Kiteworks | Your Private Content Network

Secure File Sharing and Governance Platfform

Free Trial EXPLORAR KITEWORKS

¿Qué es el concepto de seguridad de confianza cero?

Inicio Glosario ¿Qué es el concepto de seguridad de confianza cero?

La confianza cero es un enfoque de ciberseguridad basado en el concepto de siempre verificar y nunca confiar en ningún usuario, dispositivo, aplicación o comunicación de contenido. En este enfoque, se requiere validación antes de otorgar acceso a la red a dispositivos, aplicaciones y usuarios, y antes de enviar, compartir, recibir o almacenar documentos. La confianza cero es un componente crítico en la estrategia de administración de riesgos de seguridad de cualquier organización hoy en día.

Seguridad de Confianza Cero

Los activos empresariales cubiertos por un enfoque arquitectónico de confianza cero incluyen:

  • Usuarios
  • Redes
  • Aplicaciones
  • Dispositivos
  • Infraestructura
  • Datos

La confianza cero reemplazó el enfoque anterior de seguridad perimetral, que tenía desafíos significativos, incluyendo ser indefenso ante amenazas provenientes de actores internos. Las deficiencias de los modelos de seguridad heredados permitieron a actores maliciosos penetrar el perímetro de la red y acceder a aplicaciones o contenido sensible. Los enfoques de seguridad heredados también son indefensos ante amenazas provenientes de actores internos.

En respuesta a estos desafíos, John Kindervag, quien trabajaba en Forrester Research en ese momento, desarrolló el Modelo de Seguridad de Confianza Cero. Pronto fue adoptado en todos los sectores industriales y para todos los aspectos de la administración de riesgos de ciberseguridad. Este impacto se extendió a elementos como la administración de riesgos de terceros.

Lo siguiente proporciona a las organizaciones una visión general de la confianza cero, incluyendo principios fundamentales, beneficios y cómo puedes implementar la confianza cero en tu organización.

¿Qué es el Modelo de Seguridad de Confianza Cero?

Tal como sugiere el nombre, la seguridad de confianza cero se basa en la noción de que las organizaciones no deben confiar en nadie ni en nada, ya sea que estén fuera o dentro de sus sistemas/redes.

La postura de seguridad predeterminada es negar el acceso a la red y a todos los activos. Todos y todo lo que intente obtener acceso debe ser autenticado, autorizado y verificado continuamente.

Este concepto asume máxima y eterna vigilancia y requiere identificación y verificación estrictas sin excepción. El modelo de seguridad de red heredado confiaba en personas y dispositivos una vez que estaban dentro de la red. Lo mismo se aplicaba a las aplicaciones y comunicaciones de contenido sensible.

La transformación digital, la proliferación de redes híbridas, el trabajo remoto y la adopción de soluciones en la nube, combinados con los riesgos en constante evolución de estados nacionales deshonestos y actores de amenazas maliciosas, son algunas de las principales razones por las que la seguridad de confianza cero es una estrategia de ciberseguridad necesaria.

Principios Fundamentales de la Seguridad de Confianza Cero

Para implementar adecuadamente una arquitectura de seguridad de confianza cero, primero se debe entender los principios subyacentes detrás de la postura de seguridad y asegurarse de que estén integrados en tu estrategia de administración de riesgos de seguridad.

Monitoreo y Validación Continuos

El monitoreo y la validación continuos de usuarios, dispositivos, aplicaciones y comunicaciones de contenido sensible es uno de los principios más robustos de la confianza cero. Los tiempos de espera de conexión y la verificación de la identidad del usuario están en el núcleo de cualquier política de confianza cero. También exige la gobernanza de privacidad y cumplimiento de las comunicaciones de contenido sensible entrantes y salientes.

Acceso con el Mínimo Privilegio

Esto simplemente significa que a los usuarios se les concede acceso solo a lo que necesitan para realizar sus tareas. Todos los usuarios, dispositivos y aplicaciones no son confiables por defecto y se aplica el acceso con el mínimo privilegio. Por ejemplo, un usuario que no necesita una cuenta de administrador para hacer su trabajo nunca debería tener acceso a una. Los privilegios de acceso de usuario deben estar claramente definidos y aplicados; esto incluye políticas de contenido definidas desde aquellos que son administradores de contenido hasta aquellos que simplemente pueden verlo.

Además, la confianza cero asume que una brecha es inevitable o probablemente ha ocurrido. El principio de control de mínimo privilegio asegura que las cuentas comprometidas no puedan acceder a objetivos de alto valor, ya sea la red, dispositivos, aplicaciones o contenido.

Control de Acceso a Dispositivos

Este es un principio importante que ayuda a detectar y prevenir ataques. Requiere monitoreo continuo de dispositivos que intentan acceder a la red y de aquellos que ya están en la red. Con confianza cero, cualquier dispositivo representa una amenaza y, por lo tanto, debe ser autorizado, verificado y re-verificado si se detecta tráfico sospechoso.

Microsegmentación

Este es uno de los cambios significativos que una política de confianza cero introduce en una infraestructura de TI existente. La seguridad heredada consiste, en la mayoría de los casos, en numerosos elementos que no están integrados en gran medida y requieren recursos y tiempo sustanciales para gestionar.

La confianza cero fomenta la microsegmentación de una red extensa en redes más pequeñas que funcionan independientemente unas de otras. Esto significa que si una zona de red se ve comprometida, la amenaza se limita a esa red. La mayoría de las mayores brechas de seguridad utilizaron el movimiento de flujo lateral, donde los ciberdelincuentes obtienen acceso y se mueven progresivamente más profundamente en una red, aplicación o repositorio de almacenamiento, buscando datos valiosos y sensibles y activos de alto valor. La microsegmentación tiene como objetivo limitar la escala de tales ataques.

Autenticación Multifactor (MFA)

Este principio fundamental siempre debe observarse en un enfoque de seguridad de confianza cero. La MFA requiere que un usuario proporcione más de una credencial para obtener acceso a cualquier recurso en la red, aplicaciones, así como contenido.

Los métodos populares de MFA incluyen el uso de una contraseña y un código enviado a un teléfono móvil. Esto asegura que si una contraseña se ve comprometida, el acceso no será posible sin el código enviado a un teléfono móvil. Una infraestructura de seguridad de confianza cero robusta incorpora estos principios fundamentales de gestión integrada de riesgos en su diseño.

Confianza Cero Definida por el Contenido

Lo mismo se aplica a las aplicaciones y al envío, compartición, recepción y almacenamiento de contenido sensible. Un modelo de comunicaciones de contenido sensible de confianza cero monitorea y controla continuamente quién accede al contenido, quién puede enviarlo y compartirlo, y a quién se envía y comparte el contenido. Se aplica el acceso con el mínimo privilegio: administradores, propietarios, gerentes, colaboradores, espectadores, descargadores, etc. Esto es especialmente importante para la administración de riesgos de terceros (TPRM). Además, se aplica la gobernanza de seguridad tanto para las comunicaciones entrantes como salientes con monitoreo de seguridad integral integrado y embebido utilizando anti-malware, antivirus, antispam, protección avanzada contra amenazas, prevención de pérdida de datos y gestión de información y eventos de seguridad (SIEM).

Cómo Implementar la Confianza Cero

A diferencia de muchas otras estrategias de administración de riesgos de seguridad, la confianza cero no es algo que harás. Más bien, es un proceso de pensamiento o una mentalidad que debe existir dentro de tu organización. Además, la implementación es un viaje, no algo que una organización pueda implementar de la noche a la mañana.

La ventaja es que la implementación de confianza cero no requiere una revisión completa de tu arquitectura de ciberseguridad actual. Muchas organizaciones utilizan uno o dos de los principios fundamentales mencionados, incluso si no tienen una estrategia de seguridad de confianza cero en su lugar. Una vez que una organización tiene una estrategia de seguridad de confianza cero en su lugar, encontrar, evaluar e implementar las tecnologías de soporte adecuadas utilizadas para la gobernanza, seguridad y cumplimiento es crítico.

Diseño del Entorno de Confianza Cero

Para las organizaciones que buscan abordar la implementación de un enfoque de confianza cero, las siguientes son áreas de enfoque dentro de la red e infraestructura que deben abordarse.

Seguridad de Identidad

Esto involucra un sistema donde cada usuario que accede a la red es identificado a través de un conjunto único de atributos. Para hacer la seguridad de identidad aún más robusta, el acceso a activos de alto valor debería tener una capa adicional de características biométricas únicas para usuarios específicos.

Seguridad de Endpoints

Así como todos los usuarios son identificados, autenticados y verificados, también deberían serlo todos los dispositivos dentro de la red. Los dispositivos de endpoint son una de las rutas más comunes a través de las cuales los ciberdelincuentes obtienen acceso a una red. Aprovechan la seguridad a menudo débil alrededor de los endpoints periféricos para entrar y comenzar a abrirse camino a través de la red. Sin embargo, en un entorno de confianza cero, todos los dispositivos y usuarios son registrados y monitoreados. Se mantiene un registro de todos los endpoints, actividad y estado.

La seguridad de endpoints también debe extenderse para incluir dispositivos de Internet de las Cosas (IoT).

Las capacidades de antivirus y antispam deben estar integradas en las comunicaciones de contenido sensible, verificando para asegurar que el contenido entrante, ya sea enviado o compartido, no contenga código malicioso y solicitudes. Como tal, en el caso de un enfoque de red de contenido privado de confianza cero, la seguridad de endpoints debe integrarse en las herramientas de comunicación que se emplean. Este aspecto de la confianza cero debe ser parte del enfoque de administración de riesgos de terceros de cualquier organización.

Seguridad de Aplicaciones

Las aplicaciones en una infraestructura de confianza cero deben ser monitoreadas continuamente para detectar cualquier aplicación o actividad no autorizada desde aplicaciones dentro de la red. Incluso las aplicaciones en un entorno de confianza cero deben ser verificadas continuamente para monitorear posibles brechas.

Seguridad de Datos

Los datos confidenciales están en el centro de todas las estrategias de ciberseguridad. Es un activo de alto valor que los actores de amenazas siempre buscan al ingresar a tu red. Las brechas de datos donde se perdieron datos confidenciales aumentaron un 33% en 2021, con el costo promedio de una brecha creciendo a $424 millones. Los estados nacionales deshonestos y los ciberdelincuentes lo apuntan en movimiento y en reposo, dentro y fuera de la red.

Más allá de las amenazas cibernéticas, las organizaciones deben cumplir con las leyes de privacidad de datos aplicables y el cumplimiento normativo en las jurisdicciones donde operan. Específicamente, las leyes de protección de datos como la Ley de Administración de Seguridad de la Información Federal (FISMA), la Ley de Portabilidad y Responsabilidad de Seguros de Salud (HIPAA), el Reglamento General de Protección de Datos (GDPR), la Ley de Privacidad del Consumidor de California (CCPA), y la Ley de Protección de Datos (DPA) de 2018 especifican cómo debes manejar los datos confidenciales.

Orden Ejecutiva 14028 y Confianza Cero

El gobierno federal de EE. UU. reconoce la importancia de la confianza cero. La Orden Ejecutiva 14028 sirve como el impulso que impulsa la adopción, creando un mandato para que las agencias federales y sus contratistas pasen de enfoques de seguridad perimetral heredados a un modelo de confianza cero. Uno de los factores detrás de la EO 14028 es el riesgo de la cadena de suministro y la necesidad de monitorear y gestionar continuamente el riesgo de terceros para las agencias federales. Cada usuario, aplicación y dispositivo debe ser verificado para cumplir con los principios de confianza cero. La orden ejecutiva también requiere la protección de datos sensibles mediante cifrado, categorización y segregación de datos, incluyendo la capacidad de detectar y bloquear automáticamente el acceso no autorizado.

Las agencias federales están obligadas a establecer objetivos de seguridad de confianza cero para el final del año fiscal 2024. Hay cinco pilares:

  1. Desarrollar una Estrategia de Seguridad de Datos
  2. Automatizar Respuestas de Seguridad
  3. Auditar el Acceso a Datos Sensibles
  4. Gobernar el Acceso a Registros y Seguridad de la Información
  5. Seguridad de Datos.

Confianza Cero y Comunicaciones de Contenido Sensible

Históricamente se ha prestado mucha más atención al acceso a la red y la carga de trabajo que al contenido. Cuando el contenido sale de la red y las aplicaciones, los riesgos de privacidad y cumplimiento aumentan dramáticamente. No emplear un modelo de confianza cero definido por el contenido puede poner a una organización en riesgo de incumplimiento normativo, robo de propiedad intelectual y daño a la marca. Como muchas organizaciones carecen de un enfoque integral de confianza cero en todos sus canales de comunicación de contenido, están en serio riesgo. El Informe de Privacidad y Cumplimiento de Comunicaciones de Contenido Sensible de Kiteworks 2022 encontró que menos de la mitad de las organizaciones aplican principios de confianza cero en todos sus canales de comunicación de contenido: correo electrónico, uso compartido de archivos, transferencia de archivos, transferencia de archivos administrada, formularios web y interfaces de programación de aplicaciones (APIs).

Kiteworks permite a las organizaciones implementar redes de contenido privado que unifican, rastrean, controlan y aseguran las comunicaciones de contenido sensible. Aprovechando la plataforma Kiteworks, las organizaciones pueden definir, aplicar y gestionar políticas de seguridad de confianza cero consistentes en cada canal de comunicación. Los metadatos centralizados también permiten a las organizaciones responder a amenazas de privacidad y cumplimiento en tiempo virtual real.

 

Volver al Glosario de Riesgo y Cumplimiento

Get started.

It’s easy to start ensuring regulatory compliance and effectively managing risk with Kiteworks. Join the thousands of organizations who feel confident in their content communications platform today. Select an option below.

Schedule a Demo
Talk to a Rep

Lancez-vous.

Avec Kiteworks, se mettre en conformité règlementaire et bien gérer les risques devient un jeu d’enfant. Rejoignez dès maintenant les milliers de professionnels qui ont confiance en leur plateforme de communication de contenu. Cliquez sur une des options ci-dessous.

VOIR LA DÉMO
CONTACTER UN COMMERCIAL

Jetzt loslegen.

Mit Kiteworks ist es einfach, die Einhaltung von Vorschriften zu gewährleisten und Risiken effektiv zu managen. Schließen Sie sich den Tausenden von Unternehmen an, die sich schon heute auf ihre Content-Kommunikationsplattform verlassen können. Wählen Sie unten eine Option.

DEMO ANSCHAUEN
MIT EINEM MITARBEITER SPRECHEN

Comienza ahora.

Es fácil empezar a asegurar el cumplimiento normativo y gestionar los riesgos de manera efectiva con Kiteworks. Únete a las miles de organizaciones que confían en su plataforma de comunicación de contenidos hoy mismo. Selecciona una opción a continuación.

Agenda una Demo
Habla con un Representante

始めましょう。

Kiteworksを使用すれば、規制コンプライアンスを確保し、リスクを効果的に管理することが簡単に始められます。今日、コンテンツ通信プラットフォームに自信を持つ数千の組織に参加しましょう。以下のオプションから選択してください。

デモを予約
担当者に相談
Compartir
Twittear
Compartir
Explore Kiteworks