¿Qué es la confianza cero y qué marcos y estándares pueden ayudar a implementar los principios de seguridad de confianza cero en sus estrategias de ciberseguridad?
Muchos clientes de IBM quieren saber qué es exactamente la seguridad de confianza cero y si es aplicable a ellos. Comprender el concepto de confianza cero y cómo evolucionó lo ayudará a usted y a muchos de nuestros clientes a comprender cómo implementarlo mejor para proteger los activos más valiosos de su empresa.
La confianza cero es un marco que asume que cada conexión y endpoint son amenazas, tanto externas como internas dentro de la seguridad de la red de una empresa. Permite a las empresas crear una estrategia de TI exhaustiva para abordar las necesidades de seguridad de un entorno de nube híbrida. La confianza cero implementa una protección adaptativa y continua, y proporciona la capacidad de gestionar las amenazas de forma proactiva.
En otras palabras, este enfoque nunca confía en los usuarios, dispositivos o conexiones para ninguna transacción y verificará todos estos para cada transacción. Esto permite a las empresas obtener seguridad y visibilidad en todo su negocio y aplicar políticas de seguridad consistentes, lo que resulta en una detección y respuesta más rápidas a las amenazas.
La confianza cero comenzó en la iniciativa “BeyondCorp” desarrollada por Google en 2010. El objetivo de la iniciativa era proteger el acceso a los recursos en función de la identidad y el contexto, lo que lo apartaba del modelo tradicional de seguridad basado en el perímetro. Esta estrategia permitió a Google proporcionar a los empleados acceso seguro a aplicaciones y datos corporativos desde cualquier lugar, empleando cualquier dispositivo, sin necesidad de una VPN.
En 2014, el analista de Forrester Research John Kindervag acuñó el concepto confianza cero para describir este nuevo paradigma de seguridad en un informe titulado “El modelo de confianza cero de la seguridad de la información”. Propuso un nuevo modelo de seguridad que asume que no se puede confiar en nadie, ya sea dentro o fuera de la red de la organización, sin verificación. El informe describió el modelo de confianza cero basado en dos principios principales: "Nunca confíe, siempre verifique".
Se supone que todos los usuarios, dispositivos y aplicaciones no son de confianza y deben verificarse antes de que se les otorgue acceso a los recursos. El principio de privilegio mínimo significa que a cada usuario o dispositivo se le otorga el nivel mínimo de acceso requerido para realizar su trabajo, y el acceso solo se otorga cuando es necesario.
Desde entonces, el concepto de confianza cero siguió ganando impulso, y muchas organizaciones adoptaron sus arquitecturas para proteger mejor sus activos digitales de las amenazas cibernéticas. Abarca varios principios y tecnologías de seguridad que se implementan para fortalecer la seguridad y reducir el riesgo de violaciones de seguridad.
Estos modelos están diseñados para trabajar de manera conjunta con el fin de crear una arquitectura integral de confianza cero que pueda ayudar a las organizaciones a reducir su superficie de ataque, mejorar su postura de seguridad y minimizar el riesgo de violaciones de seguridad. Sin embargo, es importante tener en cuenta que los tipos específicos de modelos de seguridad de confianza cero y su implementación pueden variar según el tamaño de la organización, la industria y las necesidades de seguridad específicas.
La confianza cero se convirtió en un enfoque popular para la ciberseguridad moderna. Ha sido adoptado por muchas organizaciones para hacer frente a la creciente amenaza de ataques cibernéticos y filtraciones de datos en el mundo complejo e interconectado de hoy. Como resultado, muchos proveedores de tecnología desarrollaron productos y servicios diseñados específicamente para admitir arquitecturas de confianza cero.
También hay muchos marcos y normas que las organizaciones pueden usar para aplicar los principios de seguridad de confianza cero en sus estrategias de ciberseguridad con la orientación del Instituto Nacional de Estándares y Tecnología (NIST) de EE.UU.
El NIST es una agencia gubernamental no reguladora del Departamento de Comercio de EE. UU., cuyo objetivo es ayudar a las empresas a comprender, gestionar y reducir mejor los riesgos de ciberseguridad para proteger las redes y los datos. Publicaron un par de guías exhaustivas muy recomendables sobre la confianza cero:
NIST SP 800-207, Zero Trust Architecture (enlace externo a ibm.com) fue la primera publicación en establecer las bases para la arquitectura de confianza cero. Proporciona la definición de confianza cero como un conjunto de principios rectores (en lugar de tecnologías e implementaciones específicas) e incluye ejemplos de arquitecturas de confianza cero.
En el documento NIST SP 800-207 enfatizan la importancia del monitoreo continuo y la toma de decisiones adaptativa y basada en riesgos. Recomiendan implementar una arquitectura de confianza cero con los Siete Pilares de la Confianza Cero (tradicionalmente conocidos como los Siete Principios de la Confianza Cero)
En general, en la publicación NIST SP 800-207 se promueve un enfoque global de confianza cero basado en los principios de mínimo privilegio, microsegmentación y monitoreo continuo, alentando a las organizaciones a aplicar un enfoque de seguridad por capas que incorpore múltiples tecnologías y controles para proteger contra las amenazas.
NIST SP 1800-35B, Implementing a Zero Trust Architecture (enlace externo a ibm.com) es la otra publicación muy recomendada del NIST y consta de dos temas principales:
La publicación correlaciona los desafíos de seguridad de TI (aplicables a los sectores público y privado) con los principios y componentes de una arquitectura de confianza cero para que las organizaciones puedan primero autodiagnosticar adecuadamente sus necesidades. Luego, pueden adoptar los principios y componentes de una arquitectura de confianza cero para satisfacer las necesidades de su organización. Por lo tanto, NIST SP 1800-35B no identifica tipos específicos de modelos de confianza cero.
El NIST aprovecha el desarrollo iterativo para las cuatro arquitecturas de confianza cero que implementaron, lo que les permite realizar mejoras incrementales con facilidad y flexibilidad y tener continuidad con el marco de confianza cero a medida que evoluciona con el tiempo.
El NIST tiene asociaciones estratégicas con muchas organizaciones tecnológicas (como IBM) que colaboran para adelantar a estos cambios y amenazas emergentes.
La colaboración permite a IBM priorizar el desarrollo para garantizar que las soluciones tecnológicas se alineen con los siete postulados y principios de confianza cero, manteniendo seguros y protegiendo los sistemas y datos de los clientes de IBM.
Obtenga más información sobre la importancia de la confianza cero en el Informe del costo de una filtración de datos 2022 de IBM o contacte directamente a uno de los expertos de confianza cero de IBM.