7 consejos prácticos para que los CISO construyeran confianza cero del CISO de Netskope Neil Thacker

Al concluir la temporada 2 de El segmento: un podcast de liderazgo de confianza cero, es emocionante mirar hacia atrás a las conversaciones que he tenido con algunos de los principales expertos de la industria. Cada uno ha proporcionado una perspectiva única sobre cómo las organizaciones pueden adaptarse al panorama de amenazas en constante cambio actual.

Para este episodio final, tuve el privilegio de sentarme con Neil Thacker, Chief Information Security Officer (CISO) de EMEA en Netskope. Neil ofrece una gran experiencia sobre cómo construir un marco de confianza cero resiliente. Durante nuestra discusión, compartió siete consejos que pueden ayudar a los líderes de seguridad y a los CISO a navegar por el camino hacia Zero Trust.

1. Mira más allá del perímetro tradicional

Neil comenzó en la industria de la ciberseguridad en la década de 1990 trabajando en una mesa de servicio que ayudaba a las personas a conectarse de manera segura a Internet. Rápidamente pasó a funciones técnicas y de consultor antes de hacer la transición al liderazgo ejecutivo.

Neil recordó los primeros días de su carrera cuando asegurar el perímetro era el foco de todo equipo de seguridad. En aquel entonces, el objetivo era proteger la red y los activos de la organización de las amenazas externas.

Pero los tiempos han cambiado. Hoy en día, apoyarse en dicho perímetro da una falsa sensación de seguridad.

“El perímetro se ha disuelto”, dijo Neil. “Vimos que esto sucediera incluso antes de que lo llamáramos nube. Las organizaciones estaban trasladando datos y operaciones a servidores externos, y asegurar esas conexiones se volvió más importante que nunca”.

Hoy en día, en un mundo donde los empleados trabajan de forma remota y los datos están dispersos en entornos híbridos de múltiples nubes, la idea de perímetro de red tradicional está desactualizado. Esta nueva forma de establecer redes aumentó la complejidad, y con ella vino el aumento exponencial de brechas y ataques de ransomware.

Neil dijo que los CISO deberían adoptar esta nueva realidad cambiando el enfoque de defender límites fijos a asegurar los puntos de acceso dondequiera que estén. No se limite a cerrar las puertas de la red, bloquee todos los dispositivos, todas las aplicaciones y todos los flujos de tráfico que no sean necesarios para el negocio. Cuanto antes su equipo abrace el mundo sin fronteras, antes estará listo para las amenazas cibernéticas modernas.

2. Haga de la administración de riesgos su estrella del norte

En lugar de reducir sus recursos, Neil enfatizó centrarse en el riesgo. En el panorama actual de amenazas, proteger todo por igual no solo no es práctico, sino imposible. La clave es entender qué es lo que más le importa a su organización.

“En un mundo perfecto, puede proteger todos los datos con los que su organización realiza transacciones a diario. Pero eso no es realista”, dijo. “Se trata de priorizar el riesgo. ¿De dónde vienen tus mayores riesgos?”

Según Neil, las estrategias de seguridad más exitosas se refieren a activos críticos y áreas de alto riesgo. Alentó a los CISO a hacer preguntas difíciles: ¿Qué datos son más críticos para el negocio? ¿Qué sucede si pierdes el acceso a él? ¿Cuál es el impacto financiero o reputacional? Estas respuestas deben impulsar los esfuerzos de seguridad.

3. No permita que su estrategia Zero Trust se centre únicamente en la identidad

Si bien la verificación de las identidades de los usuarios es crucial, un Cero Confianza el enfoque debería ir mucho más allá, explicó Neil. Advirtió contra poner demasiado énfasis solo en la identidad, lo que cree que muchos CISO tienden a hacer.

En cambio, Neil sugirió una visión más amplia que incorpore señales como la postura del dispositivo, la ubicación y los patrones de actividad.

“La identidad es solo una parte de la ecuación”, explicó. “También debe considerar el dispositivo, la ubicación y el contexto detrás de la solicitud de acceso”.

Para mejorar su modelo Zero Trust, recomendó adoptar un enfoque multicapa. Asegúrese de que sus decisiones de seguridad se basen en múltiples señales, en lugar de solo la identidad. El estado de un dispositivo, la ubicación y la sensibilidad de los datos a los que se accede son igualmente importantes para determinar si se debe otorgar acceso.

4. Permita que la seguridad siga los datos

Neil insistió en que los datos siempre deben seguir siendo la prioridad en cualquier modelo Zero Trust. Con usuarios, dispositivos y aplicaciones que se conectan desde cualquier lugar, la seguridad debe seguir los datos. Esto asegura que esté protegido sin importar a dónde vaya.

“Ya no se puede confiar solo en asegurar la red”, dijo Neil. “Necesita proteger los datos dondequiera que viajen”. Esto significa aplicar controles de seguridad que se mueven con los datos en todos los entornos.

No se trata solo de monitorear quién accede a los datos, sino cómo se utilizan esos datos y hacia dónde fluyen. La seguridad centrada en los datos garantiza que no importa dónde terminen sus datos, ya sea en la nube, en un endpoint o en la red de un asociado de negocios, estén cubiertos por políticas de seguridad consistentes.

5. Consolide su pila de seguridad para lograr mayor eficiencia

Neil cree que un desafío clave para muchos CISO no consiste solo en defenderse contra las amenazas, sino en administrar la complejidad. Demasiadas herramientas de seguridad pueden crear más dolores de cabeza que las soluciones. Neil aconsejó a los líderes de seguridad optimizar sus pilas de seguridad mediante la consolidación de herramientas siempre que fuera posible.

“Hay un punto dulce cuando se trata de la cantidad de herramientas de seguridad”, anotó. “Si puedes reducir tu pila a menos de 10, estás en un lugar mucho más manejable”.

Hacer malabares con docenas de sistemas puede generar brechas en visibilidad y seguridad o funcionalidad superpuesta. Neil enfatizó la integración de menos herramientas, más efectivas que hacen más en una sola plataforma. Al simplificar su stack, reducirá la complejidad, ahorrará costos y tendrá una imagen más clara de la postura de seguridad de su organización.

6. Añada tiempo a sus cálculos de seguridad

Neil cree que un aspecto que a menudo se pasa por alto de Zero Trust es el tiempo. Comprensión cuando el acceso a los datos puede ser tan importante como la comprensión quien está accediendo a ella.

“Cuando estás construyendo Zero Trust, quieres considerar el tiempo porque los datos tienen su propio ciclo de vida”, explicó.

Neil utilizó el ejemplo de actividades de fusiones y adquisiciones (M&A) que hacen que algunos activos de datos sean altamente confidenciales durante un determinado momento en el tiempo. Después de un punto en el tiempo, esos datos ya no son tan confidenciales.

“Comprender cómo el tiempo afecta a los datos y sus necesidades de seguridad debe ser parte de las consideraciones de su estrategia Zero Trust”, dijo.

Es decir, considerar el tiempo como otra señal de seguridad. Por ejemplo, establezca controles que bloqueen el acceso a datos confidenciales fuera del horario de atención, o bien señalice las solicitudes de acceso que estén fuera de los patrones de uso típicos. Las anomalías basadas en el tiempo pueden ser un fuerte indicador de actividad maliciosa o una cuenta comprometida.

7. Alinear Zero Trust con los objetivos del negocio

Una estrategia de confianza cero debe servir al negocio, no solo al departamento de TI. Neil destacó la importancia de comunicarse con los líderes empresariales en su idioma. Esto significa centrarse en cómo la seguridad soporta el crecimiento y la continuidad del negocio, no solo en los detalles técnicos de su plan de seguridad.

“He visto valor en tener discusiones que se centren menos en el lado técnico”, mencionó Neil. “Para la junta, no se trata de cuántos sistemas recorremos o cuántos incidentes hemos tenido. En última instancia, se trataba de cómo estamos apoyando el negocio y ayudando al negocio a avanzar”.

Al presentar estrategias de Zero Trust a la junta o ejecutivos, enmarcarlo en términos de valor para el negocio. ¿Cómo protegerá Zero Trust los flujos de ingresos clave? ¿Cómo protegerá la propiedad intelectual y los datos de los clientes? Al alinear sus esfuerzos de seguridad con las prioridades del negocio, obtendrá la aceptación del liderazgo que necesita para construir con éxito Zero Trust en toda la empresa.

Escuche, suscríbase y revise El segmento: un podcast de liderazgo de confianza cero

Como muestra la experiencia de Neil construyendo Zero Trust en Netskope, Zero Trust no es un enfoque de “fijarlo y olvídalo”. Es una mentalidad y un proceso continuo de aprendizaje, mejora y escalamiento.

¿Quieres saber más? Escucha el episodio completo en nuestro sitio web, Podcasts de Apple, Spotify, o donde sea que obtenga sus podcasts. También puedes leer la transcripción completa del episodio.