/
Segmentación de confianza cero

Indy Dhami, socio de KPMG, explica por dónde empezar con la resiliencia cibernética

Black and white headshot of Indy Dharmi on The Segment: A Zero Trust Leadership podcast

El cambio de InfoSec tradicional a la resiliencia cibernética no es solo una evolución, es una revolución.

El enfoque actual en ciberseguridad ha pasado de simplemente proteger los activos a garantizar que el negocio pueda continuar frente a amenazas constantes y sofisticadas. Esta mentalidad de resiliencia ayuda a las empresas no solo a defenderse de las amenazas cibernéticas, sino también a repuntar rápidamente y adaptarse a los nuevos desafíos.

En nuestro último episodio del podcast The Segment: A Zero Trust Leadership, me senté con Indy Dhami, socia de KPMG UK. Despusimos la evolución de la industria en los últimos veinte años, por qué la resiliencia cibernética es más importante que nunca y cómo obtener la aceptación de las empresas en sus iniciativas de seguridad Zero Trust.

Acerca de Indy Dhami, socia de KPMG UK

Con más de dos décadas en la industria de la ciberseguridad, Indy aporta una gran experiencia a su papel como socio en KPMG UK. Su viaje comenzó a administrar TI para una firma de arquitectos a principios de la década de 2000, donde desarrolló un interés por la ciberseguridad.

La carrera de Indy dio un giro cuando ayudó a construir un sistema de administración de seguridad de la información certificado a nivel mundial. Además, perfeccionó su experiencia y dirigió proyectos de transformación de seguridad a gran escala en Europa y más allá. Antes de unirse a KPMG, Indy trabajó con una empresa financiada por el gobierno de Singapur que invertía en empresas cibernéticas.

En KPMG, Indy es líder en transformación digital que impulsa estrategias innovadoras para proteger a diversos sectores de las amenazas emergentes. Es un apasionado de la tutoría y el coaching profesional, inspirando un cambio cultural positivo a través del liderazgo auténtico.

Resolver el problema de concientización de la ciberseguridad con resiliencia

Cuando Indy comenzó en ciberseguridad, recuerda una falta de urgencia en torno a los ciberataques y su potencial para convertirse en brechas catastróficas.

En un momento dado, realizó un ejercicio de simulación de crisis con el liderazgo de su empresa, y ellos no creían que pudiera ocurrir un ataque en su organización. “Ese tipo de cosas a menudo nunca se consideraron”, explicó Indy.

Aun así, cree que la creciente prevalencia de ciberataques en las noticias a menudo lleva a una percepción de que son rutinarios, eclipsando su verdadero impacto.

“Las cosas no se están reportando lo suficiente”, dijo Indy. “Entonces el público en general todavía no tiene ese momento 'aha' sobre por qué la ciberseguridad es tan importante”.

Esta brecha en la conciencia pública hace que sea necesario ciberresiliencia más importante que nunca. La percepción pública actual de las brechas y las herramientas tradicionales que hemos utilizado para prevenirlas o detectarlas no es suficiente. Si es imposible detener cada violación, entonces las organizaciones deben estar preparadas de manera proactiva para detener las brechas cuando ocurren.

Por dónde empezar con la resiliencia cibernética: Apetito de riesgo y tolerancia

Por eso la resiliencia cibernética es tan importante. “Ahora mismo, es posible que veas ciberataques una, dos, tres veces en las noticias”, dijo. “Se ha vuelto más frecuente y la gente está haciendo preguntas más desafiantes a los líderes de seguridad”.

El cambio de la seguridad de la información tradicional a la resiliencia cibernética es un cambio radical. Ya no se trata solo de resolver problemas, sino de mantener las operaciones durante una crisis.

“La resiliencia, no solo la resiliencia cibernética, sino la resiliencia operativa, tiene que ver con cómo puedo continuar funcionando incluso cuando todas estas cosas inesperadas están sucediendo”, dijo Indy.

Esto subraya la necesidad urgente de infraestructuras que puedan resistir las interrupciones de los ataques cibernéticos. A medida que los incidentes cibernéticos se vuelven más frecuentes, los líderes de seguridad se ven presionados para desarrollar estrategias sólidas de resiliencia.

Entonces, ¿dónde pueden comenzar las organizaciones? A Estrategia Zero Trust es una de las mejores maneras de trabajar hacia la resiliencia cibernética. Zero Trust es una estrategia validada globalmente basada en el mantra de “nunca confiar, siempre verificar”. Ayuda a las organizaciones a prepararse proactivamente para las brechas, con segmentación de red, también llamada Segmentación de confianza cero (ZTS), en su núcleo.

Mientras construye Zero Trust, Indy recomienda hacer estas dos preguntas:

  1. ¿Cuál es su apetito por el riesgo cuando se trata de ciberseguridad?
  1. ¿Cuáles son los puntos de datos que le permiten medir si está dentro o fuera de ese nivel de tolerancia?

En la experiencia de Indy, esto ayuda a los líderes empresariales a tener más claridad sobre lo que más importa en sus negocios, qué necesitan proteger primero y qué tipo de información y herramientas necesitarán para llegar allí.

Tratar la ciberseguridad como un deporte de equipo

Indy también destacó las formas en que los mandatos y directrices gubernamentales de ciberseguridad también pueden ayudar a las organizaciones tanto del sector público como del privado a alcanzar sus objetivos de resiliencia.

Directrices federales de Estados Unidos como Modelo de Madurez de Confianza Cero (ZTMM) de CISA o de la UE Mandatos DORA y NIS2 ofrecer orientación paso a paso y mejores prácticas para organizaciones de cualquier tamaño o industria.

CISA's Zero Trust Maturity Model
Los cinco pilares del Modelo de Madurez de Confianza Cero de CISA

Un requisito clave que Indy ve en estos documentos es la visibilidad end-to-end en tiempo real de los flujos de tráfico de la red y de la carga de trabajo.

“Necesitas comenzar con una comprensión realmente buena de cómo interactúan las cosas en tu entorno”, explicó. “Pero también, ¿cómo interactúan todos sus proveedores y dependencias ascendentes y descendentes a nivel de sistemas?” Con esta información, los equipos podrán comprender la exposición de su red y luego poner en marcha los controles de seguridad adecuados.

Esta inmersión profunda en la infraestructura de su red significa involucrar a los equipos de toda la organización. Para Indy, la navegación exitosa requiere transformar la seguridad en un “deporte de equipo”. La adopción de un enfoque colaborativo fomenta la resiliencia y alinea las iniciativas de ciberseguridad con los objetivos de toda la organización.

Cómo conectar Zero Trust con los objetivos del negocio

Desde la perspectiva de Indy, una estrategia de confianza cero puede ayudar a los líderes de seguridad a contar una mejor historia sobre cómo la ciberseguridad se está alineando con los objetivos del negocio.

“Se trata de establecer la escena, enmarcarlo de la manera correcta y hacer que resuene con los líderes a nivel de junta”, explicó Indy.

Zero Trust es un marco útil para obtener Cyber Buy-in porque elimina la seguridad del ámbito de los controles técnicos.

Indy recomienda que los líderes de seguridad tomen este enfoque al abogar por las iniciativas y necesidades de su equipo:

  • Comience siempre con los objetivos de su negocio: “Elija su estrategia de negocio, recoja el informe anual, comprenda lo que el negocio está tratando de hacer y luego superponga con sus planes de seguridad”.
  • Utilice los principios de confianza cero como herramienta estratégica: “Explique cómo Zero Trust puede apoyar [a la empresa] utilizando sus pilares estratégicos”.
  • Guarde la tecnología para el final: “Entonces, puedes comenzar a entrar en los controles tecnológicos necesarios para cumplir con cada uno de estos puntos”.

Escucha, suscríbete y revisa The Segment: A Zero Trust Podcast

¿Quieres saber más? Escucha el episodio completo con Indy en nuestro sitio web, Podcasts de Apple, Spotify, o donde sea que obtenga sus podcasts. También puedes leer una transcripción completa del episodio.

¡Volveremos pronto con más información de Zero Trust!

Temas relacionados

Artículos relacionados

Mapeo de Illumio al Top 20 de la CEI
Segmentación de confianza cero

Mapeo de Illumio al Top 20 de la CEI

¿Quiere comprender mejor cómo Illumio ayuda a habilitar su iniciativa de Controles de Seguridad CIS? Siga leyendo para obtener más información.

3 Lo más destacado de Illumio en la Conferencia RSA 2023
Segmentación de confianza cero

3 Lo más destacado de Illumio en la Conferencia RSA 2023

Lea estos tres emocionantes aspectos destacados sobre Illumio en el RSAC de este año.

3 cosas que debería estar buscando en la Conferencia RSA 2024
Segmentación de confianza cero

3 cosas que debería estar buscando en la Conferencia RSA 2024

Obtenga información sobre cómo debería pensar sobre los riesgos de seguridad de IA, la seguridad en la nube y el ROI de la ciberseguridad en la Conferencia RSA 2024.

John Kindervag comparte la historia del origen de Zero Trust
Segmentación de confianza cero

John Kindervag comparte la historia del origen de Zero Trust

Conozca cómo John Kindervag comenzó con Zero Trust, sus primeras investigaciones sobre las mejores prácticas de Zero Trust y sus consejos para las organizaciones en su viaje de Zero Trust.

Cómo la experta en educación en ciberseguridad Kyla Guru está resolviendo la inseguridad cibernética
Segmentación de confianza cero

Cómo la experta en educación en ciberseguridad Kyla Guru está resolviendo la inseguridad cibernética

Nos sentamos con Kyla Guru, Fundadora y CEO de Bits N' Bytes Cybersecurity Education, para discutir sus avances innovadores en la educación en ciberseguridad accesible y sus pensamientos sobre hacer que el mundo digital sea más seguro para todos.

El CISO Richard Bird de seguridad de API sobre el poder de la creatividad cibernética
Segmentación de confianza cero

El CISO Richard Bird de seguridad de API sobre el poder de la creatividad cibernética

Aprenda de Richard Bird, CISO de Traceable AI, sobre el poder transformador de la narración creativa y la integración de Zero Trust y la seguridad de API.

Assume Breach.
Minimize Impact.
Increase Resilience.

Ready to learn more about Zero Trust Segmentation?