La Agencia de Seguridad Nacional de EE.UU. (NSA) ha lanzado un nuevo conjunto de Directrices de Implementación de Confianza Cero
(Zero Trust Implementation Guidelines – ZIGs)
que explican cómo las organizaciones pueden avanzar hacia una mayor madurez en este enfoque.
Esta guía detalla las
Fases Uno
y
Dos
de las ZIG, diseñadas para apoyar el marco de Zero Trust del Departamento de Guerra de EE.UU. (DoW) y su estrategia de ciberseguridad.
Las fases recién publicadas tienen como objetivo que las organizaciones progresen desde la etapa de Descubrimiento hasta la implementación a nivel objetivo. Incluyen actividades, dependencias y resultados necesarios, permitiendo flexibilidad para que las empresas ajusten la adopción de acuerdo con sus necesidades operativas.
La Fase Uno establece un cimiento seguro, definiendo 36 actividades que respaldan 30 capacidades de confianza cero, ayudando a las organizaciones a desarrollar o afinar controles fundamentales antes de una integración más profunda.
La Fase Dos amplía esta base con 41 actividades que habilitan 34 capacidades adicionales, enfocándose en integrar soluciones clave de confianza cero a través de todos los entornos de componentes.
De la seguridad perimetral a la evaluación continua
La guía enfatiza la transición de un enfoque de seguridad perimetral hacia una autenticación y autorización continuas de usuarios, dispositivos y aplicaciones. La confianza cero se basa en los principios de «nunca confiar, siempre verificar» y «asumir que la brecha está presente», considerando que este enfoque es cada vez más esencial frente a las ciberamenazas en evolución.
La evaluación continua debe ocurrir después del inicio de sesión, no solo al principio. Muchos ataques exitosos ahora se presentan después de la autenticación, donde las verificaciones básicas de identidad y las evaluaciones de postura del dispositivo ofrecen una protección limitada sin visibilidad de lo que ocurre dentro de las aplicaciones.
Las directrices se basan en varios marcos establecidos desarrollados bajo la
Orden Ejecutiva 14028, incluyendo la
Publicación Especial 800-207 del NIST, el Modelo de Madurez de Confianza Cero de CISA Versión 2.0, y la Arquitectura de Referencia de Confianza Cero del DoW. La NSA desarrolló estas directrices en colaboración con el CIO del DoW, organizando 152 actividades de Confianza Cero en fases estructuradas.
Sin embargo, muchas organizaciones todavía aplican incorrectamente el modelo de Confianza Cero, enfocándose excesivamente en los controles de acceso a la red. Ver el acceso a la red de Confianza Cero como una solución completa ignora cómo las aplicaciones toman y aplican sus propias decisiones de acceso.
La NSA señaló que la guía actual tiene como fin ayudar a los profesionales a alcanzar un nivel objetivo de madurez de confianza cero, y que podrían desarrollarse fases avanzadas adicionales en el futuro.
Fuente:
InfoSecurity
Con Información de blog.segu-info.com.ar