¿Qué es el Zero Trust y por qué las organizaciones adoptan el marco?

¿Qué es la Seguridad de Zero Trust?

Tanto si la organización adopta un lenguaje y acciones en torno al Zero Trust, arquitectura de Zero Trust o Seguridad sin perímetro, la premisa general de cada término es la misma. Cada una se refiere a una estrategia y marco de Seguridad para IT que requiere que los usuarios, tanto dentro como fuera de la red organizacional, se autentiquen, autoricen y validen continuamente para obtener y mantener el acceso a aplicaciones y datos. El Zero Trust incorpora Seguridad en toda la arquitectura para evitar que entidades maliciosas accedan a los activos más críticos.

Investigaciones recientes revelaron que el 44 % de las empresas consideraban un acceso a la red de Zero Trust o un perímetro definido por software, para mantener la Seguridad de la organización. Este cambio hacia la operación con un marco de Zero Trust viene junto con el reconocimiento creciente de que ya no existe un "límite" tradicional en la red. En cambio, las organizaciones trabajan cada vez más con necesidades y amenazas de Seguridad sin perímetro.

Zero Trust: Una mentalidad combinada con soluciones técnicas

Aplicar una mentalidad de Zero Trust en una organización requiere educación continua y refuerzo proactivo para ayudar a que el modelo sea efectivo. Los principios de Zero Trust no significan que no haya que confiar en los empleados; más bien, son una forma de ayudar a las organizaciones a aprovechar de manera segura trabajar desde cualquier ubicación: en las instalaciones, a través de la nube o como una situación híbrida. Este es un beneficio para los empleados que ahora trabajan en todo el mundo y no solo "en la oficina".

Concepto clave del modelo de Zero Trust

El mantra detrás del Zero Trust, "No confíe nunca, verifique siempre" es el concepto principal detrás de este modelo de Seguridad y significa esencialmente que muchos usuarios, dispositivos interconectados, aplicaciones y sistemas en juego todos los días no deben ser considerados ni como seguros por defecto ni confiar en ellos. Adoptar esta premisa requiere tanto un cambio de filosofía como la implementación de soluciones de Seguridad en capas en torno a cada uno de sus usuarios, conexiones y dispositivos todos los días, con cada transacción.

Esta mentalidad se aplica incluso si está conectado a la LAN o VPN corporativa, o si previamente se verificó como seguro. Con la estrategia de Zero Trust, las organizaciones pueden ayudar a garantizar que los usuarios, junto con los dispositivos y procesos que utilizan para almacenar, manipular y enviar datos, sean identificados y autenticados sin importar dónde se encuentren o cuándo fueron autorizados por primera vez. El Zero Trust reconoce que es probable que se sigan produciendo filtraciones, pero que el daño de una filtración puede contenerse y que la reparación que viene después puede ser más eficaz y eficiente con el modelo de ciberseguridad adecuado en juego.

Blog relacionado: Cómo y por qué implantar una arquitectura de Zero Trust mediante la Seguridad por capas

Cómo aplicar un marco de Seguridad de Zero Trust

Poner en marcha un marco de Zero Trust como estrategia de ciberseguridad implica aplicar medidas de Seguridad basadas en el contexto. A diferencia de las medidas de Seguridad tradicionales, como las soluciones basadas en redes y los firewalls diseñados para evitar que los usuarios no autorizados entren y salgan de la red, las estrategias de ciberseguridad actuales también deben abordar el contexto en entornos híbridos y en la nube.

Este marco es más importante que nunca, debido al creciente número de empleados que trabaja desde casa, donde el entorno es inherentemente más vulnerable. Tanto si la organización todavía trabaja completamente de forma local, las oficinas están vacías a favor del modelo de trabajo desde casa, o se encuentre en algún punto intermedio, debe habilitarse el control y la visibilidad del entorno para obtener una Seguridad de Zero Trust. Solo así se podrá monitorear y verificar cualquier movimiento de datos dentro y fuera de la organización.

Para la sorpresa de las organizaciones que indagan en la arquitectura de Zero Trust por primera vez, la red en sí no es el mayor riesgo de ciberseguridad. Las organizaciones de hoy en día suelen carecer de perímetro o de una red perimetral. El riesgo de ciberseguridad abordado por el Zero Trust es el riesgo para los datos en sí, ya sea de forma local, almacenados en un centro de datos o existentes en un entorno de nube o de varias nubes.

Los controles de acceso forman una base de Zero Trust

Un principio clave del marco de Zero Trust es aplicar controles de acceso con privilegios mínimos para ayudar a eliminar los riesgos tomados con la confianza asumida, a través de una estricta autenticación de usuario. Al incorporar políticas de acceso con privilegios mínimos, los usuarios reciben solo el nivel mínimo de acceso definido por las responsabilidades específicas de su trabajo. Esto ayuda a reducir el movimiento y el acceso no autorizado y delimita el acceso según la función del usuario, los datos necesarios, la ubicación y los dispositivos que se utilizan. Cualquier acceso inapropiado a los datos o el movimiento de archivos o datos en toda la organización se puede bloquear automáticamente.

Con Zero Trust, las zonas de protección se crean para proporcionar visibilidad y los mecanismos de IT están diseñados para asegurar, administrar y monitorear cada usuario, dispositivo, red, aplicación o paquete de datos tanto en el perímetro como dentro de un entorno de red.

Una forma de ratificar el Zero Trust es asumir que todo lo que entra o sale de la red y todo lo que ya está en el perímetro es una amenaza por defecto, y configurar las capas de Seguridad con ese pensamiento en mente. Garantizar que la comunicación se bloquee a menos que sea validada por atributos o políticas establecidas es clave. La autenticación multi factor, los atributos basados en la identidad, los códigos de un solo uso, etc., ofrecen una Seguridad sólida que puede acompañar a los datos que se comunican, incluso en diversos entornos de red.

Un enfoque de Zero Trust escalonado y simplificado

El proceso de avanzar hacia una arquitectura de Zero Trust puede ser abrumador, y un enfoque gradual hacia el Zero Trust puede ayudar a que la postura de ciberseguridad avance con el tiempo. John Grancarich, Vicepresidente Ejecutivo de Fortra, describe un proceso de gestión para avanzar hacia el Zero Trust:

1. Prepárese para el viaje hacia el Zero Trust

Descubra el alcance y los principios del Zero Trust, realice un descubrimiento organizacional y reúna un pequeño equipo. Después de que se complete la etapa de descubrimiento de la organización, se pueden definir los límites vitales de autorización y autenticación.

2. Clasifique los activos

Cree tres grupos de impacto que respondan a la pregunta: "¿Qué le sucedería a nuestro negocio si X se viera comprometido?" Definir estos grupos de alto, moderado y bajo impacto puede ayudarle a precisar el enfoque y los recursos en torno a las tácticas de Zero Trust.

3. Seleccione un conjunto inicial de activos para abordar

Comience centrándose en los usuarios, activos y aplicaciones de mayor valor y mayor riesgo. Considere esto como su "superficie de protección" y el comienzo de su progreso estratégico e incremental hacia el Zero Trust. Haga que su equipo base identifique las 10 prioridades principales. A continuación, según Grancarich, céntrese en solo tres prioridades para perfeccionar el enfoque. Se trata de un cambio de las operaciones "como de costumbre", pero es fundamental para garantizar el éxito con la estrategia de Zero Trust.

4. Implemente controles de Seguridad iniciales

Una vez que se identifican esas prioridades principales, se pueden seleccionar nuevos procesos, procedimientos, soluciones tecnológicas o servicios, probarlos y evaluarlos.

5. Evalúe el rendimiento de los controles

Esto, como en Zero Trust, debería ser un proceso continuo. Cada control de Seguridad debe evaluarse continuamente tanto en términos del sistema como de los procesos utilizados para administrar el sistema.

6. Autorice sistemas

En este punto es donde el arduo trabajo de los planes de Seguridad y privacidad del sistema, los informes de evaluación, los planes de acción y los hitos se unen para lograr la aprobación de los directivos. Por supuesto, la comunicación constante entre el equipo de base y los directivos que dirigen un modelo de Zero Trust debería garantizar que no haya sorpresas en este paso.

7. Monitoree los resultados y perfecciónelos según sea necesario

El monitoreo continuo es esencial en el Zero Trust, por lo que la evaluación y el monitoreo son, naturalmente, la clave del éxito. La forma de hacerlo depende de las soluciones tecnológicas existentes. Sin embargo, debe haber políticas implementadas para desencadenar acciones basadas en los comportamientos observados en el monitoreo.

Principios del modelo de Zero Trust

Al adherirse a tres principios clave, las organizaciones pueden construir el modelo de Zero Trust sabiendo que están siguiendo los estrictos estándares establecidos en 2021 para que las agencias federales de EE. UU. se adhieran al NIST 800-207 como un paso requerido para la implementación de Zero Trust. El estándar pasó por una extensa validación y aportes de varias agencias, proveedores y socios comerciales, y sirve como referencia para las organizaciones privadas. Los tres principios son los siguientes:

Finalizar todas las conexiones

Las tecnologías de firewall tradicionales inspeccionan los archivos a medida que ingresan a la red. A menudo, cuando se detecta un archivo intrusivo o malicioso, ya es demasiado tarde. Con soluciones de Zero Trust aplicadas, todas las conexiones se terminan y todo el tráfico, incluso el tráfico cifrado, se inspecciona en tiempo real. Esta inspección previa al destino puede ayudar a prevenir ransomware, malware y otras amenazas externas.

Aplique políticas basadas en el contexto continuas y automatizadas para proteger los datos

En lugar de recurrir a una relación de confianza predeterminada para acceder, las políticas de Zero Trust requieren que se verifiquen las solicitudes de acceso. Todos los derechos otorgados se basan en el contexto, el tipo de contenido, la identificación del usuario, el dispositivo utilizado, la ubicación y el uso de la aplicación que se solicita. La evaluación continua de estos privilegios de acceso de usuario ayuda a garantizar que se aplique el contexto con cada transacción.

Elimine la superficie de ataque para reducir el riesgo

Con una arquitectura de Zero Trust, los usuarios se conectan directamente a las aplicaciones y los datos que necesitan, no a las redes. Este enfoque directo a las conexiones ayuda a eliminar el riesgo de movimiento lateral y evita que los dispositivos comprometidos infecten otros recursos en caso de que se produzca una filtración.

¿Por qué elegir un modelo de Zero Trust?

Si está intentando determinar si un modelo de Zero Trust sería el adecuado para cubrir las necesidades de ciberseguridad de su organización, tenga en cuenta cómo ha incrementado el delito cibernético, especialmente en este momento que cada vez se realizan más Negocios en un entorno de nube. ¿Va a arriesgarse a sufrir un robo o destrucción de datos, o incluso a que estos sean retenidos para pedir un rescate? ¿Podría afrontar la situación en que la información de identificación personal (PII) de sus clientes u otros datos confidenciales, como información financiera o de salud, fueran robados o expuestos?

Las filtraciones de datos y los riesgos de ciberseguridad seguirán siendo un factor en el futuro cercano y lejano. Sin embargo, adoptar la estrategia de Zero Trust es una opción efectiva para ayudar a minimizar esos riesgos. Al reducir la superficie de ataque, en caso de que se produzca una filtración, se puede mitigar el impacto general, el costo y el drenaje de recursos.

Casos de uso de Zero Trust

Soporte de requisitos de cumplimiento

Si la organización debe adherirse a los estándares de cumplimiento de la industria, como el NIST 800-207 del gobierno federal, el PCI DSS del sector de tarjetas de pago o los requisitos de HIPAA y HITECH del sector sanitario, el arrendatario de conexión cerrada de Zero Trust ayuda a evitar la exposición o explotación de datos confidenciales o datos privados. Con Zero Trust, puede configurar controles para separar los datos que están regulados de los que no lo están, lo que proporciona más visibilidad para fines de auditoría, así como la mitigación de una filtración de datos.

Reducción general del riesgo

El enfoque "No confíe nunca, verifique siempre" de Zero Trust evita que las aplicaciones y los servicios se comuniquen antes de ser verificados mediante principios de confianza definidos previamente, como las especificaciones de autenticación y autorización. Al proporcionar información sobre lo que hay en la red y cómo se comunican esos activos, el Zero Trust reduce el riesgo. Esta estrategia también puede proporcionar una confirmación continua de la aceptabilidad de todos los activos de comunicación para reducir el riesgo de sobreaprovisionamiento de software y servicios.

Más control de acceso al entorno en la nube

Si ha trasladado cargas de trabajo a la nube o está trabajando en un entorno híbrido, el temor de perder el control y la visibilidad no es infundado. Sin embargo, con un modelo de Zero Trust, puede aplicar políticas de Seguridad para validar las identidades de las cargas de trabajo que se comunican.

Esto ayuda a mantener la Seguridad vinculada a los activos que más protección necesitan y no depende de elementos de Seguridad de la red, como direcciones IP, protocolos o puertos. Con soluciones de Zero Trust, la protección que se obtiene se adjunta a la carga de trabajo e incluso si el entorno cambia, la Seguridad permanece.

Reducción del riesgo de filtración de datos

Según los profesionales en ciberseguridad, una filtración de datos no es una cuestión de "si" sino de "cuándo". Con el acceso de privilegio mínimo de Zero Trust, se supone que todas las entidades son hostiles. Las organizaciones estarán más tranquilas si saben que todas las transacciones, los usuarios y los dispositivos se inspeccionan y autentican antes de otorgar la "confianza". Esta validación se somete continuamente a una evaluación para dar cuenta de los cambios en los dispositivos, ubicaciones o solicitudes de datos de los usuarios.

Si, aun disponiendo de principios y tácticas de Zero Trust, un atacante se infiltra en su red o entorno de nube, se impide a este el robo o el acceso a los datos confidenciales, puesto que el modelo crea segmentación, por lo que no se pueden realizar movimientos laterales.

Cómo contribuye Fortra al modelo de Seguridad de Zero Trust

Cuando se trata de respaldar un entorno de Zero Trust, Fortra ofrece las mejores soluciones para ayudar a garantizar la Seguridad del activo más valioso: los datos críticos para el Negocio.

Gestión de derechos SFT

Un entorno de Zero Trust es aquel que garantiza que los documentos estén seguros tanto durante la transferencia como en reposo. Las soluciones de transferencia Segura de archivos (SFT), como GoAnywhere MFT pueden encargarse eficientemente de mover archivos de forma segura. Cuando se combinan con Clearswift Secure ICAP Gateway y Digital Guardian Secure Collaboration, la protección de los datos es aún superior. Con la colaboración segura aplicada a MFT, obtiene control y protección, ya que los controles de acceso a los archivos encriptados viajan con los archivos y se pueden revocar en cualquier momento, un principio clave de Zero Trust.

Otras soluciones de Fortra

CLASIFICACIÓN DE DATOS

La base de una estrategia de Seguridad de Zero Trust es saber qué tipo de datos tiene y qué necesita protección. Las soluciones de clasificación de datos de Fortra pueden proporcionarle el contexto necesario mediante la aplicación de etiquetas visuales y de metadatos para garantizar que los datos estén protegidos y bajo control durante todo el ciclo de vida. Las soluciones pueden ser impulsadas por el usuario o completamente automatizadas para proporcionar flexibilidad y personalización adaptadas a las necesidades únicas.

PREVENCIÓN DE PÉRDIDA DE DATOS (DLP)

La solución DLP de Fortra aplicada a los puntos de conexión de la red tradicional facilita la visión y el bloqueo de cualquier amenaza a la información confidencial antes de que se produzca una filtración. Esta estrategia defensiva es un componente clave del cumplimiento normativo y las leyes de privacidad de datos que requieren que las organizaciones mantengan entornos seguros y que siempre apliquen el nivel adecuado de protección a los datos.

GESTIÓN DE DERECHOS DIGITALES (DRM)

Compartir archivos externamente con terceros conlleva riesgos inherentes. DRM le proporciona el control necesario del acceso a los archivos, sin importar dónde se desplacen, fuera de su organización. Además, puede autenticar los puntos de acceso, verificar las identidades de los usuarios y las aplicaciones y limitar el acceso a los datos, así como aplicar encriptación.

TRANSFERENCIA SEGURA DE ARCHIVOS (SFT)

El entorno empresarial actual requiere soluciones sencillas para colaborar de forma remota. Más importante aún, cualquier intercambio de archivos dentro o fuera de la organización debe ser seguro. Las soluciones de transferencia segura de archivos de Fortra incorporan sólidos protocolos de encriptación, junto con funciones de automatización para ayudar a evitar errores humanos en la transmisión de archivos confidenciales. Las soluciones encriptadas Secure Mail y Secure Folders, combinadas con la gestión de derechos digitales, llevan la Seguridad de los archivos un paso más allá en apoyo del modelo de Zero Trust de verificación y autenticación siguiendo un archivo de datos a lo largo del ciclo de vida.

MONITOREO DE LA INTEGRIDAD

El monitoreo de integridad de archivos (FIM) como práctica sirve para verificar la efectividad de sus barreras de ciberseguridad, como antivirus o autenticación multifactor. Con las herramientas FIM integradas en la estrategia de Seguridad, los controles internos validan la integridad de los archivos, normalmente comparando el estado actual con la referencia conocida y monitoreando e informando los cambios de archivos en tiempo real para obtener información procesable.

GESTIÓN DE LAS VULNERABILIDADES

Las vulnerabilidades en la infraestructura central de una organización debilitan las bases del Zero Trust. Tiene que haber un entorno reforzado si quiere que los controles de Seguridad funcionen. Un programa eficaz de gestión de vulnerabilidades pondrá al descubierto las debilidades en los puntos de conexión, los servidores e incluso en los controles de Seguridad, para que el equipo pueda remediarlas antes de que se produzca ninguna filtración.

Cómo apoya Fortra el camino hacia el Zero Trust

Fortra trabaja con clientes de todos los sectores en sus viajes hacia el Zero Trust. En lugar de resolver cada pieza del rompecabezas de Zero Trust, servimos como aliado y socio en el proceso, ayudando primero a identificar los problemas que necesita resolver y luego determinando qué controles se ajustarán a su conjunto de problemas. Consulte la hoja de datos para obtener más información.

APRENDA MÁS

Más recursos sobre Zero Trust

Guide