Las empresas persiguen la confianza cero, pero los implementadores son …



Casi tres cuartos de las empresas planean tener un modelo de acceso de confianza cero para fin de año, pero casi la mitad de los profesionales de ciberseguridad carecen del conocimiento para implementar las tecnologías adecuadas, dicen los expertos.

Preocupados por la protección de los datos, la probabilidad de violaciones y el aumento de los puntos finales inseguros y los dispositivos de World-wide-web de las cosas (IoT), las empresas buscan tecnologías y modelos de seguridad que se centren en la autenticación continua, dicen los expertos.

El 4 de febrero, la firma de encuestas Cybersecurity Insiders publicó su «Informe de progreso de confianza cero», encontrando que dos tercios de los profesionales de seguridad cibernética encuestados desearían autenticar continuamente a los usuarios y dispositivos y obligarlos a ganar confianza a través de la verificación, dos principios fundamentales del cero modelo de confianza de seguridad. Sin embargo, aunque el profesional de ciberseguridad promedio confía en que puede aplicar el modelo de confianza cero en su entorno, un tercio de los encuestados tenía poca confianza y el 6% no tenía confianza en absoluto, según el informe.

Otros estudios han encontrado una conclusión related: el concepto de una arquitectura de confianza cero, que ahora tiene una década, parece estar listo para la corriente principal, pero los profesionales de la seguridad cibernética siguen incómodos con su implementación, dice Jeff Pollard, vicepresidente y analista principal de Forrester Analysis, La firma analista que acuñó el modelo en 2010.

«La confianza cero es una de esas iniciativas que se está impulsando desde la perspectiva de arriba hacia abajo», dice. «Los modelos anteriores, las arquitecturas de seguridad, estaban muy motivados por los profesionales. Eran muy orgánicos y crecieron con el tiempo … Pero debido a que la confianza cero es un modelo diferente y un enfoque diferente, tomará tiempo para todos los profesionales de la industria. para finalmente familiarizarse con cómo se ve esto desde el punto de vista de las operaciones «.

El concepto de confianza cero evolucionó como una reacción a la desaparición del perímetro de la pink, ya que los teléfonos inteligentes personales y otros dispositivos fueron ampliamente utilizados por los empleados en la oficina y a medida que más trabajadores hicieron su trabajo de forma remota. Mientras que los modelos antiguos de seguridad de purple asignaban confianza en función de la ubicación, a menudo se confiaba en cualquier persona en la oficina, los modelos de confianza cero se centran en los usuarios y el contexto.

Esos componentes también crean los mayores desafíos para las empresas, según la encuesta, que fue patrocinada por la firma de seguridad de redes Pulse Secure. La mayoría de las empresas (62%) tienen que preocuparse de que los empleados con privilegios excesivos accedan a las aplicaciones, así como si los socios (55%) solo acceden a los recursos que se les asignan. Alrededor de la mitad de los encuestados (49%) están preocupados por los dispositivos móviles vulnerables y los dispositivos corruptos en sus redes.

«La transformación digital está marcando el comienzo de un aumento en los ataques de malware, las exposiciones de IoT y las violaciones de datos, y esto se debe a que es más fácil suplantar a los usuarios en dispositivos móviles y aprovechar los dispositivos conectados a Net con un mantenimiento deficiente», Scott Gordon, portavoz de Pulse Seguro, dijo en un comunicado. «Como resultado, orquestar la visibilidad del punto last, la autenticación y los controles de seguridad son primordiales para lograr una postura de confianza cero».

El resultado es que las empresas tienen que trasladar toda su infraestructura al nuevo modelo para beneficiarse de los beneficios generales de un enfoque de confianza cero, una de las razones por las que el proceso ha tomado tanto tiempo, dice Pollard de Forrester.

«No pueden tomar lo que han hecho en el pasado y llevarlo a la nueva arquitectura, tomar una infraestructura existente y transportarla», dice. «Hay tanta deuda técnica en el viejo entorno. En cambio, recomendamos adoptar un enfoque más reflexivo».

El profesional de seguridad primero debe centrarse en utilizar el enfoque de confianza cero para los servicios en la nube, que a menudo son proyectos nuevos y que no tienen mucha deuda de seguridad. Con el movimiento, las compañías también podrían encontrar nuevas formas de lograr cero confianza, como los modelos de seguridad como servicio (SaaS).

La duda por parte de las empresas encuestadas por Cybersecurity Insiders es comprensible, dice Holger Schulze, fundador y CEO de la firma.

«Algunas organizaciones dudan en implementar la confianza cero como SaaS porque podrían tener aplicaciones heredadas que retrasarán o evitarán la implementación en la nube», dijo en un comunicado. «Otros podrían tener mayores obligaciones de protección de datos, donde son reacios a que controles y otra información practical salgan de sus instalaciones, o tienen una inversión importante en la infraestructura de su centro de datos que satisface sus necesidades».

Bien hecho, la confianza cero no debería ser más costosa que la seguridad centrada en el perímetro que la mayoría de las compañías usan hoy en día, dice John Kindervag, director de tecnología de campo de la firma de seguridad de redes Palo Alto Networks y la persona acreditada con la formalización del modelo de confianza cero. .

«La confianza cero no es más costosa que lo que se está haciendo hoy de hecho, generalmente vemos ahorros significativos en los gastos de cash, porque a menudo múltiples tecnologías se colapsan en una sola o la tecnología heredada no es necesaria en un entorno de confianza cero». él dice. «También vemos ahorros significativos en los gastos operativos, porque los equipos más pequeños pueden operar con eficacia entornos de confianza cero».

Finalmente, las empresas deben centrarse en educar, no solo a los profesionales, sino también a los usuarios, dice Pollard de Forrester. Se necesitan nuevas herramientas y sistemas, pero el usuario es esencial, dice.

«Asegúrese de comprender que su usuario está en el epicentro del modelo de confianza cero», dice.

Contenido relacionado:

Revisa El borde, La nueva sección de Dark Looking through para características, datos de amenazas y perspectivas en profundidad. La historia principal de hoy: «Nivel C y estudio para el CISSP«.

Periodista de tecnología veterano de más de 20 años. Ex ingeniero de investigación. Escrito para más de dos docenas de publicaciones, incluidas CNET Information.com, Darkish Examining, MIT&#39s Know-how Evaluation, Popular Science y Wired News. Cinco premios para el periodismo, incluyendo Mejor fecha límite … Ver biografía completa

Más concepts





Enlace a la noticia initial