En nuestro anterior blog “Zero Trust: redefiniendo la estrategia de ciberseguridad” pusimos sobre la mesa algunas buenas prácticas usadas para definir la estrategia de ciberseguridad a nivel organizacional, destacando el modelo Zero Trust, el cual propone eliminar la idea de una red confiable dentro de un entorno corporativo y que las empresas creen microperímetros de control alrededor de sus datos y activos sensibles, obteniendo así visibilidad sobre el uso de estos. Sin embargo, la adopción de este modelo requiere de tiempo, recursos y esfuerzos significativos, lo cual demanda que se planee y analice cuidadosamente su desarrollo, definiendo metas a partir de las necesidades organizacionales y su arquitectura actual.
Implementar una arquitectura Zero Trust (ZT) no necesariamente significa la trasformación total de la arquitectura existente en la organización. Por eso, se vuelve imprescindible conocer el contexto organizacional y responder a las siguientes preguntas: ¿Qué debo proteger?, ¿Cuáles son los controles actuales?, ¿Quién accede a la información? y ¿de qué forma acceden?, como sabemos que es más fácil plantearlas que darles una respuesta le guiaremos.
¿Por dónde empezar?
El desarrollo del modelo Zero Trust en una organización depende de su postura de ciberseguridad y sus procesos actuales, sin embargo, se han definido unas actividades iniciales que deben ser abordadas para que el modelo se lleve a cabo con éxito.
- Contexto organizacional: empezaré abordando la primera pregunta ¿Qué debo proteger?, la implementación del modelo requiere del conocimiento de los activos (físicos y digitales), usuarios y procesos de negocio. Una carencia frente a este conocimiento podría provocar que la estrategia no impacte lo que se necesita proteger, complicar los procesos o que no se cumpla con las expectativas de las partes interesadas.
- Identificación y clasificación de activos: a partir de la identificación del contexto organizacional se hace más fácil identificar los recursos que son fuente de información y se encuentran involucrados en los procesos de tratamiento, para posteriormente clasificarlos y categorizar los sensibles y/o confidenciales, los cuales serán objeto de aseguramiento y controles más fuertes. Recordemos que Zero Trust comienza con los datos, este paso es crucial para identificar qué se necesita proteger y el nivel de protección requerido.
- Identificación y valoración de controles: el siguiente paso es identificar los controles asociados a los activos clasificados como confidenciales y valorar la eficacia de los mismos.
- Identificación del uso de los datos sensibles: detallar los flujos de información clasificada como confidencial identificando ¿quién?, ¿qué?, ¿cuándo?, ¿dónde? y ¿por qué? acceden a la información.
- Gestión de riesgos: la implementación del modelo implica el desarrollo de lineamientos de microsegmentación y control de accesos a partir del conocimiento del entorno de riesgo, dentro del cual se identifican, analizan y tratan a través de un plan que se convierte en la estrategia de despliegue de los controles del modelo.
[VER VIDEO: ¿Qué es UEBA y cómo funciona?]
Tenga en cuenta
Como ya se ha mencionado la implementación del modelo Zero Trust no es un reemplazo de la infraestructura o procesos actuales, es muy importante construir sobre lo existente, identificando las necesidades de protección y el contexto de la organización. La implementación debe desarrollarse progresivamente y con metas realistas, partiendo de la premisa que los cambios no solo se ejecutarán a nivel tecnológico sino también involucrando el recurso humano.
Por último, las actividades mencionadas deben obedecer a un ciclo continuo de gestión que permita mantener actualizado el modelo Zero Trust. En un momento inicial proporcionan el principal insumo para direccionar la estrategia, y luego se convierten en actividades críticas de gestión que aseguran que el modelo se mantenga acorde con los cambios organizacionales y respondan a los nuevos escenarios de riesgo.