La TI de confianza cero para los puristas de la ciberseguridad describe una arquitectura bajo la cual no se puede confiar en ningún usuario, aplicación o máquina conectada a una red hasta que se demuestre lo contrario. Tal como lo define el Instituto Nacional de Estándares y Tecnología (NIST), la TI de confianza cero describe un "conjunto en evolución de paradigmas de seguridad cibernética que mueven las defensas desde perímetros estáticos basados en redes para enfocarse en usuarios, activos y recursos". Como tal, no se otorga confianza implícita a los activos o usuarios basándose únicamente en su ubicación física o de red o en la propiedad de los activos.
La mayoría de los profesionales de la ciberseguridad se dan cuenta de que no es necesariamente una idea nueva. Al analista de Forrester Research, John Kindervag, se le atribuye la popularización del término en 2010, pero el concepto en sí se remonta a 2004. Hoy, sin embargo, la TI de confianza cero se ha convertido en algo más parecido a un eslogan de campaña. Casi todas las organizaciones de hoy en día se están moviendo hacia la adopción de algún tipo de arquitectura de confianza cero. De hecho, el Departamento de Defensa de EE. UU. (DoD) acaba de publicar un informe de 37 páginas que describe su visión para lograr los objetivos de TI de confianza cero en el próximo año. Cualquiera que desee definir una estrategia de ciberseguridad similar para su organización podría simplemente copiar y pegar gran parte de este informe.
Por supuesto, ahí es donde comienza a aparecer un cierto nivel de cinismo de TI de confianza cero. Hoy en día, no hay un proveedor de una plataforma o servicio de ciberseguridad que no describa su oferta de alguna manera como que permite a los profesionales de la ciberseguridad avanzar en cero. confiar en los objetivos de TI. Dado el estado general actual de la ciberseguridad, es fácil ver por qué todas esas promesas pueden generar dudas y recelos.
Sin embargo, esa tendencia natural hacia el escepticismo puede estar pasando por alto el punto más importante. Uno de los mayores problemas que han desafiado durante mucho tiempo a los profesionales de la ciberseguridad es la falta de apoyo de la alta dirección. Históricamente, la seguridad cibernética se ha visto como un costo que debe minimizarse, generalmente gastando lo suficiente para cumplir con los mandatos que sean absolutamente necesarios. La TI de confianza cero, por otro lado, proporciona una frase general que los líderes empresariales pueden entender más fácilmente. En lugar de simplemente lograr el cumplimiento, el objetivo ahora es realmente bloquear un entorno de TI. Como tal, la voluntad de asignar dólares presupuestarios a la seguridad cibernética, incluso durante una recesión económica, es posiblemente más alta ahora que nunca. El auge del ransomware, por supuesto, juega un papel importante en ese cambio de actitud.
Los ejecutivos de negocios, como de costumbre, no están especialmente interesados en cómo se lograrán los objetivos de TI de confianza cero. Es, como siempre, todo sobre el resultado para ellos. Mientras tanto, los profesionales de TI asentirán sabiamente con la cabeza ante la mención de confianza cero, aunque muchos de ellos no estén seguros de lo que implica. Lo que más importa desde la perspectiva de la ciberseguridad es que todas las partes interesadas involucradas están aceptando el concepto. Siempre está de moda mostrar cierto desdén hacia la última palabra de moda o eslogan, pero en este caso, la campaña de TI de confianza cero no está realmente dirigida a los profesionales de la ciberseguridad. Desde su perspectiva, la TI de confianza cero es poco más que una extensión de un enfoque bien entendido de defensa en profundidad para la ciberseguridad. La diferencia ahora es más que solo los profesionales de ciberseguridad están participando en la conversación.
Todas las consignas, por supuesto, eventualmente suenan huecas. Sin embargo, los profesionales de la seguridad cibernética harían bien en lanzar su propia campaña de TI de confianza cero mientras la frase todavía está de moda, aunque solo sea porque simplifica la inversión en la próxima generación de tecnologías de seguridad cibernética que será muy necesaria para continuar. la buena lucha en nombre de aquellos que no siempre entienden, y mucho menos aprecian, qué es exactamente lo que se requiere.
Fuente: https://blog.barracuda.com/2022