Implementar Zero Trust es un esfuerzo a nivel organizacional. Ya no puedes depender solo del perímetro para defender todos tus recursos desprotegidos. Ahora, cada uno de tus recursos debe ser protegido de manera individual también. Para lograrlo, tendrás que superar obstáculos relacionados con la complejidad, el costo y el equipo heredado, entre otros.
¿Cuánto tiempo lleva implementar el Zero Trust? Más de siete años para algunos, según una encuesta de Ponemon/Converge, que encontró que el 28% de los encuestados tardó ese tiempo en lograr una “adopción completa” o una implementación de Zero Trust “madura”. Otro 43% tardó de cinco a siete años. Esos porcentajes probablemente serían aún más altos si las implementaciones se evaluaran con criterios más rigurosos. Para acelerar el proceso, se recomienda.
- Priorizar la mentalidad sobre el conjunto de productos
Recordar que Zero Trust es un modelo conceptual. Exige una nueva mentalidad, una nueva forma de pensar sobre la ciberseguridad. No se compra seguridad de Zero Trust. Te comprometes con el modelo de Zero Trust. - Conocer el proyecto.
Con Zero Trust, necesitas asegurar toda la empresa. El Zero Trust Maturity Model (ZTMM) de CISA te ayuda a comprender la tarea y organizar tu trabajo, dividiendo la seguridad empresarial en cinco “pilares”: - Identidad. La seguridad implica verificar y gestionar las identidades de los usuarios, sistemas y servicios para asegurar que cada entidad que accede a los recursos esté autenticada y autorizada.
- Dispositivos. La seguridad significa rastrear, gestionar y asegurar cada dispositivo que se conecta a la red. Debe asegurarse de que cada dispositivo cumpla con las políticas de seguridad y gestionar su acceso en función de su postura de seguridad.
- Redes. La seguridad aborda cómo se mueve la información dentro y entre redes. Debe segmentar la red, cifrar los datos en tránsito, monitorizar el tráfico de la red y asegurarse de que todas las comunicaciones estén autorizadas.
- Aplicaciones y cargas de trabajo. La seguridad se aplica dondequiera que se ejecuten aplicaciones y cargas de trabajo, es decir, en las instalaciones, en dispositivos móviles o en la nube. Debe controlar y monitorizar el acceso a las aplicaciones, hacer cumplir el acceso con el menor privilegio y proteger los flujos de trabajo de las aplicaciones contra amenazas.
- Datos. La seguridad significa proteger la información sensible dondequiera que resida o se mueva. Necesitas clasificar los datos, controlar quién puede acceder a ellos, cifrar los datos en reposo y en tránsito, y supervisar el acceso no autorizado o la exfiltración.
CISA no es la única fuente de orientación para su viaje hacia Zero Trust. También hay asesoramiento disponible de analistas de la industria, proveedores de seguridad y otras entidades gubernamentales. Independientemente de la fuente, debe centrarse en funciones y capacidades de seguridad en lugar de tecnologías o productos específicos.
Trabaje hacia una madurez óptima. Aparte de los cinco pilares y capacidades transversales, el ZTMM identifica cuatro etapas de madurez de Zero Trust:
- Tradiciona Utiliza procesos manuales, políticas estáticas, silos funcionales y correlación de datos limitada.
- Inicial. Introduce automatización, integra sistemas externos y agrega visibilidad.
- Avanzado. Expande la automatización a través de los pilares y centraliza la visibilidad.
- Óptimo. Establece automatización completa, procesos just-in-time, políticas dinámicas y monitoreo continuo.
Para ilustrar su Modelo de Madurez de Zero Trust, CISA proporciona la siguiente imagen:
Utiliza lo que tienes. Implementar Zero Trust no requiere necesariamente una revisión completa de tu infraestructura de seguridad existente. A menos que estés empezando desde cero, sin capacidades de seguridad preexistentes, probablemente ya tengas muchos de los productos que necesitas: firewalls de red y sistemas de detección de intrusiones, sistemas de gestión de identidades y accesos, sistemas de seguridad en puntos finales para proteger portátiles y/o dispositivos móviles, herramientas para la gestión de vulnerabilidades y configuraciones, gestión de eventos de seguridad, así un centro de operaciones de seguridad. Del mismo modo, es probable que puedas reutilizar muchas de tus políticas, procedimientos y directrices existentes, o revisarlas para alinearlas con los principios de Zero Trust, en lugar de escribir nuevas desde cero.
Para este viaje, ManageEngine ofrece a las organizaciones el fundamento tecnológico para implementar completamente su modelo de seguridad Zero Trust o llenar los vacíos de seguridad en su método existente. Solo recuerda que es un viaje, no un destino.
Basado en el artículo de Brent Dorshkind, Enterprise Analyst, ManageEngine