Cómo aplicar la confianza cero en su organización

Un modelo de seguridad de confianza cero reduce en gran medida el riesgo de sufrir ataques cibernéticos relacionados con las contraseñas. Descubra cómo su organización puede aplicarlo.

¿Qué es de confianza cero?

La confianza cero es un modelo de seguridad de violación asumida creado por arquitectos de soluciones de seguridad cibernética, integradores de sistemas y equipos de DevOps para integrar funciones esenciales de seguridad cibernética en entornos de TI omnipresente y que facilita la toma de decisiones y la planificación en materia de seguridad cibernética.

La confianza cero no confía en ninguna persona o dispositivo, independientemente de su ubicación. En un entorno de confianza cero, todos los usuarios y dispositivos deben autenticarse antes de poder acceder a los recursos de la organización. En lugar de basarse en la ubicación de los usuarios, la confianza cero les hace demostrar quiénes son.

Si se implementa correctamente, el acceso a la red de confianza cero proporciona a los administradores de TI una visibilidad completa de todos los usuarios, sistemas y dispositivos. Las personas, las aplicaciones y los servicios pueden comunicarse de forma segura, incluso a través de entornos de red. No importa si los usuarios se conectan desde sus casas, hoteles, cafeterías o aeropuertos, o incluso si utilizan sus propios dispositivos. Los administradores pueden ver exactamente quién se conecta a la red, dónde está y a qué accede.

Los tres principios de la confianza cero

Tres principios rectores constituyen el núcleo de la seguridad de confianza cero.

  • Asumir la violación

    Cualquier persona o dispositivo podría estar en peligro, incluso si se conecta desde la oficina.

  • Verificarla explícitamente

    Todos los equipos y personas deben probar ser quienes dicen ser antes de poder acceder a los recursos de la red.

  • Garantizar el privilegio mínimo

    Incluso después de que un usuario se haya verificado explícitamente, solo debe tener la cantidad mínima de acceso a la red que necesita para hacer su trabajo y nada más.

Cómo elegir una solución de confianza cero

Hay muchas soluciones de seguridad cibernética compatibles con la confianza cero en el mercado, pero no todas son adecuadas para su entorno de datos específico y las necesidades de su empresa. Hágase las siguientes preguntas a la hora de elegir una solución de confianza cero:

¿La solución requiere que se instalen componentes en el activo del cliente?

Las soluciones del lado del cliente pueden limitar los procesos empresariales y retrasar la productividad. Además, suponen una carga administrativa adicional para el equipo de TI.

¿Funciona la solución en casos en los que los recursos de procesos empresariales existen localmente?

Algunas soluciones suponen que los recursos solicitados residen en la nube (denominado tráfico norte-sur) y no dentro del perímetro de la empresa (tráfico oriente-occidente). Esto plantea un problema en los entornos de nube híbridos, en los que las aplicaciones de línea de negocio heredadas que realizan funciones críticas pueden ejecutarse localmente porque migrarlas a la nube no sería posible.

¿La solución ofrece una manera de registrar las interacciones para su análisis?

Las decisiones de acceso de confianza cero dependen en gran medida de la recopilación y el uso de los datos relacionados con el flujo de procesos, sobre todo para las cuentas privilegiadas.

¿La solución ofrece asistencia amplia para diferentes aplicaciones, servicios y protocolos?

Algunas soluciones admiten una amplia gama de protocolos (SSH, web, etc.) y transportes (IPv4 e IPv6), pero otras solo funcionan con la web o el correo electrónico.

¿La solución requiere cambios en los flujos de trabajo existentes?

Algunas soluciones pueden requerir pasos adicionales para realizar un flujo de trabajo determinado, lo que podría obligar a su organización a realizar cambios en los flujos de trabajo existentes.

Los pilares de la seguridad de confianza cero

Cuando haya elegido una solución de confianza cero, debe planear su implementación de confianza cero alrededor de los siguientes seis pilares, los cuales deben evaluarse y, a continuación, actualizarse o sustituirse en consecuencia.

  • Identidad

    En un modelo de confianza cero, cada usuario (humano o máquina) debe tener una identidad digital única. Siempre que esta identidad solicite acceso a un recurso, el sistema debe verificarlo con una autenticación sólida, respaldada por un análisis de comportamiento que garantice que la solicitud de acceso no es anómala para ese usuario. Cuando la identidad se autentica, el acceso del usuario a la red debe seguir los principios del mínimo privilegio.

    Puede conseguirlo asegurándose de que los usuarios tienen contraseñas seguras y únicas para cada cuenta y habilitando la autenticación multifactor (MFA) donde sea posible. Además, las organizaciones deben implementar soluciones de detección en tiempo real, corrección automatizada e inteligencia conectada tanto para vigilar la vulneración de cuentas como para responder a problemas potenciales.

  • Datos

    En los entornos actuales basados en la nube, los datos residen en todas partes y deben ser gestionados dondequiera que se ubiquen. Esto implica controlar y restringir estrictamente el acceso a los datos según los principios del mínimo privilegio y garantizar que los datos estén cifrados tanto en reposo como en tránsito.

  • Red

    Segmente las redes para impedir que los actores de amenazas se desplacen lateralmente y accedan a recursos sensibles. Utilice el control de seguridad de red canalizado para mejorar la visibilidad, incluidas las herramientas para la protección contra amenazas en tiempo real, el cifrado de extremo a extremo, la supervisión y los análisis.

  • Aplicaciones

    El acceso y los privilegios de las aplicaciones deben controlarse y restringirse con el mismo rigor que los propios datos. Controle el acceso a las aplicaciones, supervise su uso para detectar comportamientos anómalos y use el control de accesos basados en roles (RBAC) para asegurar que los permisos de los usuarios en la aplicación sean adecuados y sigan los principios del mínimo privilegio.

  • Puntos finales

    Solo debe permitirse el acceso a los datos a aplicaciones y dispositivos que cumplan las normas y sean de confianza. Antes de permitir que los empleados accedan a las aplicaciones de la empresa en sus dispositivos móviles, pídales que los inscriban en la Gestión de Dispositivos Móviles (MDM) y que los validen para comprobar su estado general y su cumplimiento con las políticas de seguridad de la empresa. Las soluciones MDM también ofrecen a los administradores visibilidad de la salud y el cumplimiento de los dispositivos, así como la capacidad de aplicar políticas y controles de seguridad, como el bloqueo de copiar/pegar o descargar/transferir.

  • Infraestructura

    Gestionar los permisos tanto de la infraestructura local como de las máquinas virtuales (VM) basadas en la nube, los contenedores y los microservicios puede resultar complicado. Automatice tantos procesos como sea posible. Utilice el acceso justo a tiempo (JIT) para reforzar las defensas, implementar análisis de seguridad para detectar anomalías y ataques cibernéticos, y bloquear y marcar automáticamente comportamientos de riesgo para su posterior investigación y corrección.

Buenas prácticas para implementar una arquitectura de confianza cero

Uno de los principales retos de aplicar la confianza cero es saber por dónde empezar. La confianza cero tiene muchas partes movibles y no existen normas universales para aplicarla. Estas son algunas buenas prácticas para trazar el itinerario de confianza cero de su organización.

  • Tenga en cuenta que la confianza cero es un compromiso a largo plazo y no una solución temporal.

    A medida que la tecnología, los flujos de trabajo y el entorno de las amenazas cambian, también lo hará su arquitectura de confianza cero.

  • Asegúrese de contar con la aprobación de los altos directivos.

    La confianza cero requiere una mentalidad de "todo o nada" y el firme compromiso de todos los niveles de dirección. El apoyo de los altos directivos fue una característica común entre los campeones de CRA, mientras que la falta de apoyo fue el principal obstáculo citado por las organizaciones que siguen luchando por adoptar la confianza cero.

  • Empiece poco a poco.

    Para evitar interrupciones en la actividad empresarial, comience la implementación de la confianza cero migrando primero los recursos empresariales de bajo riesgo y, a continuación, pase a los recursos más críticos una vez que su equipo tenga más experiencia con el modelo de confianza cero.

  • En caso de duda, concéntrese en la IAM sobre todo.

    La gestión de identidades y accesos (IAM) es el componente de confianza cero más utilizado, pues el 95 % de las organizaciones ha implementado una solución IAM.

Cómo Keeper puede ayudar a que su organización adopte la confianza cero

El paquete de seguridad cibernética de confianza cero y conocimiento cero de Keeper permite a las organizaciones adoptar el acceso remoto de confianza cero para los empleados distribuidos con una autenticación robusta y una visibilidad y control granulares. KeeperPAM® (la solución de gestión del acceso privilegiado de nueva generación de Keeper) unifica Keeper Enterprise Password Manager (EPM), Keeper Secrets Manager (KSM) y Keeper Connection Manager (KCM).

Al unificar EPM, KSM y KCM, Keeper ofrece a los administradores de TI un sistema único y omnipresente para rastrear, registrar, supervisar y proteger a cada usuario en cada dispositivo desde cada ubicación a medida que realizan transacciones con todos los sitios, sistemas y aplicaciones permitidos.

Aplique hoy la confianza cero con Keeper

Español (LAT) Llámenos