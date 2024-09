También hay muchos marcos y estándares que las organizaciones pueden utilizar para implementar los principios de seguridad zero trust en sus estrategias de ciberseguridad con la orientación del Instituto Nacional de Estándares y Tecnología (NIST).

El NIST es una agencia gubernamental no reguladora del Departamento de Comercio de EE. UU. cuyo objetivo es ayudar a las empresas a entender, gestionar y reducir mejor los riesgos de ciberseguridad para proteger las redes y los datos. Han publicado un par de guías exhaustivas muy recomendables sobre el zero trust:

NIST SP800-207: Zero Trust Architecture

NIST SP 800-207, arquitectura Zero Trust (enlace externo a ibm.com) fue la primera publicación en establecer las bases para la arquitectura zero trust. Proporciona la definición de zero trust como conjunto de principios rectores (en lugar de tecnologías e implementaciones específicas) e incluye ejemplos de arquitecturas zero trust.

NIST SP 800-207 hace hincapié en la importancia de la monitorización continua y la toma de decisiones adaptativas y basadas en el riesgo. Recomiendan implementar una arquitectura zero trust con los siete pilares del zero trust (conocidos tradicionalmente como los siete principios básicos del zero trust)

Los siete pilares del zero trust

Todas las fuentes de datos y servicios informáticos se consideran recursos. Toda la comunicación está protegida, independientemente de la ubicación de la red. El acceso a los recursos individuales de la empresa se concede por sesión. El acceso a los recursos está determinado por una política dinámica (incluido el estado observable de la identidad del cliente, la aplicación o el servicio y el activo solicitante) y puede incluir otros atributos de comportamiento y entorno. La empresa monitoriza y mide la posición de integridad y seguridad de todos los activos propios y asociados. Todas las autenticaciones y autorizaciones de recursos son dinámicas y se aplican estrictamente antes de permitir el acceso. La empresa recopila toda la información posible sobre el estado actual de los activos, la infraestructura de red y las comunicaciones y la utiliza para mejorar su posición de seguridad.

En general, NIST SP 800-207 promueve un enfoque general de zero trust que se basa en los principios de privilegios mínimos, microsegmentación y monitorización continua, alentando a las organizaciones a implementar un enfoque de seguridad en capas que incorpore varios controles y tecnologías para protegerse contra amenazas.

NIST SP 1800-35B, Implementing a Zero Trust Architecture

NIST SP 1800-35B, Implementing a Zero Trust Architecture (enlace externo a ibm.com) es la otra publicación altamente recomendada de NIST y se compone de dos temas principales:

Retos de la seguridad de las TI para los sectores público y privado. Guía práctica para implementar una arquitectura zero trust en entornos empresariales y flujos de trabajo con enfoques basados en estándares, utilizando tecnología disponible en el mercado.

La publicación correlaciona los retos de la seguridad de las TI (aplicables a los sectores público y privado) con los principios y componentes de una arquitectura zero trust para que las organizaciones puedan, en primer lugar, autodiagnosticar adecuadamente sus necesidades. A continuación, pueden adoptar los principios y componentes de una arquitectura zero trust para satisfacer las necesidades de su organización. Por lo tanto, NIST SP 1800-35B no identifica tipos específicos de modelos zero trust.