La Agencia de Seguridad Nacional de EE.UU. (NSA) ha publicado un nuevo
conjunto de Directrices de Implementación de Confianza Cero
(Zero Trust Implementation Guidelines – ZIGs)
que detallan cómo las organizaciones pueden progresar hacia la madurez de
confianza cero a nivel objetivo.
La guía presenta las
Fases Uno
y
Dos
de las ZIG, diseñadas para respaldar el marco de Zero Trust del Departamento
de Guerra de EE.UU. (DoW), anteriormente Departamento de Defensa, y la
estrategia general de ciberseguridad del gobierno estadounidense.
Las fases recién publicadas tienen como objetivo que las organizaciones
avancen desde la etapa de Descubrimiento hasta la implementación a nivel
objetivo. Describen las actividades, dependencias y resultados necesarios, a
la vez que ofrecen flexibilidad para que las empresas adapten la adopción en
función de las necesidades y limitaciones operativas.
La Fase Uno establece una base segura. Define 36 actividades que respaldan
30 capacidades de confianza cero, lo que ayuda a las organizaciones a
desarrollar o perfeccionar los controles fundamentales antes de una
integración más profunda.
La Fase Dos se basa en este trabajo con 41 actividades que habilitan 34
capacidades adicionales, centrándose en la integración de soluciones
esenciales de confianza cero en todos los entornos de componentes.
Transición de la seguridad perimetral a la evaluación continua
La guía refuerza la transición de la seguridad perimetral a la autenticación y
autorización continuas de usuarios, dispositivos y aplicaciones. La confianza
cero se basa en los principios de «nunca confiar, siempre verificar» y «asumir
la brecha», un enfoque que se considera cada vez más necesario a medida que
evolucionan las ciberamenazas.
La evaluación continua debe realizarse después del inicio de sesión, no solo
al iniciarla. Muchos ataques exitosos ahora ocurren después de la
autenticación, donde las comprobaciones básicas de identidad y las
evaluaciones de la postura del dispositivo ofrecen una protección limitada sin
visibilidad de lo que sucede dentro de las aplicaciones.
Las directrices se basan en varios marcos establecidos desarrollados bajo la
Orden Ejecutiva 14028, incluyendo la
Publicación Especial 800-207 del NIST, el Modelo de Madurez de Confianza Cero de CISA Versión 2.0 y la
Arquitectura de Referencia de Confianza Cero del DoW. La NSA desarrolló las
directrices en estrecha colaboración con el CIO del DoW para organizar 152
actividades de Confianza Cero en fases estructuradas.
Sin embargo, muchas organizaciones aún aplican incorrectamente la Confianza
Cero al centrarse demasiado solo en los controles de acceso a la red. Tratar
el acceso a la red de Confianza Cero como una solución completa pasa por alto
cómo las aplicaciones toman y aplican sus propias decisiones de acceso.
La NSA afirmó que la guía actual tiene como objetivo ayudar a los
profesionales capacitados a lograr el nivel objetivo de madurez de confianza
cero, y que es posible que se desarrollen fases avanzadas adicionales en el
futuro.
Fuente:
InfoSecurity