top of page

Cómo adoptar una estrategia de Zero Trust en su organización

Redacción IT NOW

Fabio Sánchez, de OCP TECH, explica qué debemos hacer para transformar una empresa y sus procesos hacia una arquitectura de cero confianza.


Por Fabio Sánchez, Cibersecurity Lead de OCP TECH.


Un enfoque práctico para transformar el panorama tecnológico y procesos de una organización hacia un entorno más seguro, ha sido el de utilizar el paradigma Zero Trust (ZT) o Cero Confianza, que como concepto abstracto no ha sido fácil de implementar realmente. Algunas herramientas de fabricantes aseguran su ejecución, pero en determinados casos sólo abordan una pequeña parte de lo que Zero Trust abarca en su totalidad.


Cero confianza no significa desconfiar de las personas que conocemos, de los procesos y herramientas que utilizamos a diario. Es que, aún conociéndolos y trabajando día a día con estos dispositivos e identidades, debemos verificar constantemente su integridad y confidencialidad en cada proceso o circunstancia, debido a que desconocemos si están comprometidos, suplantados o alterados. Sólo si aceptamos y entendemos esta incapacidad, es que podremos adoptar los principios de Zero Trust.


El estándar Zero Trust Architecture (ZTA) NIST SP 800-207, establece siete principios básicos para expandir y abordar esta arquitectura, pero no define estrictamente que una organización deba implementar todos y cada uno para obtener una arquitectura de cero confianza y son expuestos entonces como objetivos ideales que deben buscarse infatigablemente en el diseño, implementación y operación de cada proceso o tecnología en una organización.


¿Qué debemos hacer para transformar una organización y sus procesos hacia una arquitectura de cero confianza o ZTA? ¿Es necesario cambiar todas las plataformas tecnológicas? ¿Se deben reescribir los procesos de negocio y operacionales? Antes que todo, tenemos que apropiarnos y adoptar los principios Zero Trust y desglosarlos a lo que haga sentido a nuestra organización.


Luego, adaptarlos a los procesos y herramientas actuales antes de pensar en nuevas

adquisiciones. Adoptar el concepto y adaptarlo a nuestra realidad es el nombre del juego, y desde ahí podremos transformar la forma en que accedemos a la información: ¿Quién accede? ¿Desde dónde accede? Reuniendo esa información contextual y confrontándola contra los principios que hayamos adoptado, podremos definir reglas, políticas, herramientas, procesos y modificaciones.



Un conjunto de herramientas de diversos fabricantes y un debido proceso habilitan estas capacidades de acceso remoto seguro a una aplicación o base datos, bajo un perfil de cargo o grupo en el directorio, su ubicación y horario, y dado el caso que se requiera verificación de segundo paso de la identidad, optar por un segundo factor de autenticación.


Para abordar una estrategia es necesario entender en qué estado de madurez en ciberseguridad se encuentra la organización. Existen diferentes métodos y modelos de madurez agnósticos o de fabricante. Microsoft, por ejemplo, en su modelo de Zero Trust, define tres estados de madurez: inicial, avanzado y óptimo.


También están los modelos agnósticos, como CISA’s Zero Trust Matury Model, que abarcan con mayor amplitud y facilitan la transición hacia ZTA de una forma más transparente, basados también en 3 niveles: tradicional, avanzado y óptimo, pero bajo cinco verticales: Identidad, Dispositivos, Redes, Cargas de Aplicaciones y Datos, que buscan guiar la construcción de una hoja de ruta de adopción clara y estratégica.


Es importante iniciar por un análisis de brecha, estrategia comúnmente usada en ejercicios de arquitectura empresarial. Este se ejecuta evaluando el estado actual de la organización tomando un modelo de referencia como CISA’s Zero Trust Matury Model, y bajo cada una de las dimensiones, establece si dicha práctica o proceso se realiza en la organización o en qué grado de adopción se encuentra. Al final, obtendremos una matriz cualitativa.


Estas iniciativas se pueden agrupar de forma en que una o varias conformen proyectos de implementación de procesos, definición de políticas o adquisición de nuevas herramientas, para lograr concretar un portafolio de proyectos de ciberseguridad a corto y largo plazo.


Comments


itnow-03.png

© Derechos reservados

Connecta B2B - 2025

Políticas de privacidad

ACERCA DE NOSOTROS

IT NOW es un espacio multiplataforma y un núcleo para conectar negocios que se compone de varios elementos: su sitio web con noticias de TI relevantes en la región, un newsletter semanal, su multiplataforma de redes sociales, por último, sus eventos enfocados en las verticales de TI y en donde destaca el aclamado Tech Day, la gira de actualización tecnológica más importante de la región.

24 / 7 Actualizaciones en nuestras Redes Sociales
  • Facebook
  • Instagram
  • LinkedIn
  • YouTube
  • X
  • RSS
bottom of page