5 razones para adoptar una estrategia de seguridad Confianza Cero para su negocio

| News Center Microsoft Latinoamérica

El director de seguridad de la información presenta a la junta directiva sobre temas de seguridad.

Por: Vasu Jakkal, vicepresidenta corporativa de seguridad, cumplimiento, identidad y gestión.

Adoptar la seguridad de Confianza Cero para su empresa ya no es un elemento de una lista de deseos, es un imperativo comercial. El lugar de trabajo de hoy se extiende a casi cualquier lugar, en cualquier momento y desde cualquier dispositivo. Las soluciones de seguridad fragmentadas y aisladas dejan vacíos que los actores de amenazas todavía explotan. Un modelo de Confianza Cero integral proporciona la seguridad integrada que las organizaciones de hoy requieren, esta llega a través del dominio digital para verificar de manera continua cada transacción, afirmar el acceso de privilegio mínimo y proporcionar respuestas en tiempo real a las amenazas.

Ya sea que hayan comenzado su recorrido para adoptar la arquitectura Confianza Cero o sólo deseen obtener más información, el cuestionario de evaluación de madurez de Confianza Cero de Microsoft puede ayudarlos a arrojar luz sobre posibles vulnerabilidades dentro de su organización. En este blog, nos centraremos en cómo su negocio puede beneficiarse a través de cinco escenarios prácticos en los que habilitar Confianza Cero puede ayudarlos a hacer más con menos para que puedan avanzar sin miedo.

1. Habilitar un lugar de trabajo más productivo a través del trabajo remoto o híbrido

Según el Informe de adopción de confianza cero, el 81 por ciento de las organizaciones empresariales encuestadas ya habían comenzado a moverse hacia un lugar de trabajo híbrido. Este cambio masivo ha obligado a las organizaciones a adaptarse con rapidez, a menudo de forma ad hoc. Los empleados realizan su trabajo en casa, en un aeropuerto, en una habitación de hotel o en el gimnasio, todo mientras colaboran a través de servicios en la nube, comparten datos en redes corporativas y domésticas y cambian entre dispositivos comerciales y personales.

Proteger su organización significa que los tres principios de Zero Trust deben aplicarse al monitorear redes, datos y aplicaciones en todos los dispositivos conectados. Todos los dispositivos con acceso a los recursos corporativos, ya sean personales o de propiedad de la empresa, deben ser administrados por su departamento de TI. Su equipo de operaciones de seguridad (SecOps, por sus siglas en inglés) puede proteger los dispositivos de los usuarios remotos contra el compromiso de las credenciales con herramientas como la autenticación multifactor1 y la evaluación de riesgos mediante Identity Protection en Microsoft Azure Active Directory,2 así como las políticas de protección de aplicaciones de Microsoft Intune.3

Un enfoque de Confianza Cero no solo protege contra las brechas de seguridad del trabajo remoto, sino que también ayuda a brindar beneficios comerciales tangibles, que incluyen:

  • Mejorar la experiencia y la productividad de los empleados: un enfoque Zero Trust permite a sus empleados trabajar de forma segura desde casa, inscribir nuevos dispositivos desde cualquier lugar, celebrar reuniones seguras y lograr una mayor productividad. Implementar el inicio de sesión único, habilitar la autenticación sin contraseña y eliminar los clientes VPN reduce la fricción diaria y mejora la experiencia del usuario.
  • Aumentar la agilidad y la adaptación: un modelo Confianza Cero permite a los usuarios y administradores ejecutar con confianza y agilidad. El estado del dispositivo, el estado del antimalware y la seguridad se supervisan y validan de manera constante. Al aplicar los principios de «asumir incumplimiento» y «acceso con privilegios mínimos» para la función de cada usuario, ayuda a proteger su negocio y permite a los empleados trabajar desde cualquier lugar.
  • Fortalecer la retención de talentos: en el competitivo mercado de contratación actual, adoptar la flexibilidad es fundamental para atraer y retener a las personas que desean. Según el índice de tendencias laborales de 2022, el 52% de los encuestados dijo que es probable que considere cambiarse al trabajo híbrido o remoto en el próximo año.4 Adoptar la seguridad Confianza Cero permite a los empleados trabajar de manera productiva y segura donde sea que se sientan cómodos.

2. Prevención o reducción del daño comercial a partir de una brecha de seguridad

Los días de la seguridad basada en el perímetro no van a volver. A diferencia de los viejos modelos de seguridad que se basan en muros de castillo para mantener alejadas las amenazas, contar con la estrategia Confianza Cero correcta puede ayudarlos a alejar a su organización de las defensas estáticas basadas en la red para enfocarse en los usuarios, los activos y los recursos. Un modelo de seguridad Confianza Cero sigue tres principios: verificar de manera explícita, usar el acceso con privilegios mínimos y asumir la infracción.

Cumplir con estos tres principios de Confianza Cero ayuda a su equipo de SecOps a mantener la visibilidad en todos los activos y puntos finales para que puedan clasificar con rapidez las alertas, correlacionar señales de amenazas adicionales e iniciar la remediación. Cualquier cambio en su red activa en automático el análisis, lo que da como resultado una reducción en la exposición al riesgo. Este enfoque receptivo y flexible de la seguridad brinda varios beneficios comerciales, que incluyen:

  • Reducir el radio de explosión: el principio de asumir una infracción ayuda a minimizar el impacto de un ataque externo o interno. Mejora la capacidad de su organización para detectar y responder a amenazas en tiempo real y reduce el daño al restringir el movimiento lateral de un atacante.
  • Controlar el daño a su reputación: el acceso no autorizado a datos confidenciales puede causar daños financieros, daños a su marca, robo de propiedad intelectual e interrupción de la experiencia del cliente. La seguridad Confianza Cero ayuda a proteger su organización al monitorear y analizar de manera continua su red, mientras actualiza las políticas en automático cuando se identifican riesgos.
  • Reducir las primas de seguros cibernéticos: la seguridad Confianza Cero permite un mayor control, visibilidad y gobernanza, incluido el análisis en tiempo real para proteger su red y puntos finales. Detectar y eliminar brechas en su postura de seguridad general les demuestra a las aseguradoras que su equipo de seguridad cuenta con estrategias y sistemas proactivos, que pueden ayudar a prevenir una brecha costosa.

3. Identificación y protección de identidades y datos comerciales confidenciales

El enfoque Confianza Cero para la protección y el gobierno de los datos ayuda a maximizar el valor comercial de sus datos al tiempo que minimiza los riesgos de seguridad y cumplimiento. Ayuda a proteger los datos y las identidades de los usuarios mediante la aplicación de una gobernanza sólida, lo que permite a los empleados compartir datos de forma segura con socios, proveedores y clientes.

Este tipo de colaboración ilimitada garantiza que solo las personas y los dispositivos autorizados tengan acceso a sus datos confidenciales, al mismo tiempo que ayuda a mitigar las filtraciones de datos a través de la segmentación de la red. El cifrado de datos y el control de acceso e identidad le permiten a su organización obtener protecciones adicionales al limitar a qué datos se puede acceder, así como limitar las acciones realizadas por usuarios autorizados. La microsegmentación limita aún más la capacidad de los atacantes para acceder o compartir datos confidenciales.

Identificar riesgos y guiar la configuración de políticas requiere comprender el volumen, la ubicación y el inventario de datos confidenciales. A partir de ahí, su equipo puede descubrir vectores de riesgo y clasificar su gravedad. Ustedes querrán clasificar, inventariar y etiquetar datos confidenciales para garantizar un mayor control al monitorear qué usuarios interactúan con ellos y cómo lo hacen. Su equipo también puede aplicar políticas en tiempo real según el contexto, como el cifrado o la restricción de aplicaciones y servicios de terceros. Además, la automatización de los procesos de clasificación y etiquetado de datos puede mitigar el impacto del error humano.

4. Cumplimiento proactivo de los requisitos reglamentarios

Una encuesta de 2022 de tomadores de decisiones en los Estados Unidos mostró que casi el 80 por ciento de las organizaciones compraron varios productos para satisfacer sus necesidades de cumplimiento y protección de datos.5 Regulaciones como el Reglamento General de Protección de Datos (GDPR) de la Unión Europea,6 (CCPA),7 y los requisitos de residencia de datos requieren estrictos controles de administración y privacidad de datos. Las soluciones heredadas a menudo no funcionan juntas a la perfección, lo que expone las brechas de infraestructura y aumenta los costos operativos.

La implementación de una arquitectura Confianza Cero integral ayuda a resolver estos problemas al adelantarse de manera proactiva a los requisitos normativos y de cumplimiento. Permite la visibilidad de extremo a extremo y el descubrimiento de activos críticos para ayudar a proteger y administrar todo el patrimonio de datos de su organización con un gobierno de datos y una gestión de riesgos unificados. Aún mejor, las estrategias Confianza Cero a menudo superan otros requisitos regulatorios y requieren menos cambios en todo el sistema para cumplir con las nuevas regulaciones; para potenciar su negocio para crecer con agilidad y eficiencia.

Un enfoque integral de Confianza Cero también ayuda a romper los silos entre los equipos y sistemas de TI, lo que permite una mejor visibilidad y protección en toda su pila de TI. La visibilidad en tiempo real permite el descubrimiento automático de activos y cargas de trabajo, mientras que los mandatos de cumplimiento se pueden aplicar a través de la clasificación y el etiquetado de confidencialidad. Analizar la productividad y las señales de seguridad también ayuda a su equipo a evaluar mejor su cultura de seguridad, al identificar áreas de mejora o mejores prácticas para el cumplimiento. Más allá de reducir los riesgos del movimiento lateral, la segmentación de la red también permite una mayor visibilidad y ayuda a su equipo a segmentar los flujos de trabajo críticos para el cumplimiento.

Un modelo Confianza Cero facilita la auditoría de su entorno y la comprensión de las políticas necesarias para cumplir con los requisitos de gobierno. Permite evaluaciones continuas, desde hacer un inventario de los riesgos de los datos hasta implementar controles y mantenerse al día con las regulaciones y certificaciones. Esto permite que su personal de cumplimiento retenga y recuerde mejor la documentación necesaria, para mejorar la precisión de la auditoría y reducir el tiempo. Al usar evaluaciones de herramientas como la puntuación de cumplimiento, su equipo de seguridad también puede medir la postura de seguridad de sus activos frente a los puntos de referencia y las mejores prácticas de la industria.8

5. Confianza Cero se ocupa de la seguridad para que su organización pueda centrarse en la innovación

Los líderes de seguridad de hoy deben equilibrar los desafíos del acceso híbrido y remoto, la protección de datos confidenciales y los requisitos de cumplimiento con la necesidad comercial de colaborar, innovar y crecer. Además de proteger contra un panorama de amenazas que cambia con rapidez, la arquitectura Confianza Cero los ayuda a ganarse la confianza de las partes interesadas en toda su empresa.

Con el respaldo de Microsoft Secure Score y analítica, su equipo puede monitorear de manera continua los puntajes de seguridad para comprender su riesgo y determinar qué activos son vulnerables.9 Esto ayuda a su equipo a especificar acciones, así como el nivel de esfuerzo involucrado y cómo dichas acciones afectarán a los usuarios. Proporcionar este tipo de evidencia clara demuestra el impacto en su junta directiva y respalda su estrategia de seguridad. Habilitar Confianza Cero también conlleva beneficios comerciales como:

  • Impulsar la innovación y enriquecer las relaciones con los socios: un modelo Confianza Cero unifica las políticas de seguridad internas mientras examina las infracciones que pueden ocurrir a nivel externo durante las interacciones con los socios. Esto ayuda a minimizar las vulnerabilidades creadas por las prácticas de seguridad débiles de los proveedores externos, al tiempo que garantiza que los usuarios autenticados tengan acceso adecuado a los recursos y activos. Habilitar el acceso seguro para socios y contratistas específicos, sin importar la ubicación, el dispositivo o la red, puede ayudar a establecer relaciones de confianza que beneficien a la empresa.
  • Aumentar la moral del equipo de seguridad: un enfoque Confianza Cero permite a su equipo de seguridad simplificar su estrategia de ciberseguridad y retirar las soluciones heredadas. Ser capaz de aplicar políticas en todos los entornos desde una única plataforma, así como reducir la complejidad y remediar con rapidez las inquietudes, todo esto puede ayudar a aumentar la confianza de su equipo de seguridad y evitar el agotamiento laboral.
  • Permitir una respuesta ágil a los escenarios comerciales: al proporcionar a su equipo de seguridad detección automática, visibilidad centralizada, orientación práctica y control de activos, libera a su equipo de TI para dedicar menos tiempo al mantenimiento de la infraestructura y más tiempo a satisfacer las necesidades comerciales.

Tener datos medibles agregados a sus informes regulares e indicadores clave de rendimiento de seguridad demuestra de manera sencilla su progreso en seguridad y eso ayuda a generar confianza entre los miembros de la junta, líderes, socios y clientes.

Conozcan más

Hemos analizado cómo el panorama de la seguridad cambia de manera rápida debido a la adopción generalizada del trabajo híbrido y remoto, el aumento de los ataques cibernéticos y la evolución de la supervisión regulatoria. Un enfoque de Confianza Cero equilibra de manera eficaz el riesgo con el logro de sus objetivos comerciales, lo que lo convierte en una solución práctica para la empresa descentralizada de hoy. Para obtener más información sobre cómo su organización puede mejorar su posición de Confianza Cero, recuerden realizar el Cuestionario de Evaluación de Madurez de Confianza Cero de Microsoft. En las próximas semanas, compartiremos publicaciones de blog adicionales y libros electrónicos especializados en cada uno de estos escenarios comerciales.

Y recuerden marcar su calendario para Microsoft Secure el 28 de marzo de 2023. Este nuevo evento digital reunirá a clientes, socios y la comunidad de defensores para aprender y compartir estrategias integrales sobre seguridad, cumplimiento, identidad, administración y privacidad. Cubriremos temas importantes como el cambiante panorama de las amenazas, cómo Microsoft se defiende a sí mismo y a sus clientes, los desafíos que enfrentan los equipos de seguridad a diario, la informática confidencial y lo que significa un futuro impulsado por la IA para la ciberseguridad. Regístrense hoy.

Para obtener más información sobre las soluciones de seguridad de Microsoft, visiten nuestro sitio web. Agreguen a Favoritos el blog de Seguridad para mantenerse al día con nuestra cobertura experta en asuntos de seguridad. Además, síganos en LinkedIn (Microsoft Security) y Twitter (@MSFTSecurity) para conocer las últimas noticias y actualizaciones sobre ciberseguridad.

1Cómo funciona: autenticación multifactor de Azure AD, Microsoft Learn. 30 de enero de 2023.

2Políticas de acceso basadas en riesgos, Microsoft Learn. 16 de noviembre de 2022.

3Cómo crear y asignar políticas de protección de aplicaciones, Microsoft Learn. 21 de febrero de 2023.

4Índice de tendencias laborales 2022, Microsoft. 16 de marzo de 2022.

5El futuro del cumplimiento y la gobernanza de datos está aquí: presentamos Microsoft Purview, Alym Rayani. 19 de abril de 2022.

6¿Qué es el RGPD, la nueva ley de protección de datos de la UE? RGPD.

7Ley de Privacidad del Consumidor de California (CCPA), Departamento de Justicia del Estado de California. 15 de febrero de 2023.

8Cálculo de puntuación de cumplimiento, Microsoft Learn. 17 de febrero de 2023.

9Rastree y responda a las amenazas emergentes a través del análisis de amenazas, Microsoft Learn. 7 de febrero de 2023.

Tags: ,

Publicaciones Relacionadas