Ya no es posible basarse únicamente en las ubicaciones físicas o de la red para confiar en los activos digitales y en los usuarios. Este es el enfoque de confianza cero (Zero Trust) para el diseño de ciberseguridad, una arquitectura o conjunto de principios en torno a los cuales un número creciente de organizaciones están reestructurando las defensas cibernéticas. De hecho, se espera que el mercado de seguridad de Zero Trust registre una tasa de crecimiento anual compuesta (CAGR, por sus siglas en inglés) de 18% para 2026.1
[1] “Zero Trust Security Market - Growth, Trends, COVID-19 Impact, and Forecasts (2021 - 2026)”, Research and Markets, July 2021.
Zero Trust llega en el momento justo
A nivel mundial, todas las empresas están respondiendo a las tendencias aceleradas por los cierres de COVID-19, incluida la migración masiva al trabajo remoto, un aumento intensivo en los ataques de ransomware, prácticas de “trae tu propio dispositivo” y la proliferación de aplicaciones en la nube.
Estas tendencias permiten que personas malintencionadas exploten los agujeros en la seguridad debido, en gran parte, al rápido ritmo de la transformación digital. En los últimos cinco años, surgió un ecosistema distribuido de datos y cargas de trabajo, mientras que el perímetro de seguridad más tradicional comenzó a disolverse. A medida que los activos individuales se volvieron más difíciles de proteger, la frecuencia y el alcance de los ataques cibernéticos se multiplicaron, incluidos varios ataques de alto perfil que afectaron a los clientes y dañaron la reputación de empresas. Para 2025, se espera que los daños por delitos informáticos globales alcancen los USD 10.5 billones de dólares anuales.2
Con un enfoque de Zero Trust, las empresas crean una defensa "sin perímetro", [SC1] con medidas de protección y confianza para cada aspecto de ese ecosistema, incluidos los activos, las cargas de trabajo y otros recursos.
El gobierno de los EE.UU. dio su propio sello de aprobación al concepto de Zero Trust. Una orden ejecutiva de mayo de 2021 sobre la mejora de la ciberseguridad del país declaró la necesidad de que su gobierno "avanza hacia la arquitectura de Zero Trust" para modernizar su enfoque, como otro gran motivador para que las empresas públicas y privadas hagan lo mismo.3
[2] “Cybercrime to Cost the World $10.5 Trillion Annually by 2025” Cybersecurity Ventures, November 13, 2020.
[3] “Executive Order on Improving the Nation’s Cybersecurity”, Executive Order 14028 of the US government, May 12, 2021.
Planificación de una transición
Las organizaciones no tienen que encender un interruptor de confianza cero; pueden integrar sus principios gradualmente y usarlos de manera híbrida, como muchas están inclinadas a hacer mientras su portafolio de aplicaciones y servicios se modernizan. A medida que las organizaciones comienzan el proceso, pueden seguir estas recomendaciones:
1. Considerar establecer un centro de excelencia (COE, por sus siglas en inglés) de Zero Trust
Para planificar e implementar un modelo de confianza cero, el grupo de partes interesadas debe expandirse más allá del equipo de seguridad, debido a que muchas funciones pueden verse afectadas por una infracción o incidir en la seguridad de la organización. Identidad, redes, desarrollo de aplicaciones, tecnología end-point, arquitectura empresarial y líderes de la nube son algunos de los miembros importantes de un centro de excelencia de Zero Trust.
El centro de excelencia debe desarrollar una definición de confianza cero específica para la empresa así como los principios clave; establecer una línea base de su estado actual y definir una hoja de ruta de adopción y prioridades. Esto debería incluir una curva de madurez en Zero Trust para comunicar claramente los objetivos prioritarios de manera trimestral.
El centro de excelencia suele ser muy activo los primeros dos o tres años de la transformación. Una vez que la empresa comienza a implementar un diseño centrado en confianza cero, dicho centro puede supervisar el progreso con respecto a los objetivos y continuar estableciendo la dirección para la adopción.
2. No empezar con las soluciones
Hay que determinar qué se necesita mejorar y qué componentes Zero Trust tienen sentido, haciendo algunas preguntas clave:
- - ¿Cómo se valida la seguridad?
- - ¿Quién puede acceder a la información y por qué?
- - ¿Cómo se impone el acceso?
- - ¿Cómo se habilita internamente la confianza actualmente?
- - ¿Cómo está cambiando la fuerza de trabajo?
- - ¿Cómo está cambiando el portafolio de aplicaciones?
3. Profundizar en los temas importantes
- - Oportunidades de segmentación y microsegmentación
- - Adopción del principio de privilegio mínimo
- - Supervisión y visibilidad del tráfico en todos los segmentos, es decir, este-oeste (aplicación, o carga de trabajo a aplicación o carga de trabajo dentro del centro de datos o la nube) y norte-sur (usuario a aplicación o carga de trabajo)
- - Consolidación y estandarización de servicios y dispositivos end-point
4. Adaptar el alcance y la velocidad de implementación al nivel de madurez de la organización
Por ejemplo, las grandes organizaciones y aquellas en industrias digitalmente avanzadas o altamente reguladas pueden estar un paso adelante, con medidas ya implementadas, como la identificación multifactorial y la segmentación de la red. Su próximo paso podría ser mejorar la visibilidad e inteligencia sobre amenazas mediante la inversión en una solución de interfaz única para monitorear mejor su ecosistema.
Es posible que otras entidades, incluidas aquellas dentro de la misma organización, no sean capaces de adoptar totalmente Zero Trust debido a su estructura, los servicios que ofrecen, protecciones air gap , entre otros factores. Sin embargo, aún pueden trazar un camino ascendente hacia la confianza cero y mejorar su postura de seguridad mediante la aplicación de los componentes que mejor les funcionen.
Zero Trust es para todos
La confianza cero puede ayudar a las empresas a resolver sus desafíos emergentes de ciberseguridad, pero también puede desempeñar otras dos funciones importantes: aliviar muchos de los problemas de seguridad que las organizaciones han enfrentado históricamente, así como limitar el radio de daño ante una brecha de seguridad, en caso de que ocurra.
Está bien si todos los segmentos de la empresa no logran adoptar la confianza cero por completo de inmediato; basta con encontrar el camino para comenzar. Dada la flexibilidad del modelo y su implementación, las organizaciones pueden desarrollar la solución adecuada para satisfacer sus necesidades actuales, con gran oportunidad de adaptarse en el futuro.
Comuníquese con nosotros para obtener más información y analizar cómo podemos ayudarle en su enfoque de confianza cero en materia de ciberseguridad.
La información aquí contenida es de naturaleza general y no tiene el propósito de abordar las circunstancias de ningún individuo o entidad en particular. Aunque procuramos proveer información correcta y oportuna, no puede haber garantía de que dicha información sea correcta en la fecha en que se reciba o que continuará siendo correcta en el futuro. Nadie debe tomar medidas con base en dicha información sin la debida asesoría profesional después de un estudio detallado de la situación en particular.
© 2024 Copyright owned by one or more of the KPMG International entities. KPMG International entities provide no services to clients. All rights reserved.
KPMG refers to the global organization or to one or more of the member firms of KPMG International Limited (“KPMG International”), each of which is a separate legal entity. KPMG International Limited is a private English company limited by guarantee and does not provide services to clients. For more detail about our structure please visit https://kpmg.com/governance.
Member firms of the KPMG network of independent firms are affiliated with KPMG International. KPMG International provides no client services. No member firm has any authority to obligate or bind KPMG International or any other member firm vis-à-vis third parties, nor does KPMG International have any such authority to obligate or bind any member firm.