La implementación, sin embargo, puede ser compleja. A pesar de la publicidad de los socios que se dirigen a la confianza cero desde todos los puntos de vista, los ejecutivos de TI no pueden comprar la confianza cero en el estante y desplegarla durante el verano. La confianza 0 no es un producto, sino un marco de trabajo, una arquitectura, una filosofía, que puede adoptar muchas formas y que requiere bastante tiempo y esfuerzo para su implantación.
Queremos compartirte AQUÍ UNA SERIE DE PREGUNTAS de interés que los clientes deben realizar a socios y proveedores sobre:
CÓMO ADOPTAR LOS PRINCIPIOS DE LA CONFIANZA CERO
1. ¿Cómo puedo aprovechar mi infraestructura de seguridad y de red existente como parte de la transición a ZTNA?
Las empresas han invertido importantes cantidades de dinero a lo largo de los años en hardware y software de seguridad y redes. Un reto clave es realizar la transición a la ZTNA aprovechando al máximo la tecnología existente. La mayoría de las empresas ya cuentan con piezas del rompecabezas de la ZTNA, ya sea la gestión de identidades, el control de acceso, la autenticación de dos factores, la segmentación de la red o la gestión de políticas. Pero son pocas las que dominan todos los aspectos de la confianza cero de forma global, integrada, escalable y basada en políticas.
2. ¿Cuáles son los objetivos de negocio que la empresa quiere alcanzar con la confianza cero y cómo puede el proveedor ayudar a conseguirlo?
Busque proveedores que no inicien las conversaciones sobre la confianza cero hablando de tecnología, sino que empiecen por pedirle que defina los retos empresariales a los que se enfrenta y los beneficios que busca.
3. ¿Cuál es el plan para gestionar la identidad y aplicarla a los controles de seguridad en toda la red de la empresa?
Los proveedores y socios de ZTNA deben ser sinceros con los clientes y reconocer que aplicar controles de identidad en toda la red de la empresa es más fácil de decir que de hacer. Por ejemplo, muchas empresas descuidan la aplicación de la gestión de identidades granular en escenarios como el acceso de los empleados a las aplicaciones web. Según este especialista, " hay demasiadas lagunas y demasiadas soluciones puntuales (como los cortafuegos de aplicaciones web) que tratan de llenar esas lagunas, pero no se integran lo suficientemente bien como para ser una solución única para todos los casos de uso de la identidad".
4. ¿Cómo nos ayudará el socio a priorizar lo que es importante para poder crear una victoria inicial con confianza cero y ganar la confianza del personal y de la alta dirección?
Se aconseja a las empresas que busquen proveedores y socios que den prioridad a la experiencia del usuario. Las empresas tienen que hacer que la confianza cero sea lo más fluida posible, o de lo contrario los trabajadores encontrarán la manera de eludir cualquier nuevo control de seguridad. Un enfoque es desplegar la autenticación basada en certificados digitales y eliminar gradualmente esos molestos nombres de usuario y contraseñas. Cuando los usuarios accedan a sus aplicaciones de productividad a través de la nube o de otras aplicaciones orientadas a Internet y lo hagan sin contraseñas y con el respaldo de la autenticación de dos factores, aceptarán mejor otros pasos del proceso de confianza cero que puedan afectar a sus vidas. La gente quiere oír que la confianza cero costará menos, será más fácil para los usuarios y mejorará la seguridad general.
5. ¿Cómo nos ayudará el socio a priorizar los datos que hay que proteger y a gestionar continuamente los datos en toda la empresa desde la perspectiva de la confianza cero?
Se ha pasado de "definir la red" en el antiguo mundo centrado en el perímetro a "definir los datos", ya que las empresas gestionan las redes remotas e híbridas actuales. Las empresas deben empezar por realizar un descubrimiento de activos para averiguar qué datos tiene la empresa en la red, dónde se almacenan y cómo se rastrean. A continuación, identificar qué activos de datos específicos son más sensibles, establecer políticas de clasificación de datos y automatizar la gestión y el seguimiento de los activos.
6. ¿Cómo podemos establecer controles de acceso granulares para cada usuario final?
Para implantar la ZTNA, las empresas deben conocer a sus usuarios finales. ¿Quién debe acceder y qué debe hacer cada usuario? Por ejemplo, una persona de cuentas por cobrar sólo debería tener acceso a ciertas carpetas una vez al mes, cuando se pagan las facturas. "El objetivo de la confianza cero es que las empresas no confíen hasta que el usuario esté suficientemente verificado. Tienen que estar seguros de que se trata de la persona que creen que es, haciendo lo que debe hacer". El establecimiento y la aplicación del control de acceso a lo largo de la sesión del usuario es donde muchas empresas fallan, añade.
7. ¿Cómo nos ayudarán el proveedor y el socio a establecer microsegmentos para poder reducir la superficie de ataque y las brechas en la red?
La segmentación de la red existe desde hace mucho tiempo, pero la confianza cero lleva el concepto a un enfoque extremadamente granular llamado microsegmentación. En una red de confianza cero, las empresas pueden crear un segmento en torno a un único punto final o un único servidor con acceso muy restringido. Por ejemplo, tradicionalmente, el departamento de RRHH podría estar en su propio segmento de red, pero ahora el director de RRHH podría tener su propio segmento con reglas de firewall muy definidas en cuanto a lo que puede y no puede hacer. Con un enfoque de microsegmentación, una persona encargada de las nóminas podría tener acceso a la aplicación de nóminas, pero no a los datos salariales. Los objetivos pueden incluir el acceso remoto seguro para los empleados que trabajan en casa, la protección de los datos sensibles en las instalaciones y en la nube, o el aumento de la seguridad de las API para los desarrolladores de software. Las empresas deben identificar cómo el proveedor adaptará su solución a las necesidades empresariales de su organización.
8. ¿Cuál es la política de notificación de infracciones del proveedor y tiene un plan de respaldo si nuestra plataforma principal de gestión de identidades se cae?
Es posible que los ejecutivos de las empresas no hicieran esta pregunta a sus socios hace 10 años, pero ahora, las empresas tienen que dar un paso atrás y preguntar al proveedor y al socio qué ocurrirá en caso de filtración. Los clientes empresariales deben considerar no sólo el fallo puntual, sino pensar en las ramificaciones más amplias. Las empresas deben plantearse las siguientes preguntas ¿Qué sistemas y usuarios estuvieron expuestos? ¿Qué datos eran accesibles? ¿Hubo un movimiento lateral por parte de un actor malicioso que pudo haber evitado nuestras capas de defensa? ¿Cuál es mi estrategia de remediación? Lo ideal es que las empresas cuenten con equipos que practiquen sistemáticamente cómo hacer frente a la vulneración de una solución de identidad —o de un sistema similar en su arquitectura de confianza cero— para que tengan la memoria muscular de cómo responder. Es muy importante que las empresas cuenten con equipos preparados para cuando se produzca la "gran", ya sea una brecha en el sistema de identidad, un ataque de un estado nacional o las brechas comunes causadas por errores de los usuarios.
