Desmitificando los mitos de ZTDR por Jason Garbis
Desmitificando los mitos de Zero Trust
Zero Trust es un mercado ruidoso y complejo con un alto grado de superposición de soluciones y, lamentablemente, una sobreabundancia de exageraciones de los proveedores. Esto ha llevado a la aparición de mitos sobre Zero Trust, que tienden a aparecer como hongos no deseados y venenosos después de una lluvia de primavera. Aunque no vamos a hacer estallar nada durante el transcurso de esta publicación del blog, utilizaremos nuestro machete metafórico en algunos mitos de Zero Trust. ¡Así que entremos en modo nerd, pongámonos nuestras gafas de seguridad y desmitifiquemos algunos mitos!
Mito #1: Zero Trust es difícil
La realidad es que la Seguridad de la Información en sí es difícil, y Zero Trust en realidad facilita las cosas. Parte de la percepción errónea puede ser porque Zero Trust es una filosofía de seguridad que enfatiza un enfoque holístico. Y esto, a su vez, anima a los equipos de seguridad, a menudo por primera vez, a considerar las cosas desde una perspectiva de proceso y negocio.
Zero Trust facilita esto porque te da una manera de abstraer parte de la complejidad a través de un modelo de política unificado. Por ejemplo, puedes definir políticas de acceso que se aplican a los usuarios, independientemente de si están en la oficina (en las instalaciones) o trabajando de forma remota. Esta es una mejora significativa sobre las arquitecturas de seguridad tradicionales, que utilizan modelos completamente diferentes para usuarios remotos (por ejemplo, VPN) y usuarios en las instalaciones (por ejemplo, NAC). Otro ejemplo: estas políticas pueden hacer uso de verificaciones de postura de dispositivos de una manera que funcione de manera consistente, independientemente de si el usuario está ejecutando Windows o está en un Mac.
La conclusión: Zero Trust puede ser fácil de comenzar, en particular para uno de nuestros casos de uso favoritos, asegurar el acceso al sistema de respaldo y recuperación de datos. Estos son sistemas de alto valor a menudo atacados por los atacantes, y el conjunto de administradores del sistema debería ser pequeño y bien conocido. Para facilitar esto, proponemos tres preguntas para tu equipo de seguridad:
1. ¿Cómo estamos habilitando el acceso seguro de sysadmin a nuestro sistema de respaldo y recuperación de datos?
2. ¿Cómo está protegido el sistema de respaldo y recuperación de datos contra el acceso no autorizado a la red?
3. ¿Qué significaría para ti si aplicáramos controles de acceso contextuales y centrados en la identidad? ¿Cómo mejoraría eso nuestra seguridad, cumplimiento y operaciones?
Esperamos que estas preguntas generen una conversación sobre Zero Trust y sobre cómo se puede aplicar rápidamente a tu entorno de respaldo y recuperación de datos.
Mito #2: Necesitas ser perfecto para comenzar
Cuando hablamos de Zero Trust, a menudo enfatizamos el poder de las políticas de acceso basadas en atributos de usuario como roles o membresía en grupos, o en atributos de carga de trabajo. Esto puede llevar a las personas a la conclusión errónea de que necesitan haber perfeccionado sus procesos de gestión de identidad y membresías de grupo, así como su inventario de carga de trabajo y procesos de liberación antes de poder comenzar. Para citar la película de culto Repo Man, “¡nonsense pernicioso!”
Zero Trust es un viaje de aprendizaje sin reservas y muy mucho una fiesta de “ven como eres”. He trabajado con empresas con una gran variedad de niveles de madurez en sus ecosistemas de TI y seguridad, y cada una de ellas puede comenzar y hacer progresos a corto plazo en su viaje de Zero Trust. A menudo, pueden ofrecer una mejor seguridad para su negocio simplemente refinando sus procesos y haciendo un mejor uso de las herramientas que ya tienen en su lugar, sin tener que gastar presupuesto adicional en la adquisición de nuevas herramientas.
La conclusión: Piensa en dos áreas de fortaleza relativa y dos de debilidad relativa en tu entorno de seguridad. Por ejemplo, tal vez tengas una herramienta de gestión de dispositivos de usuario sólida que impone configuraciones de seguridad. O tal vez, como en muchas organizaciones, tengas un conjunto “desordenado” de grupos de directorio (a menudo referido como un “gran ovillo de pelo”).
Las áreas de fortaleza son buenos candidatos para su inclusión en tus políticas iniciales de Zero Trust. En nuestro ejemplo, sería sencillo y poderoso utilizar verificaciones de postura de dispositivos como parte de tus políticas de acceso. Las áreas de debilidad son a menudo buenos objetivos para mejoras enfocadas como parte de un proyecto de Zero Trust. Abordar el gran ovillo de grupos de directorio es una tarea masiva, pero crear nuevos grupos para un grupo de usuarios bien entendido, como tus administradores de respaldo y recuperación de datos, es completamente factible y también tiene el beneficio de establecer procesos claros y limpios para la membresía en grupos.
Mito #3: Zero Trust es solo sobre seguridad
Si bien Zero Trust es absolutamente una estrategia de seguridad, es importante reconocer dos cosas al respecto. Primero, recuerda los objetivos fundamentales de la seguridad de la información: Confidencialidad, Integridad y Disponibilidad. Lograr la disponibilidad requiere que los equipos de seguridad de la información apliquen Zero Trust más allá de los límites de seguridad típicos e influyan en el enfoque de su empresa hacia el respaldo y recuperación de datos, y continuidad del negocio / recuperación ante desastres (BC/DR).
En segundo lugar, los programas de Zero Trust absolutamente entregan valor comercial. Permiten a la empresa adoptar nuevas tecnologías de manera segura, abrir nuevos canales para la comunicación y colaboración seguras con proveedores, socios y clientes, y mejorar la productividad del usuario. Sin mencionar la reducción de la carga de cumplir y reportar sobre los requisitos de cumplimiento, acelerar actividades comerciales estratégicas como la transformación digital o fusiones y adquisiciones, y acelerar los procesos comerciales a través de una mejor experiencia del usuario y métodos de acceso.
Algunas de estas mejoras, incluso cuando se centran en actividades pequeñas o cotidianas, pueden ofrecer resultados convincentes. Y, los proyectos iniciales de Zero Trust más pequeños también tienen el beneficio de ser implementados y operacionalizados rápidamente.
La conclusión: Habla con tus propietarios de datos y aplicaciones sobre sus procesos y frustraciones con las experiencias de respaldo y recuperación de datos. ¿Cómo se puede mejorar la categorización, incorporación, prueba y validación? ¿Qué barreras relacionadas con el acceso puede eliminar un proyecto de Zero Trust?
Mito #4: Zero Trust es solo una iniciativa del gobierno de EE. UU.
Es cierto que el Gobierno Federal de EE. UU. ha tomado una postura pública sobre la obligatoriedad de la adopción de Zero Trust para sus departamentos y ha amplificado su conciencia y adopción. Merecen mucho crédito por hacerlo, ya que Zero Trust encapsula las mejores prácticas y enfoques de nuestra industria. Y las guías y arquitecturas de Zero Trust publicadas por agencias de EE. UU. como el Instituto Nacional de Estándares y Tecnología (NIST), la Agencia de Seguridad Nacional (NSA) y el Departamento de Defensa (DoD) son sólidas, valiosas y aplicables globalmente tanto a organizaciones del sector público como privado.
Sin embargo, incluso con todo este apoyo del gobierno de EE. UU., es importante recordar que Zero Trust se originó en el sector privado y ha sido entusiastamente adoptado y apoyado por proveedores, firmas de consultoría y análisis, y empresas de todo el mundo. También hay numerosos gobiernos no estadounidenses que han adoptado Zero Trust, como Singapur, Reino Unido, Canadá, Australia y otros.
De hecho, argumentaría que este enfoque altamente descentralizado hacia Zero Trust ha contribuido a su éxito, creando un rico (pero admitidamente ruidoso) mercado de ideas, soluciones y enfoques. Y este mercado es importante: incluso con la plétora de documentos del Gobierno de EE. UU., definitivamente hay áreas donde el sector privado necesita mejorar y llenar vacíos. Por ejemplo, el documento de la NSA Avanzando en la Madurez de Zero Trust a lo largo del Pilar de Datos ni siquiera menciona el respaldo y recuperación de datos, que es una parte enorme de la misión de un equipo de seguridad. Para esto, recomendamos nuestra contribución a la industria, el concepto de Zero Trust Data Resilience (ZTDR).
La conclusión: Revisa la Hoja de Información de Ciberseguridad de la NSA sobre Seguridad de Datos, y luego lee el documento técnico de Object First como pieza complementaria. Después de leer estos, piensa en cómo tu organización debería abordar la seguridad de datos dentro de tu iniciativa de Zero Trust y cómo debería asegurarse tu sistema de respaldo y recuperación de datos.
Conclusión: Mitos… ¡Desmentidos!
¡OK! Quitémonos las gafas de seguridad, tomemos una limonada y sentémonos. Desmentir esos mitos fue un trabajo duro, pero esperamos que, al hacerlo, hayamos aclarado y facilitado tu viaje hacia Zero Trust.
La seguridad de la información es difícil, y no hay duda de eso. Pero también es una profesión divertida, desafiante y gratificante. Habilitar a nuestras empresas para lograr su misión, mantener a nuestros usuarios seguros y productivos, y hacer que nuestros datos sean seguros y resilientes: estos son objetivos dignos y significativos. Así que, sigamos adelante, distingamos los mitos de los hechos y trabajemos para avanzar en nuestros viajes de Zero Trust.