factores. Es decir, que antes de definir las políticas se deberá establecer la importancia del proceso para la empresa, el grupo afectado y el estado de los recursos. Así como también será importante identificar los flujos de trabajo, los recursos ascendentes y descendentes, bases de datos y sujetos o cuentas de servicio usados en los flujos de trabajo. Una vez adelantado esto, se deben establecer los criterios o ponderaciones que permitirán establecer el nivel de confianza, los cuales pueden ser modificados en la fase de ajustes. Esto permitirá la efectividad de las políticas y que se facilite el acceso a los recursos.4. Implementación y monitoreoLa implementación inicial incluye la puesta en marcha de las políticas que se desarrollan usando los componentes seleccionados. Algo que es normal, es que la implementación está siempre bajo monitoreo u observación, ya que se ejecuta de manera gradual. Lo anterior debido a que no todas las políticas empresariales pueden estar completas en sus primeras implementaciones. De esta manera se podrán encontrar fallas y corregir más rápido los errores o fallos sin poner en riesgo los activos críticos.5. Expansión de la arquitectura zero trustA esta etapa se llega cuando ya hay confianza en la implementación y cuando las políticas de flujo de trabajo están ajustadas. En este punto la empresa entra en una fase operativa y estable. Sin embargo, las respuestas y modificaciones de políticas son más lentas debido a que estas deben ser pocas y no tan representativas. Es una etapa en la que se espera y pide retroalimentación y se inicia la planificación de la siguiente fase de implementación de zero trust. La segunda fase de implementación debe tener en cuenta, por ejemplo, temas como: cambios en el sistema, nuevos dispositivos, actualizaciones de software relevantes, cambios en la estructura organizativa, entre otros.

Aplique el ciclo de vida de la seguridad y los cinco pilares de confianza cero

La implementación exitosa de una arquitectura zero trust depende de la capacidad para aplicar el ciclo de vida de seguridad y de que se ejecuten además los cinco pilares de la confianza cero, por lo menos este es el enfoque que propone ManageEngine  ¿En qué consiste cada uno?

Ciclo de vida de seguridad

Es en pocas palabras un plan que permite definir qué data, sistemas y flujos de trabajo tiene una organización. Está dividido en cuatro etapas que en ManageEngine resumimos así:

  1. Visibilidad: en esta se reconoce qué está sucediendo en la red.

  2. Deducción: se busca identificar cambios, incidentes y amenazas.

  3. Respuesta: aquí se toman medidas que permitan resolver los incidentes o amenazas.

  4. Resolución: la meta es fortalecer la red para evitar o mitigar el impacto de las amenazas.

Cinco pilares de la confianza cero

Bajo estos pilares se basa el modelo zero trust y lo que hacen es facilitar la adopción de dicha arquitectura de seguridad. El postulado es que se debe tener confianza cero en:

  1. Identidades

  2. Datos

  3. Dispositivos

  4. Aplicaciones

  5. Seguridad de la red

Al combinar los pilares de la confianza cero con el ciclo de vida de seguridad se establece una estrategia que permite alcanzar la seguridad zero trust que es la que implementa ManageEngine.

Además es incluso necesario implementar un análisis de seguridad y herramientas de automatización de seguridad para garantizar que se aborda la seguridad de manera holística en la organización.

¿Le gustaría dar el salto hacia una arquitectura zero trust?

Descargue la guía sobre la solución Zero Trust de ManageEngine

Fuentes consultadas

NIST, Scott Rose, Oliver Borchert, Stu Mitchell, Sean Connelly. Zero Trust Architecture. En:  https://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-207.pdf