Ciberseguridad: las organizaciones se enfrentan a obstáculos clave para adoptar la confianza cero

Los profesionales de la seguridad encuestados por One Identity mencionaron la falta de claridad, otras prioridades y la falta de recursos como obstáculos en el camino hacia la confianza cero.

Imagen: Illumio

La confianza cero se promociona cada vez más como una solución que puede solucionar muchos de los problemas de seguridad y debilidades que enfrentan las organizaciones. Pero implementar un modelo de confianza cero es más fácil de decir que de hacer, ya que requiere un replanteamiento de toda su postura y entorno de seguridad. Un informe publicado el martes por la firma de seguridad de identidad One Identity analiza los desafíos que surgen cuando las organizaciones buscan adoptar la confianza cero.

VER: Seguridad de confianza cero: una hoja de trucos (PDF gratuito) (TechRepublic)

Para compilar su nuevo informe «Confianza cero y seguridad de TI», One Identity encargó a Dimensional Research que realizara una encuesta a 1.009 profesionales de seguridad de TI para conocer sus opiniones sobre la adopción y las experiencias con la seguridad de confianza cero. Las respuestas provinieron de una variedad de industrias, países y tamaños de empresas.

Entre los encuestados, el 75% citó la confianza cero como algo crítico o muy importante para la postura de seguridad de su organización. Alrededor del 24% dijo que era algo importante, mientras que solo el 1% lo descartó por no serlo.

Para la mayoría de las organizaciones encuestadas, la confianza cero todavía es un trabajo en progreso. Solo el 14% ya ha adoptado un modelo de confianza cero. Entre el resto, el 39% dijo que ha comenzado su implementación pero no ha terminado, el 22% planea establecer un modelo de confianza cero total en los próximos 12 meses, y el 14% dijo que se acerca una implementación pero que tomará más de 12 meses. Solo el 8% informó que no tenía planes de establecer la confianza cero, mientras que el 2% no sabía lo que significaba la confianza cero.

No existe un enfoque correcto para lanzar una iniciativa de confianza cero. En cambio, los encuestados señalaron una variedad de métodos. Un 49% sugirió que las organizaciones comiencen verificando continuamente quién tiene acceso a qué y cuándo. Alrededor del 48% recomendó a las organizaciones que monitoreen mejor el acceso y los privilegios de los usuarios, el 41% recomendó comenzar por configurar nuevas tecnologías de administración de acceso y el 35% sugirió mapear el tráfico de datos confidenciales.

VER: 5 consejos para implementar un modelo de confianza cero (TechRepublic)

Otras sugerencias para iniciar un proyecto de confianza cero fueron aprovechar el conocimiento de la situación y el monitoreo del comportamiento, modificar los privilegios justo a tiempo y reestructurar la red. Solo el 1% dijo que la confianza cero carece de claridad, por lo que es difícil saber por dónde empezar.

Cuando se les preguntó cómo y dónde su propia organización planea comenzar con una iniciativa de confianza cero, el 61% dijo que reconfiguraría las políticas de acceso, el 54% identificaría cómo se mueven los datos confidenciales a través de la red, el 51% lo iniciaría configurando nueva tecnología y 39 % volvería a diseñar la red.

Hasta ahora, todas estas sugerencias y planes parecen viables. ¿Entonces, cuál es el problema? Primero, hay una falta de total confianza expresada por los encuestados. Solo el 21% dijo que confiaba mucho en la comprensión de su organización de un modelo de confianza cero. Alrededor del 69% dijo que tenía algo de confianza, el 9% tenía una confianza mínima y el 1% no tenía confianza.

Cuando se les preguntó acerca de las barreras que enfrentan para establecer un modelo de confianza cero, los encuestados citaron una serie de elementos.

Las dos barreras más comunes fueron la falta de claridad sobre cómo se debe implementar la confianza cero y el requisito de confianza cero para la gestión continua de identidades y accesos, cada una de las cuales figura en un 32%. La tercera y cuarta razones fueron el hecho de que los modelos de seguridad de confianza cero afectan la productividad de los empleados y que los empleados de seguridad están demasiado ocupados y tienen otras prioridades, cada una mencionada por un 31%.

Otros obstáculos para poner en marcha una iniciativa de confianza cero fueron la falta de recursos o presupuesto, los desafíos para predecir los beneficios y construir un caso de uso empresarial, la tendencia de la confianza cero para crear un enfoque aislado y la falta de acceso a la tecnología de confianza cero. . Solo el 6% dijo que no enfrentaba barreras para implementar la confianza cero.

VER: Por qué muchos profesionales de la seguridad carecen de confianza en la implementación de Zero Trust (TechRepublic)

¿Cómo puede una organización superar algunos de estos obstáculos e implementar con éxito un modelo de confianza cero?

«Para superar las barreras principales, las organizaciones deben comenzar a pensar de manera más integral sobre Zero Trust adoptando un enfoque unificado para la seguridad de la identidad», dijo Larry Chinski, vicepresidente de estrategia global de IAM en One Identity. «La administración de seguridad aislada limita la visibilidad y genera brechas, inconsistencias e incluso más riesgos, lo que obliga a las organizaciones a otorgar privilegios siempre activos. Por lo tanto, es importante implementar una estrategia de ciberseguridad que sea flexible y dinámica, que no esté bloqueada en un conjunto específico de procesos. o restringido por su infraestructura híbrida «.

Chinski sugiere que los profesionales que buscan establecer un modelo de confianza cero comiencen por abordar el aumento de identidades en la empresa, conocido como expansión de identidades. Para deshacerse de la confianza y los privilegios excesivos en toda su organización, debe considerar no solo las identidades humanas, sino también las identidades de las máquinas.

«En general, la clave para la implementación y el despliegue exitosos de la confianza cero es centrarse en el concepto general de nunca confiar, siempre verificar», agregó Chinski. «Fuentes de terceros, como el Instituto Nacional de Estándares y Tecnología (NIST), desarrollaron estándares para la implementación de Confianza Cero basados ​​en este concepto, lo que permite a las organizaciones integrar modelos de confianza cero en su estrategia general. Considerar la confianza cero de manera integral es una clave para ayudar a las organizaciones a implementar de manera más eficaz una arquitectura ZT «.

Ver también