Logo Sumindustria

Noticia

Portada    Noticias    Zero Trust: Pasado, presente y una llamada a la acción para el futuro. Por Dave Russell y Rick Vanover

Noticia ampliada Share

logo Veeam Software

Zero Trust: Pasado, presente y una llamada a la acción para el futuro. Por Dave Russell y Rick Vanover

Un estudio reciente de CyberRisk Alliance reveló algunas estadísticas sorprendentes sobre la seguridad de Zero Trust. Aunque el término se remonta a casi 30 años atrás, sólo el 35% de los responsables de seguridad encuestados estaban muy familiarizados con esta práctica.
  • Foto Zero Trust: Pasado, presente y una llamada a la acción para el futuro. Por Dave Russell y Rick Vanover
Y a pesar de la oleada de incidentes de seguridad de los últimos años, el mismo porcentaje estaba muy seguro de sus capacidades de Zero Trust.

Hay una desconexión. Según nuestra experiencia, aunque el interés por Zero Trust está creciendo, muchos responsables de seguridad parecen estar confundidos sobre cómo aplicar esta práctica correctamente. Demasiados creen que puede resolverse simplemente incorporando un nuevo producto o actualizando los antiguos, pero lo que realmente se necesita es una mejor comprensión de lo que es la seguridad Zero Trust: cómo incorpora una mezcla de productos, procesos y personas para proteger los activos corporativos de misión crítica.

El concepto de Zero Trust es sencillo: "nunca confíes, siempre verifica". Puede parecer duro para los usuarios que se han acostumbrado a un acceso fácil y sin problemas a la información, pero es una política sólida. Preferimos utilizar la frase "mutuamente sospechoso", que es similar. Significa, en efecto, "aquí tienes quién soy yo; demuéstrame quién eres tú".

Hasta cierto punto, la práctica -así como el término- es antigua, ya que se remonta a los miniordenadores y los mainframes. Se trata de exigir una buena higiene digital, acorde con el cambio y amplificación de nuestro entorno. Ahora, con la nube, los dispositivos de borde y los centros de datos que abren más puntos finales a los ataques, las organizaciones tienen que confiar en algo más que en los cortafuegos para mantener a los intrusos fuera.

Las organizaciones necesitan alinear sus procesos y personas, junto con sus productos, para lograr una verdadera Zero Trust.

Los productos son un paso sencillo. Básicamente, lo que se necesita es una línea completa de tecnologías de seguridad que verifiquen la identidad, la ubicación y la salud del dispositivo. El objetivo es minimizar el radio de explosión y limitar el acceso al segmento. Aunque no hay un solo producto o plataforma que logre todos estos objetivos, un programa exitoso Zero Trust incorporará elementos de gestión de identidades, autenticación multifactorial y acceso con mínimos privilegios.

• Implicar a las personas
Las tecnologías de Zero Trust están disponibles para cubrir todas las superficies de ataque y proteger a las organizaciones, pero no significan nada sin las personas que las utilizan, por lo que es fundamental alinear el éxito y la seguridad de la empresa con el éxito y la seguridad de los empleados. Esto significa dar prioridad a una cultura de transparencia, comunicación abierta, confianza en el proceso y fe en la capacidad de los demás para hacer el bien.

Para implantar con éxito la tecnología de Zero Trust en una cultura corporativa, las organizaciones deben implicar a los empleados en el proceso. No hay que limitarse a lanzar un mandato de arriba abajo y esperar que funcione. Alerte a los empleados sobre lo que está ocurriendo, lo que implica el proceso de Zero Trust, cómo les afecta y beneficia a ellos y a la empresa, a qué deben prestar atención y cómo pueden apoyar el proceso de confianza cero.

Al involucrar a los empleados y desafiarlos a adoptar una dosis saludable de escepticismo hacia las amenazas potenciales, los empleadores están plantando las semillas de la seguridad en todo su esqueleto organizacional. Una vez que los empleados comprenden lo que ocurre y el valor del Zero Trust, ellos también empiezan a sentir confianza y se sienten capacitados para formar parte de la red de ciberseguridad más amplia. Esto permite a los empleados identificar proactivamente las amenazas internas y externas a la empresa, cubriendo todas las superficies y fomentando una buena higiene de seguridad.

• Reevaluar los procesos
La seguridad de Zero Trust requiere una importante reelaboración de los procesos generales de la organización.

Uno de los movimientos más importantes que pueden hacer es definir y evaluar cada aspecto de su entorno de seguridad de datos. Esto incluye identificar dónde se almacenan todos los datos no estructurados de la organización, a qué fines empresariales sirven los almacenes de datos específicos, quién tiene acceso a ellos y qué tipo de controles de seguridad existen ya. Una evaluación exhaustiva de los permisos ayudará a orientar el desarrollo de una política integral de gestión de accesos. Algunos activos requerirán una protección de Zero Trust; otros no. Todos los dispositivos que se conecten a una red tendrán que ser contabilizados, para que puedan defenderse de los ataques externos de phishing.

Un mecanismo tecnológico clave que puede ayudar a las organizaciones en un mundo de Zero Trust es la inmutabilidad, es decir, la creación de copias de datos que no pueden modificarse ni eliminarse. Esto garantiza que las organizaciones no pierdan datos ni permitan que acaben en manos equivocadas.

Una práctica que se pasa por alto es definir un marco común de Zero Trust para toda la organización. No sirve de nada que los equipos tengan que interpretar conjuntos de convenciones confusos o reinventar lo que significa "Zero Trust" proyecto por proyecto.

Por último, y quizás lo más importante, es la necesidad de reevaluar y revisar sus procesos de Zero Trust. Es como ir al gimnasio: el ejercicio se convierte en una forma de vida, y las personas activas modifican sus rutinas de entrenamiento todo el tiempo. Lo mismo ocurre con la seguridad. Zero Trust es un proceso continuo. Nunca se acaba.

• Mantener la flexibilidad
Los paisajes de las amenazas seguirán evolucionando con el tiempo. Las organizaciones que adopten un enfoque Zero Trust tendrán que seguir desarrollando un plan integral y, a continuación, revisar continuamente sus tecnologías, procesos y prácticas de personal para satisfacer sus necesidades futuras.

• Acerca de Veeam Software
Veeam® es el líder en soluciones de copia de seguridad, recuperación y gestión de datos que ofrecen Modern Data Protection. La empresa ofrece una única plataforma para entornos cloud, virtuales, físicos, SaaS y Kubernetes. Los clientes de Veeam están seguros de que sus aplicaciones y datos están protegidos contra el ransomware, los desastres y los actores dañinos, y siempre disponibles con la plataforma más sencilla, flexible, fiable y potente del sector. Veeam protege a 450.000 clientes en todo el mundo, incluyendo el 81% de la lista Fortune 500 y el 70% de la lista Global 2.000. Con sede en Columbus, Ohio, y oficinas en más de 30 países, el ecosistema global de Veeam incluye más de 35.000 socios tecnológicos, revendedores y proveedores de servicios y socios aliados.
Destacados
logo Sumindustria

SumIndustria le informa

Responsable ZOOM PUBLICIDAD Y COMUNICACIÓN, S.L.
N.I.F. B-86681756
C/ Luis de Hoyos Sainz nº174, Oficina 13
28030 – Madrid
Teléfono: +34 91 772 72 10
Correo electrónico de contacto en materia de datos personales: protecciondedatos@sumindustria.es
Finalidad Sus datos personales serán tratados con la finalidad de gestionar las consultas y sugerencias realizadas, contactando para ello con el usuario a través de los medios indicados en la solicitud. La información requerida es imprescindible para atender su consulta.
En su caso y si el usuario ha prestado su consentimiento expresamente mediante la cumplimentación de la casilla correspondiente, los datos personales serán tratados con la finalidad de remitirle, por cualquier medio, comunicaciones comerciales relativas a ofertas y promociones de los productos y servicios de la empresa.
Legitimación La base jurídica para el tratamiento de sus datos personales es su consentimiento al rellenar y enviar el formulario correspondiente.
Destinatarios No se ceden datos personales a terceros salvo obligación legal.
Derechos Le informamos de que puede ejercitar gratuitamente sus Derechos de Acceso, Rectificación, Supresión, Oposición y Limitación al tratamiento de sus datos, así como a la portabilidad de los mismos y a no ser objeto de una decisión basada únicamente en el tratamiento automatizado, incluida la elaboración de perfiles. Si usted desea ejercitar cualquiera de los derechos enunciados anteriormente, por favor, póngase en contacto con nosotros a través del siguiente correo electrónico:
protecciondedatos@sumindustria.es
Si desea más información sobre nuestra Política de Privacidad, consulte el siguiente enlace pulsando aquí