Connect with us

Eventos

Nadie es confiable: los 10 mandamientos del Zero Trust

César Villaseñor

Published

on

Adoptar el modelo Confianza Cero o Zero Trust como estrategia de ciberseguridad es una “carrera de resistencia”, donde el primer paso es asumir que cualquier organización puede ser vulnerada.

Para profundizar sobre este tema de valor para los CIO y expertos en seguridad digital, fue realizada la mesa redonda virtual denominada “Nadie es confiable: los 10 mandamientos del Zero Trust”, organizada por CIO México en colaboración con Appgate.

Esta reunión a distancia contó con la participación de David Cisneros, Director Comercial, y Guillermo Carrasco, Líder de Ingeniería de Perímetro Definido por Software para Latinoamérica, ambos de Appgate México, quienes realizaron una presentación introductoria al tema y propusieron las reglas fundamentales, a modo de décalogo, de una filosofía de Cero Confianza en un entorno de ciberseguridad. Posteriormente, se realizó una mesa de discusión entre los asistentes.

Los pilares de un Zero Trust efectivo

Para Guillermo Carrasco, la mayoría de organizaciones asumen que los empleados son usuarios confiables. Sin embargo, esta postura conlleva muchos problemas para las empresas. Es por ello que, sin importar el tamaño de la organización, el control de la seguridad es primordial. “Si asumimos que la gente es confiable el riesgo siempre va a ser grande y por lo tanto vamos a tener un nivel de control bajo”, aseguró.

Ante esta problemática, el experto sugirió dejar de confiar en todos los dispositivos conectados. Con ello el riesgo disminuirá y el control de la seguridad abarcará más allá del perímetro. De este modo será posible entender quién se conecta, bajo qué circunstancias y qué accesos tienen.

Guillermo Carrasco, Líder de Ingeniería de Perímetro Definido por Software para Latinoamérica de Appgate.

La tecnología Zero Trust fue pensada específicamente para atender y solucionar esta problemática de seguridad. Este sistema único extendido atiende los usuarios conectados dentro y fuera de la red, cargas de trabajo y recursos, así como los datos, visibilidad de análisis de los mismos y la orquestación y automatización.

Carrasco dijo que para llevar a cabo de manera exitosa una estrategia Zero Trust se deben cumplir algunos puntos. En este sentido, sugirió asumir que se puede sufrir una vulnerabilidad, así como no confiar en ningún acceso o conexión, no brindar acceso sin antes verificar y no basar el acceso en la IP.  También se deben establecer permisos bajo contexto para identificar a los usuarios y otorgar accesos específicos.

Aunado a lo anterior, es necesario cuidar tanto los accesos remotos como locales, inspeccionar los accesos de los usuarios, autenticar y autorizar antes de conectar. Como último punto, Guillermo Carrasco recomendó no dar más privilegios de los necesarios.

Software-Defined Perimeter cumple los 10 mandamientos del Zero Trust

David Cisneros, de Appgate comentó que, para cumplir con las recomendaciones propuestas por Guillermo Carrasco, recomienda la tecnología denominada Software-Defined Perimeter.

Dicha tecnología de redes definidas por software toma decisiones automatizadas. Esto es posible gracias a que añade inteligencia a las redes para que, de forma no invasiva para el usuario, elija la mejor ruta hacia los aplicativos.

David Cisneros, Director Comercial de Appgate México.

Cisneros enfatizó que ésta es una tecnología atiende necesidades modernas como la actual tendencia de los usuarios remotos, servidores en la nube, etcétera. Agregó que es necesario establecer nuevos perímetros basados en software para poder tener un mejor control de los accesos.

“Software-Defined Perimeter realiza el control de acceso alineado a los 10 puntos que mencionó Guillermo. Y Forrester, creador del término Zero Trust, premió la forma en que estamos haciendo el control de acceso moderno”.

La esencia del Zero Trust es tener la tranquilidad que dispositivos e identidades entren a los recursos de nuestra organización bajo previa verificación. Una vez hecho esto, Software-Defined Perimeter identifica al usuario y le da acceso sólo a los recursos necesarios; todo ello cifrado bajo TLS”, añadió Cisneros.

Los expertos hablan sobre el Zero Trust

Después de la ponencia de los especialistas, se dio paso a un panel de discusión donde los CIO y CISO participantes compartieron sus experiencias en relación al Zero Trust, la ciberseguridad y otras tendencias.

Ante la pregunta de si pensaban que existía algún otro mandamiento acerca del Zero Trust que se pudiera añadir al decálogo propuesto por Appgate, José Rodríguez, IT Project Manager para Softek, dijo que es importante que el administrador del software de autenticación aplique los mismos parámetros del Zero Trust para que no queden expuestos muchos datos.

Es por ello que sugirió implementar una estrategia de los administradores de redes en conjunto con los administradores de los ERP para lograr una autenticación y otorgamiento de permisos no sólo en red, sino en el software ERP.

Por su parte, Luis Hernández, Coordinador de TI para Audi México, compartió que dentro de su organización ya se toman algunos puntos señalados en la presentación inicial. Asimismo, remarcó la importancia de definir correctamente los permisos para visualizar los accesos de los usuarios.

Marcos López, Information Security Manager del Tribunal Federal de Justicia Administrativa, comentó que para que un modelo de Zero Trust funcione es necesario conocer a fondo todos los cronogramas, flujos, usuarios, permisos, etc. Por ello recomendó que las empresas definan bien todos estos elementos antes de implementar una estrategia Zero Trust o de otro tipo.

Acerca de la dificultad para implementar el modelo Zero Trust dentro de las organizaciones, Alfredo López, Gerente de Sistemas Aplicaciones de Corporativo Orvin Tyson Pilgrims, opinó que uno de los principales retos es establecer las reglas que darán pauta para que la tecnología haga su trabajo. Para ello, es vital mapear todos los procesos para definir una microsegmentación

Química Apollo contó con la participación de su CIO, Juan Carlos Ortíz, quien dijo al respecto que el simple hecho de “implementar una nueva herramienta dentro de una gran organización supone también un gran reto, y es necesaria una adecuada planificación para obtener una estrategia clara”.

A propósito de cómo controlar el acceso a los recursos una vez que el usuario es autenticado, Rubén Enrique Rosete, Gerente de Informática en Televisa, señaló que para dar acceso a los usuarios se emplean diversos mecanismos como el doble factor de autenticidad que otorga autorización sólo para determinados servidores.

Guillermo Carrasco, de Appgate, sugirió a los participantes conocer más a detalle la metodología Zero Trust para realizar grandes cambios dentro de las empresas. “El objetivo es hacer frente a los ciberatacantes, ya que ellos siempre van a estar presentes”, comentó.

A modo de conclusión, David Cisneros aseguró que un proyecto de Zero Trust puede iniciar desde dos aristas: la primera es cuando la dirección general indica adoptar este modelo, abriendo muchos recursos y posibilidades para el proyecto.

La segunda es cuando la implementación del Zero Trust inicia desde el área de TI, en cuyo caso no se ocupa demasiada documentación. Ejemplo de ello es el PCI, donde se tienen identificados los servidores y endpoints, se inserta esta tecnología y brinda las capacidades requeridas, finalizó Cisneros.

César Villaseñor, CIO México

Advertisement
 

VIDEOS

Resources

Advertisement

Recientes

Advertisement