November 2022 / 5 Min Read

Adopción de Confianza Cero (Zero Trust). Piensa en grande, empieza en pequeño, muévete rápido

El cibercrimen es una industria de 6 trillones de dólares anuales, lo que la calificaría como la tercera economía del mundo después de Estados Unidos y China.¹ Se están creando economías de escala y los ataques se despliegan rápidamente y a escala.

Tomemos como ejemplo el ransomware. El movimiento hacia el ransomware como servicio (RaaS) está bajando el nivel técnico para los delincuentes y contribuyendo a que los ataques de ransomware sean casi tan sencillos como utilizar un sitio de subastas en línea. Debemos descartar la idea de que una organización puede asegurar su perímetro. En particular, cuando el eslabón más débil de una organización es el elemento humano, es decir, las personas.

Se está produciendo un cambio de paradigma que supone que nada es seguro y que todas las puertas de acceso están abiertas. Nada que esté detrás del cortafuegos es seguro. Con esta mentalidad, ¿cómo abordas la seguridad?

Entra al modelo de seguridad confianza cero. La confianza cero se adapta de forma más eficaz a la complejidad del entorno moderno, acoge a la fuerza de trabajo móvil y ayuda a proteger a las personas, los dispositivos, las aplicaciones y los datos dondequiera que se encuentren. Suena complicado, pero en realidad defiende la simplicidad con tres principios, "verificar explícitamente", "usar el menor privilegio" y "asumir la violación".

La confianza cero ha surgido como una mejor alternativa a las defensas tradicionales basadas en perímetro, especialmente teniendo en cuenta el cambio al trabajo remoto y la expansión de la superficie de ataque. La confianza cero ayuda a los líderes de seguridad a articular mejor las métricas de habilitación del negocio, la eficacia de los controles, las metas de mejora continua y las capacidades de respuesta.

Echemos un vistazo a dos retos comunes a los que se enfrentan las organizaciones hoy en día:

Gestión de dispositivos:

Las organizaciones modernas tienen una increíble diversidad de endpoints (dispositivos remotos) que acceden a los datos, pero no todos estos dispositivos son gestionados o incluso son propiedad de la organización, lo que lleva a diferentes configuraciones de dispositivos y niveles de parches de software. Esto crea una superficie de ataque más vulnerable. La confianza cero ayuda a las organizaciones a superar este reto exigiendo que los dispositivos se inscriban en un sistema moderno de gestión de dispositivos con políticas de acceso basadas en la nube para controlar el acceso del dispositivo a los recursos de la empresa y validar su estado. La confianza cero puede mejorar significativamente la seguridad de los endpoints y permitir un trabajo híbrido más seguro que aproveche las estrategias dependientes de los dispositivos, como el Internet de las cosas (IoT) y la computación frontera (edge computing).

TI en la sombra:

Las aplicaciones, los servicios y la infraestructura que se desarrollan y gestionan fuera de los estándares definidos de TI y de seguridad son un problema común del sector. Muchas soluciones de TI en la sombra (shadow IT) tienen mucho sentido para el negocio, pero a menudo se construyen fuera de los límites de los sistemas de ingeniería de la organización; suponen un riesgo potencial de cumplimiento para la empresa, específicamente en las áreas de seguridad, privacidad, gobierno de datos y accesibilidad. La confianza cero ayuda a las organizaciones a aplicar un enfoque basado en datos para comprender sus endpoints, datos, infraestructura, red, inquilinos y suscripciones en la nube, y aplicaciones. Los datos generalizados y la telemetría permiten la aplicación automatizada de políticas de seguridad para garantizar una mejor toma de decisiones en materia de acceso. La confianza cero ayuda a los equipos de seguridad a comprender el nivel de seguridad, identificar las brechas potenciales o reales en la cobertura, validar el impacto de los nuevos controles y correlacionar los datos en todas las aplicaciones y servicios del entorno.

El beneficio de la seguridad es evidente, pero el modelo también aborda la brecha de talento de TI. Todas las organizaciones trabajan incansablemente para asegurar un panorama digital cada vez más complicado, con menos recursos. El número de puestos de trabajo de ciberseguridad vacante en todo el mundo creció un 350%, hasta alcanzar los 3.5 millones en 2021, lo suficiente para llenar los asientos de 50 estadios de la Liga Nacional de Fútbol de Estados Unidos. La IA y los modelos de aprendizaje automático se necesitan desesperadamente.

Más como esto:

Otros artículos que desarrollamos para el mes de la concientización sobre ciberseguridad

Consider These 10 Critical Steps to Prevent and Detect Ransomware Threats

Deepfakes and Cyber Espionage: Is That Really Your Boss on the Phone?

Página principal: por construir

Autores:

Kris Kimmerle
Vice President, Security Advisory Services

Sergio Ivan Torres Bustamante
Specialty Leader LATAM - Financial & Professional Services & Cyber

Michael Parrant
Client Director & Cyber Insurance Practice Leader

Peter Hawes
Vice President, Cyber Security

Con la confianza cero, las organizaciones pueden tomar decisiones más sencillas -y mejores- para un mundo más seguro.

#Séciberinteligente:

Piensa en grande. Empieza en pequeño.

Implementa la confianza cero. Enfócate en los objetivos de 25 metros y en las victorias rápidas. Ten en cuenta que no puedes cambiar los procesos de control en un día. Los múltiples entornos en la nube y la tecnología heredada añaden capas de complejidad. Construye un caso de negocio enfocado en los resultados que están más alineados con los riesgos y objetivos estratégicos de tu organización. Pregúntate, ¿cómo podemos modernizar y asegurar lo que tenemos?

Haz un seguimiento del éxito de tu viaje hacia la confianza cero.

Demuéstrales a las partes interesadas y a los principales responsables de la toma de decisiones que las iniciativas de confianza cero pueden aportar mejoras cuantificables al nivel de seguridad de la organización y del negocio. Busca métricas y casos de mejores prácticas para compartirlos con las partes interesadas y los principales responsables de la toma de decisiones.

La seguridad es un deporte en equipo.

Establece sociedades, reduce la fricción del negocio con la seguridad, identifica oportunidades para adoptar mejoras continuas en las personas, los procesos y las tecnologías. Los seres humanos suelen ser el eslabón más débil cuando se trata de proteger a tu organización de un ciberataque. Incluso con un modelo de confianza cero implementado, no olvides la concientización de los empleados y la capacitación presencial. Como deporte de equipo, un modelo de confianza cero tendrá que involucrar a todos, desde los directores ejecutivos hasta los empleados, ya que cada uno puede ser blanco de diferentes maneras, pero definitivamente jugará un papel importante en la defensa.

¹The new threat economy: A guide to cybercrime’s transformation – and how to respond | Lyndo Brown. Security. Extraído de

² 2022 Unit 42 Ransomware Report | Palo Alto Networks Extraído de

³ The Total Economic Impact of Zero Trust Solutions from Microsoft. | Forrester Diciembre de 2021. Extraído de

Obtenga el Informe de Impacto de Activos Intangibles

Los líderes en innovación necesitan identificar, valorar y rastrear los activos digitales, la propiedad intelectual y las nuevas tecnologías. Al hacerlo, pueden ayudar a las empresas a tomar mejores decisiones con respecto a nuevas soluciones, aprovechar la propiedad intelectual, transformar sus operaciones y mitigar el riesgo.

Descarga el Informe

Acerca de Soluciones Cibernéticas:

Soluciones Cibernéticas de Aon ofrece una gestión holística de los riesgos cibernéticos, habilidades de investigación insuperables y tecnologías propias para ayudar a los clientes a descubrir y cuantificar los riesgos cibernéticos, proteger los activos críticos y recuperarse de los incidentes cibernéticos.

La información contenida en este documento y las declaraciones expresadas son de carácter general y no pretenden abordar las circunstancias de ninguna persona física o moral en particular. Aunque nos esforzamos por proporcionar información precisa y oportuna y las fuentes de uso que consideramos confiables, no podemos garantizar que dicha información sea precisa en la fecha en que se recibió o que continuará siéndolo en el futuro. Nadie debe actuar basándose en dicha información sin el asesoramiento profesional adecuado después de una revisión exhaustiva de la situación particular.

General Disclaimer
The information contained herein and the statements expressed are of a general nature and are not intended to address the circumstances of any particular individual or entity. Although we endeavor to provide accurate and timely information and use sources we consider reliable, there can be no guarantee that such information is accurate as of the date it is received or that it will continue to be accurate in the future. No one should act on such information without appropriate professional advice after a thorough examination of the particular situation.

Terms of Use
The contents herein may not be reproduced, reused, reprinted or redistributed without the expressed written consent of Aon, unless otherwise authorized by Aon. To use information contained herein, please write to our team.