Haciendo Zero Trust de la manera correcta

6 de mayo de 2023
| No hay comentarios
Haciendo Zero Trust de la manera correcta

Compartir publicación

Para combatir los nuevos riesgos asociados con la forma híbrida actual de trabajar, muchos ejecutivos y proveedores de seguridad cibernética ahora han descubierto "Zero Trust": este marco tiene como objetivo hacer cumplir la seguridad en el entorno de TI y, al mismo tiempo, aumentar la productividad de toda la empresa. aumentar.

La forma de trabajar de las personas ha cambiado drásticamente en la última década. Los empleados empresariales de hoy trabajan desde cualquier lugar, utilizando dispositivos y redes que ya no están directamente bajo su control, para acceder a los recursos corporativos en la nube. Si bien esto ha aumentado considerablemente la productividad, también ha hecho que sea mucho más difícil proteger a las empresas. Sin embargo, poner esto en práctica no está exento de problemas, ya que no existe una definición única de confianza cero.

Enfoque de seguridad actual

Uno escucha de algunos sectores que la autenticación multifactor (MFA) debería ser suficiente, mientras que otras soluciones van un paso más allá y requieren un "acceso con privilegios mínimos".

En términos generales, la confianza cero es la idea de que cualquier objeto, interno o externo, debe autenticarse y evaluarse periódicamente antes de que se le conceda acceso. Cuando la mayoría de los usuarios, dispositivos, aplicaciones y datos ya no se encuentran dentro de un perímetro de seguridad determinado, ya no puede haber ninguna suposición firme de que se deba confiar en un usuario o su dispositivo.

En medio de las complejidades que conlleva la adopción de tecnologías como la nube y trabajar desde cualquier lugar, es complicado para las autoridades de seguridad averiguar por dónde empezar, y eso incluye Zero Trust. Pero primero debe pensar en lo que es importante para su propia empresa. El uso de una solución de detección y respuesta de puntos finales protege sus datos de los riesgos de los puntos finales. Lo mismo se aplica a la seguridad en la nube: usted protege sus datos en la nube de accesos y ataques riesgosos o maliciosos. En otras palabras, para usar Zero Trust de manera eficiente, debe centrarse en todos los vectores en los que están integrados sus datos.

datos como punto de partida

Cuando la mayoría de las organizaciones adoptan Zero Trust por primera vez, intentan centrarse en la forma en que los empleados realizan su trabajo, como exigirles que utilicen redes privadas virtuales (VPN) con un segundo factor de autenticación al acceder a los recursos de la empresa. En contraste, sin embargo, creo que el foco no debe estar en lo que uno debe (no) hacer, sino en los datos.

Los empleados están constantemente creando y editando datos. Dado que el objetivo final de un atacante en TI corporativa es robar datos, simplemente autenticar a un usuario en el momento del acceso ya no es suficiente. En su lugar, debe centrarse en qué tipos de datos posee, cómo se accede a ellos y cómo se manipulan. También es importante tener en cuenta los niveles de riesgo en constante cambio de los usuarios y los dispositivos que utilizan.

Establecer prioridades

Los datos están en todas partes. Los empleados crean datos todos los días, ya sea intercambiándolos por correo electrónico, copiando y pegando contenido en una aplicación de mensajería, creando un nuevo documento o descargándolo a su teléfono inteligente. Todas estas actividades crean y manipulan datos, y cada una tiene su propio ciclo de vida. Sería extremadamente tedioso hacer un seguimiento de las ubicaciones de todos estos datos y cómo se manejan.

El primer paso para implementar Zero Trust Security es clasificar sus datos por niveles de sensibilidad para que pueda priorizar qué datos necesitan protección adicional. Zero Trust puede ser un proceso interminable porque puede aplicarlo a cualquier cosa. En lugar de intentar crear una estrategia de confianza cero para toda la empresa para todos los datos, concéntrese en las aplicaciones más importantes que contienen los datos más confidenciales.

acceso a los datos

Lo siguiente que debe observar es cómo se comparten los datos en toda la organización y cómo se accede a ellos. ¿Los empleados comparten principalmente datos a través de la nube? ¿O los documentos y la información se envían por correo electrónico o Slack?

Comprender cómo se mueve la información en la organización es fundamental. Si primero no comprende cómo se mueven los datos, no podrá protegerlos de manera efectiva. Por ejemplo, si una carpeta común en la nube de la empresa contiene varias subcarpetas, algunas de las cuales están protegidas, parece un método seguro. Y eso es todo hasta que alguien comparte la carpeta principal con otro grupo de trabajo y no se da cuenta de que hacerlo cambia la configuración de acceso a las subcarpetas privadas. Como resultado, sus datos privados ahora son accesibles para muchas personas que no deberían tener acceso a ellos.

Sin solución lista para usar

Probablemente todos hayan escuchado la frase: "¡Hay una aplicación para eso!". Y en general eso es cierto. Parece que hay una aplicación o una solución de software para cada problema moderno en estos días. Por otro lado, puedes ver que este no es el caso de Zero Trust. Sin embargo, hay muchos proveedores que quieren vender sus productos como las llamadas "soluciones" para implementar Zero Trust Data Security. Pero este método de simulación simplemente no funciona.

En esencia, Zero Trust es una mentalidad y una filosofía, pero no debe confundirse con un problema que puede resolverse mediante software. Si tiene la intención de adoptar Zero Trust como la metodología de seguridad de su organización, debe comprender cómo funciona este enfoque y cómo implementarlo de manera confiable en toda su organización.

El papel de los empleados

La segunda parte de implementar datos de confianza cero es lograr que sus empleados participen. Puede comprar software y soluciones existentes y establecer reglas, pero si sus empleados no entienden lo que está haciendo o por qué debería usar algo, está poniendo en peligro su progreso y éxito y probablemente exponga sus datos a ciertos riesgos.

En la conferencia RSA 2022, un colega mío realizó una encuesta y descubrió que el 80 por ciento de los asistentes todavía usa una hoja de cálculo tradicional para registrar y calcular sus datos. Y según una encuesta de 2021, solo el 22 % de los usuarios de Microsoft Azure usan MFA. Estos números sugieren que debe comenzar con sus empleados desde el principio. Y deberías explicarles la importancia de la seguridad de los datos y cómo ponerla en práctica en tus propios dispositivos.

Zero Trust no es un producto

Una de las cosas más importantes que debe recordar al implementar Zero Trust Security en su organización es que es una filosofía, no una solución simple. Zero Trust no es algo que pueda instalar casualmente de la noche a la mañana. Y no es una pieza de software lista para usar que puede comprar en algún lugar para resolver todos los problemas a la vez. La confianza cero es más una idea fundamental que debe implementarse a largo plazo.

Antes de invertir en una solución única que simplemente no funciona, es importante conocer mejor sus datos existentes y comprender qué datos particularmente confidenciales deben priorizarse y protegerse. También se trata de cómo deben manejarse en detalle para luego concentrarse en la capacitación y educación superior de sus empleados. "Zero Trust" suena como una gran idea, pero implementarlo solo funciona si comprende que es una especie de filosofía o marco que debe establecerse en etapas y mejorarse continuamente, y no solo una solución fija única.

Más en Lookout.com

 

Acerca de Lookout

Los cofundadores de Lookout, John Hering, Kevin Mahaffey y James Burgess, se unieron en 2007 con el objetivo de proteger a las personas de los riesgos de seguridad y privacidad que plantea un mundo cada vez más conectado. Incluso antes de que los teléfonos inteligentes estuvieran en el bolsillo de todos, se dieron cuenta de que la movilidad tendría un profundo impacto en la forma en que trabajamos y vivimos.

 

Artículos relacionados con el tema

Plataforma de ciberseguridad con protección para entornos 5G

Trend Micro, especialista en ciberseguridad, presenta su enfoque basado en plataformas para proteger la superficie de ataque en constante expansión de las organizaciones, incluida la seguridad. ➡ Leer más

Manipulación de datos, el peligro subestimado

Cada año, el Día Mundial de la Copia de Seguridad, el 31 de marzo, sirve como recordatorio de la importancia de tener copias de seguridad actualizadas y de fácil acceso. ➡ Leer más

Las impresoras como riesgo de seguridad

Las flotas de impresoras corporativas se están convirtiendo cada vez más en un punto ciego y plantean enormes problemas para su eficiencia y seguridad. ➡ Leer más

La Ley de IA y sus consecuencias para la protección de datos

Con la AI Act, se aprobó la primera ley para la IA y otorga a los fabricantes de aplicaciones de IA entre seis meses y ➡ Leer más

Sistemas operativos Windows: casi dos millones de ordenadores en riesgo

Ya no hay actualizaciones para los sistemas operativos Windows 7 y 8. Esto significa abrir brechas de seguridad y, por lo tanto, valer la pena y ➡ Leer más

La IA en Enterprise Storage combate el ransomware en tiempo real

NetApp es uno de los primeros en integrar inteligencia artificial (IA) y aprendizaje automático (ML) directamente en el almacenamiento primario para combatir el ransomware. ➡ Leer más

Conjunto de productos DSPM para seguridad de datos Zero Trust

La gestión de la postura de seguridad de los datos (DSPM para abreviar) es crucial para que las empresas garanticen la resiliencia cibernética frente a la multitud. ➡ Leer más

Cifrado de datos: más seguridad en plataformas en la nube

Las plataformas en línea suelen ser blanco de ataques cibernéticos, como ocurrió recientemente con Trello. 5 consejos garantizan un cifrado de datos más eficaz en la nube ➡ Leer más

 

Noticias de prensa
, , , ,