Casi el 90% de las organizaciones han empezado a adoptar la seguridad de confianza cero, pero a muchas aún les queda un largo camino por recorrer, según un informe de la multinacional tecnológica Cisco. El informe, basado en una encuesta realizada a 4.700 profesionales de la seguridad de la información de todo el mundo, concluye que el 86,5% ha empezado a aplicar algún aspecto del modelo de seguridad de confianza cero, pero sólo el 2% cuenta con implantaciones maduras.

Cisco mide la madurez basándose en cuatro "pilares":

• Identidad, que incluye autenticación multifactor (MFA)

• Dispositivo, que incluye validación continua de los dispositivos

• De los usuarios Red y carga de trabajo, que incluye detección y respuesta de red, así como microsegmentación

• Automatización y orquestación, que incluye orquestación de seguridad y respuesta automatizada (SOAR).

El informe señala que una organización no necesita implantar los cuatro pilares para empezar a cosechar los beneficios de la confianza cero. Por ejemplo, las organizaciones que completan el pilar de la identidad tienen casi un 11% menos de probabilidades de sufrir un caso de ransomware. Completar el pilar de la red y la carga de trabajo puede reducir en un 9% la probabilidad de que se produzca un abuso malintencionado de información privilegiada.

La mayor recompensa la obtienen las organizaciones que han implantado los cuatro pilares (sólo el 2% de la muestra de la encuesta). Tienen dos veces menos probabilidades de notificar incidentes de seguridad que las que acaban de iniciar su viaje hacia la confianza cero.

Un gran salto hacia la confianza cero

Los resultados de la encuesta de este año reflejan una creciente concienciación y madurez en las organizaciones sobre lo que significa la confianza cero, señala J. Wolfgang Goerlich, CISO de Cisco Advisory. "En estudios anteriores, una parte significativa de la muestra dijo que tenían la confianza cero en su lugar y estaban bien para ir".

"Este año indagamos en la pila tecnológica y les preguntamos qué tecnologías estaban utilizando, qué aspectos de confianza cero han desplegado", continúa Goerlich. "Al hacerlo, nuestros resultados pasaron de un gran porcentaje de personas que decían haber desplegado la confianza cero a un 2% que afirmaba haber progresado en todos los pilares. Esto refleja una maduración en la comprensión de la confianza cero por parte de los responsables de seguridad y TI. Hace dos años, la gente decía: "He hecho la identidad. Estoy bien'. Ahora que están impulsando con fuerza la confianza cero, se están dando cuenta de que necesitan controles de dispositivos, cobertura de red y automatización y orquestación."

"Cuanto más saben las organizaciones sobre la confianza cero, menos competentes se sienten en ella", añade Goerlich. "Cuanto más aprenden, más se dan cuenta de que necesitan ir más allá".

En la implantación de la confianza cero, no hay una solución única

Los datos de la encuesta también indican un cambio en las pautas de adopción de la confianza cero. Según el informe, los primeros en adoptar la confianza cero seleccionaban los productos en función de sus características, en lugar de partir de los resultados o casos de uso deseados. En la actualidad, la atención se centra más en los resultados que en las características. Las organizaciones encuentran ahora valor en la adopción de la confianza cero cuando se centran en los resultados empresariales en lugar de limitarse a hablar de productos y tecnologías.

"En la implantación de la confianza cero, no hay una talla única. Por lo tanto, la prioridad de cualquier plan de gestión de riesgos debe ser centrarse en los requisitos de resultados, incluyendo IAM, visibilidad, protección de datos, resiliencia y respuesta a incidentes", afirma Chuck Brooks, presidente de Brooks Consulting International y profesor adjunto en los programas de postgrado de inteligencia aplicada y ciberseguridad de la Universidad de Georgetown. "Para optimizar el plan de riesgos, es necesario incluir personas, procesos y tecnologías. Qué tecnologías y productos se seleccionen dependerá de los requisitos y las misiones".

Principios de confianza cero en todas las capas

"Lo que suele ocurrir con los conceptos de seguridad que empiezan como palabras de moda y cobran impulso es que se desvanecen y se convierten en algo habitual", afirma Goerlich. "Lo que estamos viendo es que la gente ya no pregunta: '¿Están haciendo confianza cero?', sino: '¿Están asegurando esta nueva línea de negocio? ¿Estás protegiendo nuestras fusiones y adquisiciones? ¿Nos protege contra el ransomware? ¿Estás permitiendo a la empresa mantenerse al día de las cambiantes demandas del mercado y de los cambios en el panorama de las amenazas?".

"Ahora que tenemos los resultados identificados", prosigue Goerlich, "podemos aplicar las tecnologías y los pilares adecuados para lograr esos resultados. Lo que vamos a seguir viendo es cómo los principios de confianza cero se convierten en principios de seguridad fundamentales. A medida que avancemos, una buena seguridad es una buena seguridad, y una buena seguridad incluirá algunos de estos principios de confianza cero en cada capa".

#TKSteProtege

Fuente: CSO