Confianza cero en el mundo authentic



Aquellos que están comprometidos con la adopción del concepto tienen la oportunidad de presentar un caso comercial más amplio en toda la organización, trabajando con los líderes ejecutivos para implementar un marco de confianza cero en toda la empresa.

Hasta la fecha, el modelo de confianza cero ha sido pensado e implementado en gran medida como un tecnología estrategia: una que ayuda a las organizaciones a fortalecer su postura de ciberseguridad. Esto es comprensible, ya que el concepto de confianza cero se centra en un tema clave: nunca confíe, siempre verifique, lo que proporciona perímetros alrededor de datos, aplicaciones y redes al tiempo que permite que esos perímetros sean dinámicos y fluidos en función del riesgo con una identidad y datos. -enfoque céntrico. Sin embargo, cuando se consideran los riesgos de pérdida de propiedad intelectual, daño a la reputación, robo, and many others., que existen fuera del ámbito digital, la confianza cero también es un enfoque sólido para proteger la integridad del todo el negocio.

La razón de esto es que los intrusos físicos, personas con información privilegiada y terceros pueden generar muchos de los mismos problemas que está tratando de prevenir en el mundo cibernético: documentos robados, datos confidenciales filtrados, and so on. Estos mismos actores de amenazas también pueden usar tácticas físicas para comprometer los activos electrónicos, por ejemplo, caminar por la oficina en busca de notas adhesivas con contraseñas. Considere estos otros ejemplos:

  • Un intruso físico obtiene acceso no autorizado a su edificio haciéndose pasar por un conductor de reparto. (Seamos realistas: ninguno de nosotros se inmuta cuando un repartidor o un bebedero de plantas camina por la oficina).
  • Un «adquirente» potencial se reúne con el equipo ejecutivo para ver los planes del producto, solo para ir y usar estos planes para construir el producto por sí mismo.
  • Alguien irrumpe en su oficina fuera del horario de atención para robar archivos importantes de la empresa.
  • Un ejecutivo menciona casualmente una adquisición confidencial a sus compañeros de trabajo en el comedor sin validar que se puede confiar la información a esos empleados.
  • Un empleado envía una llamada de Zoom grabada a alguien fuera de la organización con fines nefastos.

Y la lista continúa. Póngase su «sombrero negro» por un momento y piense en todas las formas en que podría comprometer involuntariamente la información en su oficina. No sería tan difícil, ¿verdad?

Esto presenta una oportunidad para los CISO. Aquellos que se comprometen a adoptar la confianza cero este año tienen la oportunidad de presentar un caso comercial más amplio en toda la organización, trabajando con el director de riesgos, el director ejecutivo (CEO) y otros líderes ejecutivos para desarrollar e implementar una estrategia cero. marco de confianza en toda la empresa. Esto no solo fortalecerá la postura de seguridad standard de la compañía, sino que también ayudará a los CISO a solidificar su posición en los escalones superiores del negocio. Caso en cuestión: una encuesta reciente de Forrester encontró que el 82% de los 317 tomadores de decisiones de seguridad world-wide encuestados dijeron que «están comprometidos con la migración a una arquitectura de seguridad Zero Have confidence in, y su interés en Zero Have confidence in ha elevado el rol del CISO a visibilidad a nivel de junta en el 49% de las organizaciones . «

Confianza cero en el mundo de la seguridad física
Para la mayoría de las empresas, aplicar un modelo de confianza cero en todas las estrategias de seguridad física es todavía un territorio inexplorado y saber por dónde empezar es la mitad de la batalla. Por supuesto, existen las mejores prácticas antiguas de seguridad física common, como la entrada obligatoria de credenciales, garantizar que los empleados bloqueen sus computadoras cada vez que abandonen su escritorio y asegurarse de que los empleados documenten las contraseñas en su cabeza en lugar de en notas Article-it.

Pero la forma más efectiva de garantizar el concepto de confianza cero es expandir la educación de los empleados más allá del ámbito cibernético, a todas las áreas del negocio. Y deben ser todos los empleados (¡el ejecutivo que regala propiedad intelectual a ese comprador potencial necesita aprender un par de cosas sobre la confianza cero!). Se necesitan dos cambios fundamentales de perspectiva para lograr esto:

  • En primer lugar, los empleados deben comprender que las filtraciones de datos, las filtraciones de propiedad intelectual, las filtraciones financieras internas y otros incidentes de seguridad no solo son el resultado de ataques a las redes corporativas también pueden resultar del robo de un dispositivo físico o de las actividades de la persona en el siguiente cubo.
  • En segundo lugar, deben reconocer que son responsables de proteger a más personas que a sí mismas de las amenazas a la seguridad también deben hacer su parte para proteger su organización. Las violaciones de seguridad dañinas perjudican a todos, y nadie está exento de hacer su parte.

Y las organizaciones deberán implementar un marco de confianza cero sin llamarlo confianza cero (definitivamente es un asesino ethical si les dice a todos sus empleados que no confía en ellos). Los equipos de comunicación interna deben idear campañas creativas, para que los empleados se unan y adopten conceptos de confianza cero (hablar de «protegerse unos a otros», por ejemplo, es una buena forma de cambiar las cosas).

Cuando los empleados cambian su forma de pensar de esta manera, las empresas pueden tener éxito con la adopción en toda la empresa de un marco de confianza cero para mantener la seguridad física. En lugar de ignorar al repartidor, tendrán el conocimiento y la experiencia para cuestionarlo, «Hmmm … ¿por qué está caminando por la oficina?» y alertar a la recepción o al private de seguridad.

La mayoría de los CISO también tienen más experiencia en fomentar el comportamiento seguro de los empleados que otros ejecutivos, lo que los coloca en una posición sólida para impulsar las iniciativas de educación de los empleados en torno a un lugar de trabajo sin confianza. Entonces, a medida que más de ustedes CISO adopten la confianza cero este año, den un paso atrás y piensen en cómo su iniciativa podría ser mucho más grande y tener un impacto más profundo no solo en la postura de seguridad standard de su organización, sino también en su postura personalized dentro de la Suite ejecutiva.

Jerry W. Chapman ha trabajado con Optiv Security durante 15 años desarrollando y entregando soluciones de administración de identidades y accesos (IAM). Con más de 18 años de experiencia en identidad, Jerry ha permitido a los clientes diseñar e implementar una estrategia de IAM que … Ver biografía completa

Lectura recomendada:

Más información





Enlace a la noticia first