Operacionalización de la confianza cero: Paso 1: Identificar qué proteger

Esta serie de blogs se basa en las ideas introducidas en mi publicación reciente,”La confianza cero no es difícil... Si eres pragmático”.

En mi post anterior, delineé seis pasos para lograr Cero Confianza. En esta serie, exploraré cada uno de los seis pasos descritos anteriormente para proporcionar un marco sólido que pueda ser utilizado por los profesionales de la microsegmentación en organizaciones grandes y pequeñas para que sus proyectos sean más exitosos. Antes de comenzar, aquí hay una representación visual de cada paso:

Paso 1: Identificar qué proteger

En la infancia de la tecnología en el lugar de trabajo, antes de que se volviera omnipresente, las organizaciones adoptaron un enfoque muy “caballos para los cursos”. En términos corporativos, esto significó un enfoque táctico para adoptar nuevas capacidades, ya sea nuevo hardware, sistemas operativos o software, siempre se trataba de lo que era más adecuado para el trabajo específico en cuestión, en lugar de tratar de resolver un caso de uso genérico.

A medida que la tecnología se implementaba a pequeña escala, las soluciones ad hoc eran manejables y más productivas que tratar de lograr economías de escala o buscar diseñar soluciones estratégicas que pudieran ser relevantes en todos los ámbitos.

Pero ahora sabemos que a medida que las organizaciones crecen, hay un punto de inflexión en el que el costo y la efectividad de ejecutar soluciones ad hoc se ven anulados por la capacidad de aprovechar componentes genéricos que se pueden usar para construir soluciones efectivas en todas partes.

La adopción e implementación de tecnologías de seguridad no es diferente, razón por la cual la introducción de una nueva capacidad de seguridad neta es un esfuerzo tan complejo, largo y prolongado, especialmente si esa capacidad está destinada a ser preventiva.

Entonces, ¿por qué estoy declarando todo lo anterior? Este contexto ilustra cómo puede lograr un progreso rápido y temprano con una iniciativa estratégica (es decir, integral, a largo plazo y compleja) como adoptar una Mentalidad de confianza cero comenzando con pasos tácticos (es decir, altamente específicos, a corto plazo y relativamente simples).

En última instancia, nuestro objetivo debe ser establecer un marco de confianza cero en toda nuestra organización. Tener esta meta a largo plazo es fundamental para validar ese avance, y cada paso nos acercará más a ese objetivo. Pero lograr una confianza cero completa requiere muchos de estos pasos, a lo largo de un largo plazo, y mostrar el ROI puede ser difícil con un enfoque de “todo o nada”. Si no puede mostrar un progreso medible a corto plazo (trimestre a trimestre, si no tan agresivo como mes a mes), entonces el apoyo y el interés en torno a la iniciativa pueden desvanecerse a medida que otras prioridades tomen el centro del escenario.

En su lugar, busque alcanzar su objetivo a largo plazo (la adopción de Zero Trust en toda la empresa) al dirigirse a una aplicación o colección de aplicaciones que:

• Contar con un fuerte impulsor para adoptar los principios de seguridad Zero Trust. Idealmente, esto sería un mandato reglamentario o de cumplimiento de normas, o un hallazgo de auditoría que debe remediarse. El otro fuerte impulsor para adoptar Zero Trust proviene de un “incidente” — todo el mundo tiene uno y como dice el viejo refrán “nunca desperdicies una crisis”. Esto asegura que haya una voluntad (y necesidad) de aceptar el cambio.
• Están marcadas como aplicaciones críticas. Centrarse en las aplicaciones de la joya de la corona al principio del proceso brinda las mejores oportunidades de aprendizaje, pero si tiene éxito, puede proporcionar confianza en el beneficio de la tecnología a otras partes menos críticas de la empresa. También se trata de aplicaciones que los tomadores de decisiones clave a menudo son más conscientes, por lo que el progreso les dará una línea de visión directa sobre el ROI de la iniciativa Zero Trust.
• Tener disposición a ser conejillos de indias. Este es un experimento, y no cabe duda de que viene con los riesgos asociados. Al adoptar Zero Trust, estás volteando los modelos de acceso habituales en su cabeza, lo que podría resultar en dolores de crecimiento. Trabajar con equipos de aplicaciones que se sienten cómodos con los riesgos de adopción es muy valioso. Ellos serán tus futuros campeones mientras busques ampliar la adopción.

Encuentro que SWIFT o PCI-DSS sistemas, cargas de trabajo de desarrollo en una red de producción, servicios de seguridad críticos, aplicaciones que se ejecutan sin parches y/o componentes al final de su vida útil son excelentes candidatos para ser adoptantes iniciales de la segmentación Zero Trust, ya que cumplen al menos dos de los requisitos anteriores. ¿Qué aplicaciones tiene que encajen en esas categorías?

Una vez que haya identificado lo que quiere proteger, puede avanzar para determinar en qué pilar Zero Trust enfocarse y, más específicamente, exactamente qué control va a imponer, ambos serán cubiertos en la próxima publicación de esta serie.

¿No puedes esperar a mi próximo post para saber más? Visita nuestra página sobre cómo poner en marcha su estrategia Zero Trust con microsegmentación para obtener información privilegiada.