Seguridad

8 preguntas que los clientes deben hacer a los proveedores y socios sobre el acceso a la red de confianza cero

La mayoría de las empresas entienden que necesitan pasar de una seguridad basada en el perímetro a un modelo de confianza cero. Y entienden que no pueden adquirir la confianza cero como un producto estándar.

Seguridad

El creciente despliegue de aplicaciones empresariales básicas en la nube y el cambio al trabajo remoto provocado por la pandemia han hecho desaparecer cualquier noción del estilo tradicional de seguridad.

El lugar de trabajo híbrido actual, en el que los empleados se desplazan, trabajan desde casa y quizá visitan la oficina una o dos veces por semana, ha obligado a los equipos de redes y seguridad a adoptar un enfoque más flexible para gestionar la red, las identidades y la autenticación.

El acceso a la red de confianza cero (ZTNA, por sus siglas en inglés) ha surgido como el enfoque preferido para abordar los retos de seguridad actuales. El concepto es relativamente sencillo: en lugar de construir una defensa perimetral en capas de cortafuegos, IDS/IPS y software antivirus, la confianza cero asume que cada usuario o dispositivo no es de confianza hasta que se verifique lo suficiente.

La implementación, sin embargo, puede ser compleja. La mayoría de las empresas entienden que, a pesar de la publicidad de los socios que se dirigen a la confianza cero desde todos los puntos de vista, los ejecutivos de TI no pueden comprar la confianza cero en el estante y desplegarla durante el verano.

La confianza cero no es un producto, sino un marco de trabajo, una arquitectura, una filosofía, que puede adoptar muchas formas y que requiere bastante tiempo y esfuerzo para su implantación. He aquí una lista de preguntas que los clientes deben hacer a sus socios y proveedores sobre cómo adoptar los principios de la confianza cero.

 

1. ¿Cómo puedo aprovechar mi infraestructura de seguridad y de red existente como parte de la transición a ZTNA?

Las empresas han invertido importantes cantidades de dinero a lo largo de los años en hardware y software de seguridad y redes. Un reto clave es realizar la transición a la ZTNA aprovechando al máximo la tecnología existente.

La mayoría de las empresas ya cuentan con piezas del rompecabezas de la ZTNA, ya sea la gestión de identidades, el control de acceso, la autenticación de dos factores, la segmentación de la red o la gestión de políticas. Pero son pocas las que dominan todos los aspectos de la confianza cero de forma global, integrada, escalable y basada en políticas.

"Las empresas tienen que buscar un proveedor que les ayude a identificar qué elementos son los más fáciles de proteger con una revisión mínima de la infraestructura existente de la empresa", reconoce Tim Silverline, vicepresidente de seguridad de Gluware, proveedor de automatización de redes.

 

2. ¿Cuáles son los objetivos de negocio que la empresa quiere alcanzar con la confianza cero y cómo puede el socio ayudar a conseguirlo?

Busque socios que no inicien las conversaciones sobre la confianza cero hablando de tecnología, sino que empiecen por pedirle que defina los retos empresariales a los que se enfrenta y los beneficios que busca.

 

3. ¿Cuál es el plan para gestionar la identidad y aplicarla a los controles de seguridad en toda la red de la empresa?

Los proveedores y socios de ZTNA deben ser sinceros con los clientes y reconocer que aplicar controles de identidad en toda la red de la empresa es más fácil de decir que de hacer, admite Silverline. Por ejemplo, muchas empresas descuidan la aplicación de la gestión de identidades granular en escenarios como el acceso de los empleados a las aplicaciones web.

Según este especialista, "ahora mismo hay demasiadas lagunas y demasiadas soluciones puntuales (como los cortafuegos de aplicaciones web) que tratan de llenar esas lagunas, pero no se integran lo suficientemente bien como para ser una solución única para todos los casos de uso de la identidad".

En el lado positivo, Silverline reconoce que las organizaciones de seguridad más maduras están aprovechando las herramientas de Orquestación, Automatización y Respuesta de Seguridad (SOAR) o la Detección y Respuesta Extendida (XDR) para tratar de suavizar las complejidades de la integración tanto como sea posible.

 

4. ¿Cómo nos ayudará el socio a priorizar lo que es importante para poder crear una victoria inicial con confianza cero y ganar la confianza del personal y de la alta dirección?

Den Jones, director de seguridad de Banyan Security, aconseja a las empresas que busquen proveedores y socios que den prioridad a la experiencia del usuario. Las empresas tienen que hacer que la confianza cero sea lo más fluida posible, o de lo contrario los trabajadores encontrarán la manera de eludir cualquier nuevo control de seguridad.

Un enfoque es desplegar la autenticación basada en certificados digitales y eliminar gradualmente esos molestos nombres de usuario y contraseñas. Cuando los usuarios accedan a sus aplicaciones de productividad a través de la nube o de otras aplicaciones orientadas a Internet y lo hagan sin contraseñas y con el respaldo de la autenticación de dos factores, aceptarán mejor otros pasos del proceso de confianza cero que puedan afectar a sus vidas.

Además, Jones señala que la alta dirección se dará cuenta de este éxito inicial y será más receptiva a la hora de financiar proyectos de confianza cero más complejos, como la automatización de la supervisión continua de la actividad de los usuarios en la red.

Jones recomienda que cuando un ejecutivo de TI explique la confianza cero a la alta dirección, lo mejor es que sea sencillo. Lo reduce a tres resultados sencillos: la gente quiere oír que la confianza cero costará menos, será más fácil para los usuarios y mejorará la seguridad general.

 

5. ¿Cómo nos ayudará el socio a priorizar los datos que hay que proteger y a gestionar continuamente los datos en toda la empresa desde la perspectiva de la confianza cero?

Dan Weiss, vicepresidente senior de servicios de seguridad de aplicaciones y redes de la empresa de pen testing GRIMM, afirma que el sector ha pasado de "definir la red" en el antiguo mundo centrado en el perímetro a "definir los datos", ya que las empresas gestionan las redes remotas e híbridas actuales.

Weiss sostiene que las empresas deben empezar por realizar un descubrimiento de activos para averiguar qué datos tiene la empresa en la red, dónde se almacenan y cómo se rastrean. A continuación, identificar qué activos de datos específicos son más sensibles, establecer políticas de clasificación de datos y automatizar la gestión y el seguimiento de los activos.

 

6. ¿Cómo podemos establecer controles de acceso granulares para cada usuario final?

Para implantar la ZTNA, las empresas deben conocer a sus usuarios finales. ¿Quién debe acceder y qué debe hacer cada usuario? Por ejemplo, una persona de cuentas por cobrar sólo debería tener acceso a ciertas carpetas una vez al mes, cuando se pagan las facturas.

"El objetivo de la confianza cero es que las empresas no confíen hasta que el usuario esté suficientemente verificado", dice Weiss. "Tienen que estar seguros de que se trata de la persona que creen que es, haciendo lo que debe hacer". El establecimiento y la aplicación del control de acceso a lo largo de la sesión del usuario es donde muchas empresas fallan, añade.

 

7. ¿Cómo nos ayudarán el proveedor y el socio a establecer microsegmentos para poder reducir la superficie de ataque y las brechas en la red?

La segmentación de la red existe desde hace mucho tiempo, pero la confianza cero lleva el concepto a un enfoque extremadamente granular llamado microsegmentación.

En una red de confianza cero, las empresas pueden crear un segmento en torno a un único punto final o un único servidor con acceso muy restringido. Por ejemplo, tradicionalmente, el departamento de RRHH podría estar en su propio segmento de red, pero ahora el director de RRHH podría tener su propio segmento con reglas de firewall muy definidas en cuanto a lo que puede y no puede hacer.

Con un enfoque de microsegmentación, una persona encargada de las nóminas podría tener acceso a la aplicación de nóminas, pero no a los datos salariales. "Es mucho más exigente en cuanto a la configuración y el control de la red", afirma Weiss.

David Berliner, director de estrategia de seguridad de SimSpace, una empresa de gestión de riesgos cibernéticos, dice que los objetivos pueden incluir el acceso remoto seguro para los empleados que trabajan en casa, la protección de los datos sensibles en las instalaciones y en la nube, o el aumento de la seguridad de las API para los desarrolladores de software.

Las empresas deben identificar cómo el proveedor adaptará su solución a las necesidades empresariales de su organización.

 

8. ¿Cuál es la política de notificación de infracciones del proveedor y tiene un plan de respaldo si nuestra plataforma principal de gestión de identidades se cae?

Es posible que los ejecutivos de las empresas no hicieran esta pregunta a sus socios hace 10 años, pero Berliner afirma que, tras la reciente filtración de Okta, en la que se infiltró un importante proveedor de identidades, las empresas tienen que dar un paso atrás y preguntar al proveedor y al socio qué ocurrirá en caso de filtración.

Los clientes empresariales deben considerar no sólo el fallo puntual, sino pensar en las ramificaciones más amplias. Las empresas deben plantearse las siguientes preguntas ¿Qué sistemas y usuarios estuvieron expuestos? ¿Qué datos eran accesibles? ¿Hubo un movimiento lateral por parte de un actor malicioso que pudo haber evitado nuestras capas de defensa? ¿Cuál es mi estrategia de remediación?

En algunos casos, se trata de un "rip-and-replace", dependiendo de la gravedad", expone Berliner. "En otros, podría ser una brecha limitada que saca a un solo terminal o empleado fuera de línea mediante la revocación de otros privilegios de acceso".

Este especialista afirma que lo ideal es que las empresas cuenten con equipos que practiquen sistemáticamente cómo hacer frente a la vulneración de una solución de identidad —o de un sistema similar en su arquitectura de confianza cero— para que tengan la memoria muscular de cómo responder.

Es muy importante que las empresas cuenten con equipos preparados para cuando se produzca la "gran", ya sea una brecha en el sistema de identidad, un ataque de un estado nacional o las brechas comunes causadas por errores de los usuarios.



Revista Digital

Contenidos Patrocinados

Branded Brother Fabricantes

QNAP Fabricantes
Revistas Digitales

DealerWorld Digital

 



Otros Contenidos

Bechtle - edificio Mercado en cifras

exfiltración de datos SEGURIDAD
Registro:

Eventos: