SlideShare una empresa de Scribd logo

CZ Zero Trust recortada hasta la 20.pptx

Descargar como PPTX, PDF
A
Alejandro Daricz

Zero Trust

Tecnología
1 de 21
El enfoque de confianza cero requiere plataforma de identidad unificada que cuente con 4 elementos clave integrados en un único modelo de seguridad. “Limite las infracciones al reducir la capacidad de un atacante para moverse lateralmente en la red. Los controles de acceso se pueden aplicar sobre la base de un recurso individual, por lo que un atacante que tenga acceso a un recurso no podrá usarlo como trampolín para llegar a otros recursos.” NIST 1800-35b  Verificar usuarios, con solicitudes de autenticación multifactor.  Verificar dispositivos, prolongando los controles hasta los endpoints.  Limitar acceso y privilegios, otorgando a los usuarios únicamente permisos que necesiten para ejecutar sus funciones.  Aprendizaje y adaptación, perfeccionándose , aprendiendo y adaptándose a los nuevos escenarios de forma permanente gracias al Machine Learning. Combinar estos componentes garantiza acceso seguro a los recursos, disminuyendo el riesgo y aumentando los niveles de protección
El impulso para una arquitectura moderna Zero Trust es que los modelos de seguridad tradicionales basados ​​en el perímetro ya no son necesarios en el panorama digital de hoy día. Las organizaciones deben adoptar un enfoque global de la seguridad basado en la verificación de la identidad y la confianza de todos los usuarios, dispositivos y sistemas que acceden a sus redes y datos. 2da. Generación: VIRTUAL 1ra. Generación: PERIMETRO 3ra. Generación: Zero Trust
Evolución de Zero Trust para gestionar en forma segura la transformación digital Zero Trust 2011 ZT eXtended 2017 Framework 2020 Principios de Zero Trust: Nunca confiar, siempre verificar Asumir brecha (incumplimiento) Dar el privilegio mínimo CARTA (IAM) 2017 BeyondCorp 2014
GOOGLE - BEYONDCORP – 2014
FORRESTER Zero Trust eXtended - 2017 • ¿Cuáles son las reglas de firewall que está utilizando? • ¿Cómo estás encriptando tus datos? • ¿Cómo lo estás controlando? • ¿Cómo entienden las personas de su organización la seguridad internamente? • ¿Cómo está identificando los dispositivos, que es una de las principales preocupaciones, y el panorama completo de la gestión de acceso e identidad (IAM) ?
Gartner CARTA – 2017 Continuous Adaptive Risk and Trust Assessment Gestión adaptativa continua de riesgos y confianza El modelo CARTA es un enfoque estratégico para la gestión de riesgos y seguridad en redes corporativas, evangelizado y promovido por la investigación de Gartner, dirigido a los riesgos de los negocios digitales modernos y la gestión de amenazas avanzadas en entornos digitales. 1. Reemplazar el mecanismo único de control de seguridad de la información por una plataforma de seguridad de la información con características de conciencia situacional, autoadaptabilidad y programables. 2. Continuar proactiva y pasivamente minando, monitoreando, evaluando y priorizando los riesgos. 3. Realizar evaluaciones de riesgo y confianza en la etapa inicial de la planificación del negocio digital. 4. Al establecer la infraestructura, debe haber una visibilidad de riesgo completa e integral, incluido el plan de procesamiento de datos confidenciales. 5. Utilice análisis, inteligencia artificial, automatización y orquestación (orquestación) para acelerar la detección y el tiempo de respuesta y ampliar la influencia. 6. Construya la protección de la seguridad de la información en un sistema programable autoadaptativo integrado, en lugar de formar una isla de datos. 7. Poner la toma de decisiones de riesgo basada en datos y la propiedad del riesgo en manos de las unidades de negocio y los propietarios de productos.
Zero Trust – CISA Cybersecurity and Infrastructure Security Agency Zero Trust (ZT) es un conjunto en evolución de paradigmas de ciberseguridad que mueven las defensas desde perímetros estáticos basados ​​en redes para enfocarse en usuarios, activos y recursos. Una arquitectura de confianza cero (ZTA) utiliza principios de confianza cero para planificar la infraestructura y los flujos de trabajo industriales y empresariales. La confianza cero supone que no se otorga confianza implícita a los activos o cuentas de usuario basándose únicamente en su ubicación física o de red (es decir, redes de área local frente a Internet) o en la propiedad de los activos (empresa o propiedad personal). La autenticación y la autorización (tanto del sujeto como del dispositivo) son funciones discretas que se realizan antes de que se establezca una sesión con un recurso empresarial. Zero Trust es una respuesta a las tendencias de redes empresariales que incluyen usuarios remotos, traiga su propio dispositivo (BYOD), y activos basados ​​en la nube que no están ubicados dentro de los límites de una red propiedad de la empresa. La confianza cero protege los recursos (activos, servicios, flujos de trabajo, cuentas de red, etc.), no los segmentos de la red, ya que la ubicación de la red no se considera el componente principal de la postura de seguridad del recurso.
Evolución del foco de los pilares de ZT
• Los usuarios en algunos entornos de confianza cero expresan frustración con las solicitudes repetidas de autenticación de varios factores. Es un desafío que algunos expertos ven como una oportunidad para la automatización con machine learning. • Por ejemplo, Gartner sugiere aplicar análisis en una estrategia de seguridad que denomina confianza adaptable continua. CAT (Continuous adaptive trust) puede usar datos contextuales, como la identidad del dispositivo, la identidad de la red y la geolocalización, como una especie de verificación de realidad digital para ayudar a autenticar a los usuarios. Cómo la IA Automatiza la Confianza Cero
Arquitectura de confianza cero de NIST • Motor de políticas (PE): decisión final de otorgar acceso a un recurso a un sujeto en particular que intenta acceder • Administrador de políticas (PA): control de la comunicación entre el sujeto y el recurso de destino • Punto de aplicación de políticas (PEP): habilitación, monitoreo y finalización de conexiones que no cumplen con la política
Zero Trust CLOUD DATA EXFILTRATION Más allá de NIST SP 800-207, varios marcos e iniciativas respaldan la mejora de la seguridad en la nube. La combinación de los diferentes conceptos podría dar como resultado una ZTA que impida el acceso a datos y recursos en la nube a menos que se logre una validación continua. . Cloud Control Matrix (CCM) v4 y el programa Security, Trust, Assurance, and Risk (STAR) de Cloud Security. . ISO 27017:2015 es otro conjunto integral de pautas o prácticas de seguridad para servicios en la nube basado en ISO/IEC 27002; contiene varias similitudes con CCMv4 y otros estándares, y puede admitir implementaciones de ZTA. . ISACA y Cloud Security Alliance se asociaron recientemente para producir el Certificate of Cloud Auditing Knowledge (CCAK) como la primera credencial de auditoría global de la industria y un complemento perfecto para las credenciales CISA y CCSP. CCAK mejora las herramientas y el conocimiento disponible para apoyar a los profesionales en este campo para identificar oportunidades para implementar ZTA adecuados y efectivos. . En Estados Unidos, el Chief Information Officers Council (CIO Council) ha apoyado el desarrollo de Cloud Smart como una estrategia para centrarse en la seguridad, las adquisiciones y la fuerza laboral relacionada con el uso de los servicios en la nube. Esta estrategia respalda los principios básicos de ZTA https://www.isaca.org/resources/news-and-trends/newsletters/atisaca/2022/volume-13/zero-trust-as-security-strategy-to-prevent-data-exfiltration-in-the-cloud
Zero Trust Architecture
CISA - Zero Trust Interrelación de los siete Pilares - Mobility https://www.cisa.gov/sites/default/files/publications/Zero_Trust_Principles_Enterprise_Mobility_For_Public_Comment_508C.pdf
Siete Pilares de Zero Trust segun DoD https://www.crowdstrike.com/blog/how-falcon-identity-threat-protection-helps-meet-identity-security-government-mandates/
DOD Zero trust Architecture 2021
Construccion de estado mixto - Zero trust UK National Cyber Security Centre Proxy de confianza cero VPN administrada https://www.ncsc.gov.uk/guidance/zero-trust-building-a-mixed-estate
MODELO DE CAPACIDAD – ZERO TRUST
Tiene el desafío de Identificar y verificar usuarios y dispositivos, requiriendo inventario preciso de la base de usuarios, grupos de los que forman parte y sus aplicaciones y dispositivos. Organiza y coordina los diferentes equipos de manera efectiva. Rompe los silos entre los grupos de TI, ciberseguridad y redes, estableciendo canales de comunicación claros y reuniones periódicas entre los miembros del equipo, ayudando a lograr la estrategia de seguridad cohesiva. Trabaja la resistencia general al cambio, ya que es un obstáculo significativo en las implementaciones. El Chief Zero Trust Officer, comprende e implementa la compleja arquitectura Zero Trust integrando diferentes soluciones, desarrollando un plan, donde se alinean los diferentes equipos. Logra una implementación eficaz con el apoyo y capacitación de servicios profesionales de expertos certificados en las diferentes marcas. https://blog.cloudflare.com/chief-zero-trust-officer/
CZ Zero Trust recortada hasta la 20.pptx
CZ Zero Trust recortada hasta la 20.pptx

Recomendados

Ciberseguridad: Modelo Zero Trust, Definición e Implementación
Ciberseguridad: Modelo Zero Trust, Definición e ImplementaciónCiberseguridad: Modelo Zero Trust, Definición e Implementación
Ciberseguridad: Modelo Zero Trust, Definición e ImplementaciónCristian Garcia G.
 
una fuerza de trabajo moderna requiere una seguridad
una fuerza de trabajo moderna requiere una seguridaduna fuerza de trabajo moderna requiere una seguridad
una fuerza de trabajo moderna requiere una seguridadCade Soluciones
 
original (1).pdf
original (1).pdforiginal (1).pdf
original (1).pdfCade Soluciones
 
Analisis de la confianza Cero
Analisis de la confianza CeroAnalisis de la confianza Cero
Analisis de la confianza CeroCade Soluciones
 
confianza cero
confianza ceroconfianza cero
confianza ceroCade Soluciones
 
Confianza cero
Confianza ceroConfianza cero
Confianza ceroCade Soluciones
 
Digital Secure Workspace
Digital Secure WorkspaceDigital Secure Workspace
Digital Secure WorkspaceCristian Garcia G.
 
Newtech brochure
Newtech brochureNewtech brochure
Newtech brochureJuan Francisco Rivas Figueroa
 

Recomendados

Ciberseguridad: Modelo Zero Trust, Definición e Implementación
Ciberseguridad: Modelo Zero Trust, Definición e ImplementaciónCiberseguridad: Modelo Zero Trust, Definición e Implementación
Ciberseguridad: Modelo Zero Trust, Definición e ImplementaciónCristian Garcia G.
 
una fuerza de trabajo moderna requiere una seguridad
una fuerza de trabajo moderna requiere una seguridaduna fuerza de trabajo moderna requiere una seguridad
una fuerza de trabajo moderna requiere una seguridadCade Soluciones
 
original (1).pdf
original (1).pdforiginal (1).pdf
original (1).pdfCade Soluciones
 
Analisis de la confianza Cero
Analisis de la confianza CeroAnalisis de la confianza Cero
Analisis de la confianza CeroCade Soluciones
 
confianza cero
confianza ceroconfianza cero
confianza ceroCade Soluciones
 
Confianza cero
Confianza ceroConfianza cero
Confianza ceroCade Soluciones
 
Digital Secure Workspace
Digital Secure WorkspaceDigital Secure Workspace
Digital Secure WorkspaceCristian Garcia G.
 
Newtech brochure
Newtech brochureNewtech brochure
Newtech brochureJuan Francisco Rivas Figueroa
 
Isaca journal marzo 2013
Isaca journal marzo 2013Isaca journal marzo 2013
Isaca journal marzo 2013Carlos Palacios Serrano
 
Servicios Gestionados de Seguridad IT
Servicios Gestionados de Seguridad ITServicios Gestionados de Seguridad IT
Servicios Gestionados de Seguridad ITViewnext
 
TRABAJO DE INVESTIGACION
TRABAJO DE INVESTIGACIONTRABAJO DE INVESTIGACION
TRABAJO DE INVESTIGACIONPedroCoral9
 
Zero Trust Presentación sobre ciberseguridad
Zero Trust Presentación sobre ciberseguridadZero Trust Presentación sobre ciberseguridad
Zero Trust Presentación sobre ciberseguridadLuisRamirez39425
 
Foro kodak
Foro kodakForo kodak
Foro kodakMao Sierra
 
Azure bajo control: Claves de una buena gobernanza
Azure bajo control: Claves de una buena gobernanzaAzure bajo control: Claves de una buena gobernanza
Azure bajo control: Claves de una buena gobernanzaPlain Concepts
 
Seguridad inteligente (Security Intelligence)
Seguridad inteligente (Security Intelligence)Seguridad inteligente (Security Intelligence)
Seguridad inteligente (Security Intelligence)Andrea Johnen
 
Articulo tecnico protegido
Articulo tecnico protegidoArticulo tecnico protegido
Articulo tecnico protegidoRuben Ivan Martinez Menjivar
 
SECURTIY.pdf
SECURTIY.pdfSECURTIY.pdf
SECURTIY.pdfCade Soluciones
 
Security
SecuritySecurity
SecurityJulio Adrian
 
Security intelligence and big data (2015)
Security intelligence and big data (2015)Security intelligence and big data (2015)
Security intelligence and big data (2015)Santiago Cavanna
 
seguridad de la computacion
seguridad de la computacionseguridad de la computacion
seguridad de la computaciongastlezcano
 
mecanismo de control y seguridad.pptx
mecanismo de control y seguridad.pptxmecanismo de control y seguridad.pptx
mecanismo de control y seguridad.pptxJeisonCapera1
 
Check Point Nube Segura Blueprint
Check Point Nube Segura Blueprint Check Point Nube Segura Blueprint
Check Point Nube Segura Blueprint Miguel Hernández y López
 
PolíTic As De Seguridad Jprl
PolíTic As De Seguridad JprlPolíTic As De Seguridad Jprl
PolíTic As De Seguridad Jprlastrologia
 
cinco procedimientos para la nube
cinco procedimientos para la nubecinco procedimientos para la nube
cinco procedimientos para la nubeCade Soluciones
 
Seguridad de redes
Seguridad de redesSeguridad de redes
Seguridad de redesSena Cedagro
 
Seguridad de redes
Seguridad de redesSeguridad de redes
Seguridad de redesSena Cedagro
 
eligesabiamente.pdf
eligesabiamente.pdfeligesabiamente.pdf
eligesabiamente.pdfCade Soluciones
 
Seguridad para Cloud Computing
Seguridad para Cloud ComputingSeguridad para Cloud Computing
Seguridad para Cloud ComputingGabriel Marcos
 
SOAR-A Love Story - Ethan Packard.pptx
SOAR-A Love Story - Ethan Packard.pptxSOAR-A Love Story - Ethan Packard.pptx
SOAR-A Love Story - Ethan Packard.pptxAlejandro Daricz
 
Fortinet Mikulov 2020 -Jen chránit síť nestačí.ppsx
Fortinet Mikulov 2020 -Jen chránit síť nestačí.ppsxFortinet Mikulov 2020 -Jen chránit síť nestačí.ppsx
Fortinet Mikulov 2020 -Jen chránit síť nestačí.ppsxAlejandro Daricz
 

Más contenido relacionado

Similar a CZ Zero Trust recortada hasta la 20.pptx

Servicios Gestionados de Seguridad IT
Servicios Gestionados de Seguridad ITServicios Gestionados de Seguridad IT
Servicios Gestionados de Seguridad ITViewnext
 
TRABAJO DE INVESTIGACION
TRABAJO DE INVESTIGACIONTRABAJO DE INVESTIGACION
TRABAJO DE INVESTIGACIONPedroCoral9
 
Zero Trust Presentación sobre ciberseguridad
Zero Trust Presentación sobre ciberseguridadZero Trust Presentación sobre ciberseguridad
Zero Trust Presentación sobre ciberseguridadLuisRamirez39425
 
Azure bajo control: Claves de una buena gobernanza
Azure bajo control: Claves de una buena gobernanzaAzure bajo control: Claves de una buena gobernanza
Azure bajo control: Claves de una buena gobernanzaPlain Concepts
 
Seguridad inteligente (Security Intelligence)
Seguridad inteligente (Security Intelligence)Seguridad inteligente (Security Intelligence)
Seguridad inteligente (Security Intelligence)Andrea Johnen
 
Security intelligence and big data (2015)
Security intelligence and big data (2015)Security intelligence and big data (2015)
Security intelligence and big data (2015)Santiago Cavanna
 
seguridad de la computacion
seguridad de la computacionseguridad de la computacion
seguridad de la computaciongastlezcano
 
mecanismo de control y seguridad.pptx
mecanismo de control y seguridad.pptxmecanismo de control y seguridad.pptx
mecanismo de control y seguridad.pptxJeisonCapera1
 
PolíTic As De Seguridad Jprl
PolíTic As De Seguridad JprlPolíTic As De Seguridad Jprl
PolíTic As De Seguridad Jprlastrologia
 
cinco procedimientos para la nube
cinco procedimientos para la nubecinco procedimientos para la nube
cinco procedimientos para la nubeCade Soluciones
 
Seguridad de redes
Seguridad de redesSeguridad de redes
Seguridad de redesSena Cedagro
 
Seguridad de redes
Seguridad de redesSeguridad de redes
Seguridad de redesSena Cedagro
 
Seguridad para Cloud Computing
Seguridad para Cloud ComputingSeguridad para Cloud Computing
Seguridad para Cloud ComputingGabriel Marcos
 

Similar a CZ Zero Trust recortada hasta la 20.pptx (20)

Isaca journal marzo 2013
Isaca journal marzo 2013Isaca journal marzo 2013
Isaca journal marzo 2013
 
Servicios Gestionados de Seguridad IT
Servicios Gestionados de Seguridad ITServicios Gestionados de Seguridad IT
Servicios Gestionados de Seguridad IT
 
TRABAJO DE INVESTIGACION
TRABAJO DE INVESTIGACIONTRABAJO DE INVESTIGACION
TRABAJO DE INVESTIGACION
 
Zero Trust Presentación sobre ciberseguridad
Zero Trust Presentación sobre ciberseguridadZero Trust Presentación sobre ciberseguridad
Zero Trust Presentación sobre ciberseguridad
 
Foro kodak
Foro kodakForo kodak
Foro kodak
 
Azure bajo control: Claves de una buena gobernanza
Azure bajo control: Claves de una buena gobernanzaAzure bajo control: Claves de una buena gobernanza
Azure bajo control: Claves de una buena gobernanza
 
Seguridad inteligente (Security Intelligence)
Seguridad inteligente (Security Intelligence)Seguridad inteligente (Security Intelligence)
Seguridad inteligente (Security Intelligence)
 
Articulo tecnico protegido
Articulo tecnico protegidoArticulo tecnico protegido
Articulo tecnico protegido
 
SECURTIY.pdf
SECURTIY.pdfSECURTIY.pdf
SECURTIY.pdf
 
Security
SecuritySecurity
Security
 
Security intelligence and big data (2015)
Security intelligence and big data (2015)Security intelligence and big data (2015)
Security intelligence and big data (2015)
 
seguridad de la computacion
seguridad de la computacionseguridad de la computacion
seguridad de la computacion
 
mecanismo de control y seguridad.pptx
mecanismo de control y seguridad.pptxmecanismo de control y seguridad.pptx
mecanismo de control y seguridad.pptx
 
Check Point Nube Segura Blueprint
Check Point Nube Segura Blueprint Check Point Nube Segura Blueprint
Check Point Nube Segura Blueprint
 
PolíTic As De Seguridad Jprl
PolíTic As De Seguridad JprlPolíTic As De Seguridad Jprl
PolíTic As De Seguridad Jprl
 
cinco procedimientos para la nube
cinco procedimientos para la nubecinco procedimientos para la nube
cinco procedimientos para la nube
 
Seguridad de redes
Seguridad de redesSeguridad de redes
Seguridad de redes
 
Seguridad de redes
Seguridad de redesSeguridad de redes
Seguridad de redes
 
eligesabiamente.pdf
eligesabiamente.pdfeligesabiamente.pdf
eligesabiamente.pdf
 
Seguridad para Cloud Computing
Seguridad para Cloud ComputingSeguridad para Cloud Computing
Seguridad para Cloud Computing
 

Más de Alejandro Daricz

SOAR-A Love Story - Ethan Packard.pptx
SOAR-A Love Story - Ethan Packard.pptxSOAR-A Love Story - Ethan Packard.pptx
SOAR-A Love Story - Ethan Packard.pptxAlejandro Daricz
 
Fortinet Mikulov 2020 -Jen chránit síť nestačí.ppsx
Fortinet Mikulov 2020 -Jen chránit síť nestačí.ppsxFortinet Mikulov 2020 -Jen chránit síť nestačí.ppsx
Fortinet Mikulov 2020 -Jen chránit síť nestačí.ppsxAlejandro Daricz
 
Fortify-overview-300-v2.pptx
Fortify-overview-300-v2.pptxFortify-overview-300-v2.pptx
Fortify-overview-300-v2.pptxAlejandro Daricz
 
Red Hat Ansible Client presentation Level 2.PPTX
Red Hat Ansible Client presentation Level 2.PPTXRed Hat Ansible Client presentation Level 2.PPTX
Red Hat Ansible Client presentation Level 2.PPTXAlejandro Daricz
 
FortiRecon Sales Presentation (1).pptx
FortiRecon Sales Presentation (1).pptxFortiRecon Sales Presentation (1).pptx
FortiRecon Sales Presentation (1).pptxAlejandro Daricz
 
meraki-mx-sizing-principles-english.pdf
meraki-mx-sizing-principles-english.pdfmeraki-mx-sizing-principles-english.pdf
meraki-mx-sizing-principles-english.pdfAlejandro Daricz
 
Imperva-presentacion-GMS.pdf
Imperva-presentacion-GMS.pdfImperva-presentacion-GMS.pdf
Imperva-presentacion-GMS.pdfAlejandro Daricz
 
Microsoft Azure Hub_Spoke_Ampliado.pptx
Microsoft Azure Hub_Spoke_Ampliado.pptxMicrosoft Azure Hub_Spoke_Ampliado.pptx
Microsoft Azure Hub_Spoke_Ampliado.pptxAlejandro Daricz
 
comptia-secplussy0601-1-15-threat_intelligence_osint.pptx
comptia-secplussy0601-1-15-threat_intelligence_osint.pptxcomptia-secplussy0601-1-15-threat_intelligence_osint.pptx
comptia-secplussy0601-1-15-threat_intelligence_osint.pptxAlejandro Daricz
 
Esg lab-validation-check-point-cloud guard-mar-2018
Esg lab-validation-check-point-cloud guard-mar-2018Esg lab-validation-check-point-cloud guard-mar-2018
Esg lab-validation-check-point-cloud guard-mar-2018Alejandro Daricz
 
Citrix cloud services_total_economic_benefits_assessment_guide
Citrix cloud services_total_economic_benefits_assessment_guideCitrix cloud services_total_economic_benefits_assessment_guide
Citrix cloud services_total_economic_benefits_assessment_guideAlejandro Daricz
 

Más de Alejandro Daricz (14)

SOAR-A Love Story - Ethan Packard.pptx
SOAR-A Love Story - Ethan Packard.pptxSOAR-A Love Story - Ethan Packard.pptx
SOAR-A Love Story - Ethan Packard.pptx
 
Fortinet Mikulov 2020 -Jen chránit síť nestačí.ppsx
Fortinet Mikulov 2020 -Jen chránit síť nestačí.ppsxFortinet Mikulov 2020 -Jen chránit síť nestačí.ppsx
Fortinet Mikulov 2020 -Jen chránit síť nestačí.ppsx
 
Fortify-overview-300-v2.pptx
Fortify-overview-300-v2.pptxFortify-overview-300-v2.pptx
Fortify-overview-300-v2.pptx
 
Daniel_CISSP_Dom7__1_.pdf
Daniel_CISSP_Dom7__1_.pdfDaniel_CISSP_Dom7__1_.pdf
Daniel_CISSP_Dom7__1_.pdf
 
Red Hat Ansible Client presentation Level 2.PPTX
Red Hat Ansible Client presentation Level 2.PPTXRed Hat Ansible Client presentation Level 2.PPTX
Red Hat Ansible Client presentation Level 2.PPTX
 
FortiRecon Sales Presentation (1).pptx
FortiRecon Sales Presentation (1).pptxFortiRecon Sales Presentation (1).pptx
FortiRecon Sales Presentation (1).pptx
 
OT Solution Overview.pptx
OT Solution Overview.pptxOT Solution Overview.pptx
OT Solution Overview.pptx
 
meraki-mx-sizing-principles-english.pdf
meraki-mx-sizing-principles-english.pdfmeraki-mx-sizing-principles-english.pdf
meraki-mx-sizing-principles-english.pdf
 
Imperva-presentacion-GMS.pdf
Imperva-presentacion-GMS.pdfImperva-presentacion-GMS.pdf
Imperva-presentacion-GMS.pdf
 
Microsoft Azure Hub_Spoke_Ampliado.pptx
Microsoft Azure Hub_Spoke_Ampliado.pptxMicrosoft Azure Hub_Spoke_Ampliado.pptx
Microsoft Azure Hub_Spoke_Ampliado.pptx
 
Liderazgo Ágil
Liderazgo ÁgilLiderazgo Ágil
Liderazgo Ágil
 
comptia-secplussy0601-1-15-threat_intelligence_osint.pptx
comptia-secplussy0601-1-15-threat_intelligence_osint.pptxcomptia-secplussy0601-1-15-threat_intelligence_osint.pptx
comptia-secplussy0601-1-15-threat_intelligence_osint.pptx
 
Esg lab-validation-check-point-cloud guard-mar-2018
Esg lab-validation-check-point-cloud guard-mar-2018Esg lab-validation-check-point-cloud guard-mar-2018
Esg lab-validation-check-point-cloud guard-mar-2018
 
Citrix cloud services_total_economic_benefits_assessment_guide
Citrix cloud services_total_economic_benefits_assessment_guideCitrix cloud services_total_economic_benefits_assessment_guide
Citrix cloud services_total_economic_benefits_assessment_guide
 

Último

Hernandez_Hernandez_Practica web de la sesion 12.pptx
Hernandez_Hernandez_Practica web de la sesion 12.pptxHernandez_Hernandez_Practica web de la sesion 12.pptx
Hernandez_Hernandez_Practica web de la sesion 12.pptxJOSEMANUELHERNANDEZH11
 
La era de la educación digital y sus desafios
La era de la educación digital y sus desafiosLa era de la educación digital y sus desafios
La era de la educación digital y sus desafiosFundación YOD YOD
 
Medidas de formas, coeficiente de asimetría y coeficiente de curtosis.pptx
Medidas de formas, coeficiente de asimetría y coeficiente de curtosis.pptxMedidas de formas, coeficiente de asimetría y coeficiente de curtosis.pptx
Medidas de formas, coeficiente de asimetría y coeficiente de curtosis.pptxaylincamaho
 
Actividad integradora 6 CREAR UN RECURSO MULTIMEDIA
Actividad integradora 6 CREAR UN RECURSO MULTIMEDIAActividad integradora 6 CREAR UN RECURSO MULTIMEDIA
Actividad integradora 6 CREAR UN RECURSO MULTIMEDIA241531640
 
ejercicios pseint para aprogramacion sof
ejercicios pseint para aprogramacion sofejercicios pseint para aprogramacion sof
ejercicios pseint para aprogramacion sofJuancarlosHuertasNio1
 
SalmorejoTech 2024 - Spring Boot <3 Testcontainers
SalmorejoTech 2024 - Spring Boot <3 TestcontainersSalmorejoTech 2024 - Spring Boot <3 Testcontainers
SalmorejoTech 2024 - Spring Boot <3 TestcontainersIván López Martín
 
dokumen.tips_36274588-sistema-heui-eui.ppt
dokumen.tips_36274588-sistema-heui-eui.pptdokumen.tips_36274588-sistema-heui-eui.ppt
dokumen.tips_36274588-sistema-heui-eui.pptMiguelAtencio10
 
Redes direccionamiento y subredes ipv4 2024 .pdf
Redes direccionamiento y subredes ipv4 2024 .pdfRedes direccionamiento y subredes ipv4 2024 .pdf
Redes direccionamiento y subredes ipv4 2024 .pdfsoporteupcology
 
El uso de las TIC's en la vida cotidiana.
El uso de las TIC's en la vida cotidiana.El uso de las TIC's en la vida cotidiana.
El uso de las TIC's en la vida cotidiana.241514949
 
PARTES DE UN OSCILOSCOPIO ANALOGICO .pdf
PARTES DE UN OSCILOSCOPIO ANALOGICO .pdfPARTES DE UN OSCILOSCOPIO ANALOGICO .pdf
PARTES DE UN OSCILOSCOPIO ANALOGICO .pdfSergioMendoza354770
 
KELA Presentacion Costa Rica 2024 - evento Protégeles
KELA Presentacion Costa Rica 2024 - evento ProtégelesKELA Presentacion Costa Rica 2024 - evento Protégeles
KELA Presentacion Costa Rica 2024 - evento ProtégelesFundación YOD YOD
 
International Women's Day Sucre 2024 (IWD)
International Women's Day Sucre 2024 (IWD)International Women's Day Sucre 2024 (IWD)
International Women's Day Sucre 2024 (IWD)GDGSucre
 
El gusano informático Morris (1988) - Julio Ardita (1995) - Citizenfour (2014...
El gusano informático Morris (1988) - Julio Ardita (1995) - Citizenfour (2014...El gusano informático Morris (1988) - Julio Ardita (1995) - Citizenfour (2014...
El gusano informático Morris (1988) - Julio Ardita (1995) - Citizenfour (2014...JaquelineJuarez15
 
El uso delas tic en la vida cotidiana MFEL
El uso delas tic en la vida cotidiana MFELEl uso delas tic en la vida cotidiana MFEL
El uso delas tic en la vida cotidiana MFELmaryfer27m
 
Cortes-24-de-abril-Tungurahua-3 año 2024
Cortes-24-de-abril-Tungurahua-3 año 2024Cortes-24-de-abril-Tungurahua-3 año 2024
Cortes-24-de-abril-Tungurahua-3 año 2024GiovanniJavierHidalg
 
definicion segun autores de matemáticas educativa
definicion segun autores de matemáticas educativadefinicion segun autores de matemáticas educativa
definicion segun autores de matemáticas educativaAdrianaMartnez618894
 
ATAJOS DE WINDOWS. Los diferentes atajos para utilizar en windows y ser más e...
ATAJOS DE WINDOWS. Los diferentes atajos para utilizar en windows y ser más e...ATAJOS DE WINDOWS. Los diferentes atajos para utilizar en windows y ser más e...
ATAJOS DE WINDOWS. Los diferentes atajos para utilizar en windows y ser más e...FacuMeza2
 
Crear un recurso multimedia. Maricela_Ponce_DomingoM1S3AI6-1.pptx
Crear un recurso multimedia. Maricela_Ponce_DomingoM1S3AI6-1.pptxCrear un recurso multimedia. Maricela_Ponce_DomingoM1S3AI6-1.pptx
Crear un recurso multimedia. Maricela_Ponce_DomingoM1S3AI6-1.pptxNombre Apellidos
 
Presentación inteligencia artificial en la actualidad
Presentación inteligencia artificial en la actualidadPresentación inteligencia artificial en la actualidad
Presentación inteligencia artificial en la actualidadMiguelAngelVillanuev48
 
trabajotecologiaisabella-240424003133-8f126965.pdf
trabajotecologiaisabella-240424003133-8f126965.pdftrabajotecologiaisabella-240424003133-8f126965.pdf
trabajotecologiaisabella-240424003133-8f126965.pdfIsabellaMontaomurill
 

Último (20)

Hernandez_Hernandez_Practica web de la sesion 12.pptx
Hernandez_Hernandez_Practica web de la sesion 12.pptxHernandez_Hernandez_Practica web de la sesion 12.pptx
Hernandez_Hernandez_Practica web de la sesion 12.pptx
 
La era de la educación digital y sus desafios
La era de la educación digital y sus desafiosLa era de la educación digital y sus desafios
La era de la educación digital y sus desafios
 
Medidas de formas, coeficiente de asimetría y coeficiente de curtosis.pptx
Medidas de formas, coeficiente de asimetría y coeficiente de curtosis.pptxMedidas de formas, coeficiente de asimetría y coeficiente de curtosis.pptx
Medidas de formas, coeficiente de asimetría y coeficiente de curtosis.pptx
 
Actividad integradora 6 CREAR UN RECURSO MULTIMEDIA
Actividad integradora 6 CREAR UN RECURSO MULTIMEDIAActividad integradora 6 CREAR UN RECURSO MULTIMEDIA
Actividad integradora 6 CREAR UN RECURSO MULTIMEDIA
 
ejercicios pseint para aprogramacion sof
ejercicios pseint para aprogramacion sofejercicios pseint para aprogramacion sof
ejercicios pseint para aprogramacion sof
 
SalmorejoTech 2024 - Spring Boot <3 Testcontainers
SalmorejoTech 2024 - Spring Boot <3 TestcontainersSalmorejoTech 2024 - Spring Boot <3 Testcontainers
SalmorejoTech 2024 - Spring Boot <3 Testcontainers
 
dokumen.tips_36274588-sistema-heui-eui.ppt
dokumen.tips_36274588-sistema-heui-eui.pptdokumen.tips_36274588-sistema-heui-eui.ppt
dokumen.tips_36274588-sistema-heui-eui.ppt
 
Redes direccionamiento y subredes ipv4 2024 .pdf
Redes direccionamiento y subredes ipv4 2024 .pdfRedes direccionamiento y subredes ipv4 2024 .pdf
Redes direccionamiento y subredes ipv4 2024 .pdf
 
El uso de las TIC's en la vida cotidiana.
El uso de las TIC's en la vida cotidiana.El uso de las TIC's en la vida cotidiana.
El uso de las TIC's en la vida cotidiana.
 
PARTES DE UN OSCILOSCOPIO ANALOGICO .pdf
PARTES DE UN OSCILOSCOPIO ANALOGICO .pdfPARTES DE UN OSCILOSCOPIO ANALOGICO .pdf
PARTES DE UN OSCILOSCOPIO ANALOGICO .pdf
 
KELA Presentacion Costa Rica 2024 - evento Protégeles
KELA Presentacion Costa Rica 2024 - evento ProtégelesKELA Presentacion Costa Rica 2024 - evento Protégeles
KELA Presentacion Costa Rica 2024 - evento Protégeles
 
International Women's Day Sucre 2024 (IWD)
International Women's Day Sucre 2024 (IWD)International Women's Day Sucre 2024 (IWD)
International Women's Day Sucre 2024 (IWD)
 
El gusano informático Morris (1988) - Julio Ardita (1995) - Citizenfour (2014...
El gusano informático Morris (1988) - Julio Ardita (1995) - Citizenfour (2014...El gusano informático Morris (1988) - Julio Ardita (1995) - Citizenfour (2014...
El gusano informático Morris (1988) - Julio Ardita (1995) - Citizenfour (2014...
 
El uso delas tic en la vida cotidiana MFEL
El uso delas tic en la vida cotidiana MFELEl uso delas tic en la vida cotidiana MFEL
El uso delas tic en la vida cotidiana MFEL
 
Cortes-24-de-abril-Tungurahua-3 año 2024
Cortes-24-de-abril-Tungurahua-3 año 2024Cortes-24-de-abril-Tungurahua-3 año 2024
Cortes-24-de-abril-Tungurahua-3 año 2024
 
definicion segun autores de matemáticas educativa
definicion segun autores de matemáticas educativadefinicion segun autores de matemáticas educativa
definicion segun autores de matemáticas educativa
 
ATAJOS DE WINDOWS. Los diferentes atajos para utilizar en windows y ser más e...
ATAJOS DE WINDOWS. Los diferentes atajos para utilizar en windows y ser más e...ATAJOS DE WINDOWS. Los diferentes atajos para utilizar en windows y ser más e...
ATAJOS DE WINDOWS. Los diferentes atajos para utilizar en windows y ser más e...
 
Crear un recurso multimedia. Maricela_Ponce_DomingoM1S3AI6-1.pptx
Crear un recurso multimedia. Maricela_Ponce_DomingoM1S3AI6-1.pptxCrear un recurso multimedia. Maricela_Ponce_DomingoM1S3AI6-1.pptx
Crear un recurso multimedia. Maricela_Ponce_DomingoM1S3AI6-1.pptx
 
Presentación inteligencia artificial en la actualidad
Presentación inteligencia artificial en la actualidadPresentación inteligencia artificial en la actualidad
Presentación inteligencia artificial en la actualidad
 
trabajotecologiaisabella-240424003133-8f126965.pdf
trabajotecologiaisabella-240424003133-8f126965.pdftrabajotecologiaisabella-240424003133-8f126965.pdf
trabajotecologiaisabella-240424003133-8f126965.pdf
 

CZ Zero Trust recortada hasta la 20.pptx

  • 1. El enfoque de confianza cero requiere plataforma de identidad unificada que cuente con 4 elementos clave integrados en un único modelo de seguridad. “Limite las infracciones al reducir la capacidad de un atacante para moverse lateralmente en la red. Los controles de acceso se pueden aplicar sobre la base de un recurso individual, por lo que un atacante que tenga acceso a un recurso no podrá usarlo como trampolín para llegar a otros recursos.” NIST 1800-35b  Verificar usuarios, con solicitudes de autenticación multifactor.  Verificar dispositivos, prolongando los controles hasta los endpoints.  Limitar acceso y privilegios, otorgando a los usuarios únicamente permisos que necesiten para ejecutar sus funciones.  Aprendizaje y adaptación, perfeccionándose , aprendiendo y adaptándose a los nuevos escenarios de forma permanente gracias al Machine Learning. Combinar estos componentes garantiza acceso seguro a los recursos, disminuyendo el riesgo y aumentando los niveles de protección
  • 2. El impulso para una arquitectura moderna Zero Trust es que los modelos de seguridad tradicionales basados ​​en el perímetro ya no son necesarios en el panorama digital de hoy día. Las organizaciones deben adoptar un enfoque global de la seguridad basado en la verificación de la identidad y la confianza de todos los usuarios, dispositivos y sistemas que acceden a sus redes y datos. 2da. Generación: VIRTUAL 1ra. Generación: PERIMETRO 3ra. Generación: Zero Trust
  • 3. Evolución de Zero Trust para gestionar en forma segura la transformación digital Zero Trust 2011 ZT eXtended 2017 Framework 2020 Principios de Zero Trust: Nunca confiar, siempre verificar Asumir brecha (incumplimiento) Dar el privilegio mínimo CARTA (IAM) 2017 BeyondCorp 2014
  • 5. FORRESTER Zero Trust eXtended - 2017 • ¿Cuáles son las reglas de firewall que está utilizando? • ¿Cómo estás encriptando tus datos? • ¿Cómo lo estás controlando? • ¿Cómo entienden las personas de su organización la seguridad internamente? • ¿Cómo está identificando los dispositivos, que es una de las principales preocupaciones, y el panorama completo de la gestión de acceso e identidad (IAM) ?
  • 6. Gartner CARTA – 2017 Continuous Adaptive Risk and Trust Assessment Gestión adaptativa continua de riesgos y confianza El modelo CARTA es un enfoque estratégico para la gestión de riesgos y seguridad en redes corporativas, evangelizado y promovido por la investigación de Gartner, dirigido a los riesgos de los negocios digitales modernos y la gestión de amenazas avanzadas en entornos digitales. 1. Reemplazar el mecanismo único de control de seguridad de la información por una plataforma de seguridad de la información con características de conciencia situacional, autoadaptabilidad y programables. 2. Continuar proactiva y pasivamente minando, monitoreando, evaluando y priorizando los riesgos. 3. Realizar evaluaciones de riesgo y confianza en la etapa inicial de la planificación del negocio digital. 4. Al establecer la infraestructura, debe haber una visibilidad de riesgo completa e integral, incluido el plan de procesamiento de datos confidenciales. 5. Utilice análisis, inteligencia artificial, automatización y orquestación (orquestación) para acelerar la detección y el tiempo de respuesta y ampliar la influencia. 6. Construya la protección de la seguridad de la información en un sistema programable autoadaptativo integrado, en lugar de formar una isla de datos. 7. Poner la toma de decisiones de riesgo basada en datos y la propiedad del riesgo en manos de las unidades de negocio y los propietarios de productos.
  • 7. Zero Trust – CISA Cybersecurity and Infrastructure Security Agency Zero Trust (ZT) es un conjunto en evolución de paradigmas de ciberseguridad que mueven las defensas desde perímetros estáticos basados ​​en redes para enfocarse en usuarios, activos y recursos. Una arquitectura de confianza cero (ZTA) utiliza principios de confianza cero para planificar la infraestructura y los flujos de trabajo industriales y empresariales. La confianza cero supone que no se otorga confianza implícita a los activos o cuentas de usuario basándose únicamente en su ubicación física o de red (es decir, redes de área local frente a Internet) o en la propiedad de los activos (empresa o propiedad personal). La autenticación y la autorización (tanto del sujeto como del dispositivo) son funciones discretas que se realizan antes de que se establezca una sesión con un recurso empresarial. Zero Trust es una respuesta a las tendencias de redes empresariales que incluyen usuarios remotos, traiga su propio dispositivo (BYOD), y activos basados ​​en la nube que no están ubicados dentro de los límites de una red propiedad de la empresa. La confianza cero protege los recursos (activos, servicios, flujos de trabajo, cuentas de red, etc.), no los segmentos de la red, ya que la ubicación de la red no se considera el componente principal de la postura de seguridad del recurso.
  • 8.
  • 9. Evolución del foco de los pilares de ZT
  • 10. • Los usuarios en algunos entornos de confianza cero expresan frustración con las solicitudes repetidas de autenticación de varios factores. Es un desafío que algunos expertos ven como una oportunidad para la automatización con machine learning. • Por ejemplo, Gartner sugiere aplicar análisis en una estrategia de seguridad que denomina confianza adaptable continua. CAT (Continuous adaptive trust) puede usar datos contextuales, como la identidad del dispositivo, la identidad de la red y la geolocalización, como una especie de verificación de realidad digital para ayudar a autenticar a los usuarios. Cómo la IA Automatiza la Confianza Cero
  • 11. Arquitectura de confianza cero de NIST • Motor de políticas (PE): decisión final de otorgar acceso a un recurso a un sujeto en particular que intenta acceder • Administrador de políticas (PA): control de la comunicación entre el sujeto y el recurso de destino • Punto de aplicación de políticas (PEP): habilitación, monitoreo y finalización de conexiones que no cumplen con la política
  • 12. Zero Trust CLOUD DATA EXFILTRATION Más allá de NIST SP 800-207, varios marcos e iniciativas respaldan la mejora de la seguridad en la nube. La combinación de los diferentes conceptos podría dar como resultado una ZTA que impida el acceso a datos y recursos en la nube a menos que se logre una validación continua. . Cloud Control Matrix (CCM) v4 y el programa Security, Trust, Assurance, and Risk (STAR) de Cloud Security. . ISO 27017:2015 es otro conjunto integral de pautas o prácticas de seguridad para servicios en la nube basado en ISO/IEC 27002; contiene varias similitudes con CCMv4 y otros estándares, y puede admitir implementaciones de ZTA. . ISACA y Cloud Security Alliance se asociaron recientemente para producir el Certificate of Cloud Auditing Knowledge (CCAK) como la primera credencial de auditoría global de la industria y un complemento perfecto para las credenciales CISA y CCSP. CCAK mejora las herramientas y el conocimiento disponible para apoyar a los profesionales en este campo para identificar oportunidades para implementar ZTA adecuados y efectivos. . En Estados Unidos, el Chief Information Officers Council (CIO Council) ha apoyado el desarrollo de Cloud Smart como una estrategia para centrarse en la seguridad, las adquisiciones y la fuerza laboral relacionada con el uso de los servicios en la nube. Esta estrategia respalda los principios básicos de ZTA https://www.isaca.org/resources/news-and-trends/newsletters/atisaca/2022/volume-13/zero-trust-as-security-strategy-to-prevent-data-exfiltration-in-the-cloud
  • 14. CISA - Zero Trust Interrelación de los siete Pilares - Mobility https://www.cisa.gov/sites/default/files/publications/Zero_Trust_Principles_Enterprise_Mobility_For_Public_Comment_508C.pdf
  • 15. Siete Pilares de Zero Trust segun DoD https://www.crowdstrike.com/blog/how-falcon-identity-threat-protection-helps-meet-identity-security-government-mandates/
  • 16. DOD Zero trust Architecture 2021
  • 17. Construccion de estado mixto - Zero trust UK National Cyber Security Centre Proxy de confianza cero VPN administrada https://www.ncsc.gov.uk/guidance/zero-trust-building-a-mixed-estate
  • 18. MODELO DE CAPACIDAD – ZERO TRUST
  • 19. Tiene el desafío de Identificar y verificar usuarios y dispositivos, requiriendo inventario preciso de la base de usuarios, grupos de los que forman parte y sus aplicaciones y dispositivos. Organiza y coordina los diferentes equipos de manera efectiva. Rompe los silos entre los grupos de TI, ciberseguridad y redes, estableciendo canales de comunicación claros y reuniones periódicas entre los miembros del equipo, ayudando a lograr la estrategia de seguridad cohesiva. Trabaja la resistencia general al cambio, ya que es un obstáculo significativo en las implementaciones. El Chief Zero Trust Officer, comprende e implementa la compleja arquitectura Zero Trust integrando diferentes soluciones, desarrollando un plan, donde se alinean los diferentes equipos. Logra una implementación eficaz con el apoyo y capacitación de servicios profesionales de expertos certificados en las diferentes marcas. https://blog.cloudflare.com/chief-zero-trust-officer/

Notas del editor

  1. Zero Trust se basa en una base establecida de principios de seguridad... Al igual que con cualquier construcción de una casa, todo comienza con una buena base sólida, algo lo suficientemente fuerte y estable para evitar que lo que sea que esté soportando se derrumbe o caiga en la propiedad de su vecino. Para ZT, esta base incluye prácticas comunes de la industria, y quiero resaltar tres principios básicos relevantes, ya que son importantes para ZT pero a menudo desalineados de manera holística: Privilegios mínimos Separación de tareas Defensa en Profundidad (DiD)
  2. el memorando de la Casa Blanca que ordenó a los organismos federales "avanzar hacia los principios de ciberseguridad Zero Trust" y exigía a los organismos "designar e identificar una figura directiva para llevar a cabo la implementación de la estrategia Zero Trust para su organización" 1ra. Generación: PERIMETRO
  3. Forrester - defined the ZT philosophy CARTA - a good model for IAM Google BeyondCorp - a good application of ZT principles to a ZT network architecture for their specific use case and then say, clients have a challlenge - how do they apply these different models to their organizations?
  4. Implementing Privileged Access Security into Zero-trust Models and Architectures (cyberark.com) https://www.cyberark.com/resources/webinars/implementing-privileged-access-security-into-zero-trust-models-and-architectures?previtm=609325494&prevcol=6824667 BEYONDCORP A NEW APPROACH TO ENTERPRISE SECURITY
  5. ES Evolución del pensamiento - IT IS Evolution of thought La historia no es solo la evolución de la tecnología. - History is not Just the evolution of thechnology El Marco ZTX tiene alrededor de siete pilares que, según las auditorías de Forrester, determinan quién en la industria está haciendo un mejor trabajo al implementar los principios de Zero Trust, para los clientes y para ellos mismos. Con base en estos criterios, tenemos algunos líderes y fuertes desempeños en este campo. Cuando desee implementar ZTX Framework, además de seleccionar proveedores de los cuales puede seleccionar sus productos y servicios, puede responder las siguientes preguntas para darle una idea de cómo implementar Zero Trust: ¿Cuáles son las reglas de firewall que está utilizando?  ¿Cómo estás encriptando tus datos?  ¿Cómo lo estás controlando?  ¿Cómo entienden las personas de su organización la seguridad internamente? ¿Cómo está identificando los dispositivos, que es una de las principales preocupaciones, y el panorama completo de la gestión de acceso e identidad (IAM) allí?
  6. Gartner Continuous Adaptive Risk and Trust Assessment (CARTA) 1. Reemplazar el mecanismo único de control de seguridad de la información por una plataforma de seguridad de la información con características de conciencia situacional, autoadaptabilidad y programables. 2. Continuar proactiva y pasivamente minando, monitoreando, evaluando y priorizando los riesgos. 3. Realizar evaluaciones de riesgo y confianza en la etapa inicial de la planificación del negocio digital. 4. Al establecer la infraestructura, debe haber una visibilidad de riesgo completa e integral, incluido el plan de procesamiento de datos confidenciales. 5. Utilice análisis, inteligencia artificial, automatización y orquestación (orquestación) para acelerar la detección y el tiempo de respuesta y ampliar la influencia. 6. Construya la protección de la seguridad de la información en un sistema programable autoadaptativo integrado, en lugar de formar una isla de datos. 7. Poner la toma de decisiones de riesgo basada en datos y la propiedad del riesgo en manos de las unidades de negocio y los propietarios de productos.
  7. Zero Trust 800-207 del NIST Agosto 2020 MFA/2FA - SSO – SAML – IAM (OKTA) - PAM - AZURE AD - UEM SASE – ZTNA (vpn) – NAC –SWG -SEGMENTATION XDR –NDR (IPS/NTA) – EDR - MDR – SOAR – SIEM – UBA/UEBA - NOC/SOC DevSecOps Backup 3-2-1-0 https://www.paloaltonetworks.es/cyberpedia/what-is-a-zero-trust-architecture
  8. https://www.youtube.com/watch?v=l16L5D68eMg
  9. As a result of increased risk, many organizations have turned to NIST zero trust. While the definitive walls of traditional infrastructure have been broken down, NIST zero trust has become a prevailing force in the cyber industry. This trend has become so prevalent, NIST zero trust has in many ways been reduced to an industry “buzz word.” But if we truly examine the NIST zero trust framework, if we look beyond the “hype”, we find insightful guidelines for the threat management domain, to secure our business. The diagram on screen, “the logical components of NIST zero trust architecture,” is taken directly from the NIST 800-207. You can find several components that align directly to threat management. Threat Intelligence, with activity logs, correlated within a SIEM. In fact, NIST zero trust states that organizations need visibility to every transaction happening in the enterprise. Additionally, NIST directly calls out the need to monitor ALL network traffic.  Because cyber attacks have become increasingly sophisticated, depth of detection capabilities is critical for security teams today. _______________ Definitions NIST: (United States) National Institute of Standards and Technology https://www.nist.gov/ SIEM: Security Information and Event Management Learn more NIST 800-207, also known as Zero Trust Architecture: https://csrc.nist.gov/publications/detail/sp/800-207/final
  10. https://www.isaca.org/resources/news-and-trends/newsletters/atisaca/2022/volume-13/zero-trust-as-security-strategy-to-prevent-data-exfiltration-in-the-cloud Los marcos estándar de la industria para la seguridad en la nube admiten y combinan los conceptos anteriores de varias maneras; La adopción de Cloud Control Matrix (CCM) v4 y el programa Security, Trust, Assurance, and Risk (STAR) de Cloud Security Alliance es un excelente punto de partida al planificar la implementación de un ZTA para un servicio en la nube. ISO 27017:2015 es otro conjunto integral de pautas o prácticas de seguridad para servicios en la nube basado en ISO/IEC 27002; contiene varias similitudes con CCMv4 y otros estándares, y puede admitir implementaciones de ZTA. ISACA y Cloud Security Alliance se asociaron recientemente para producir el Certificate of Cloud Auditing Knowledge (CCAK) como la primera credencial de auditoría global de la industria y un complemento perfecto para las credenciales CISA y CCSP. CCAK mejora las herramientas y el conocimiento disponible para apoyar a los profesionales en este campo para identificar oportunidades para implementar ZTA adecuados y efectivos. En Estados Unidos, el Chief Information Officers Council (CIO Council) ha apoyado el desarrollo de Cloud Smart como una estrategia para centrarse en la seguridad, las adquisiciones y la fuerza laboral relacionada con el uso de los servicios en la nube. Esta estrategia respalda los principios básicos de ZTA
  11. https://www.cisa.gov/sites/default/files/publications/Zero_Trust_Principles_Enterprise_Mobility_For_Public_Comment_508C.pdf
  12. https://www.crowdstrike.com/blog/how-falcon-identity-threat-protection-helps-meet-identity-security-government-mandates/ Usuario. Cada usuario tiene una identidad, que normalmente existe en varios lugares (por ejemplo, en dispositivos, en Active Directory, en la nube). Es importante recordar que un usuario normalmente puede autenticarse en varios lugares, ya sea en las instalaciones o en servicios en la nube u otro proveedor de identidad. Dispositivo. Los dispositivos no solo tienen sus propias identidades, sino que también están expuestos a las identidades y otras credenciales de los usuarios que acceden a ellos. Como resultado, si un dispositivo se ve comprometido, las credenciales de ese dispositivo también quedan expuestas siempre que el adversario tenga acceso a él. Red/Entorno. Normalmente, los dispositivos de red son accesibles mediante cuentas de servicio que tienen los privilegios adecuados. Si se ignoran las cuentas de servicio en una postura de defensa, similar a lo que sucedió en el ataque SUNBURST, se crean puntos ciegos que podrían generar infracciones significativas. Aplicación y carga de trabajo. Las aplicaciones y las cargas de trabajo dependen de la autenticación de los usuarios para otorgarles los privilegios respectivos, y con la integración continua/desarrollo continuo (CI/CD) que tienen las aplicaciones modernas hoy en día para habilitar las prácticas de DevOps y DevSecOps, si se compromete un token de identidad que tiene privilegios para empujar código a una canalización de CI/CD, es posible que un adversario realice cambios en el nivel de producción. Datos. Para estar completamente protegidos, los datos deben estar más que catalogados y etiquetados adecuadamente. Los usuarios deben poder autenticarse adecuadamente para el acceso autorizado a dichos datos. No solo eso, la protección de datos también puede incluir solo permitir que ciertas aplicaciones accedan a esos datos y, cuando se implementa, debe ejecutarse a nivel de proceso. Y para que se confíe en los procesos, también se debe confiar en el sistema operativo y el propio dispositivo hasta cierto punto. Visibilidad y Analítica. La visibilidad y el análisis se utilizan para evaluar la identidad en todos estos pilares, en busca de actividad anómala. Además, los usuarios que deseen acceder a estos datos también deben poder autenticarse en algún nivel, lo que requiere protección de identidad para acceder a los datos en esta capa. Automatización y Orquestación. La automatización y la orquestación ayudan a los defensores a usar, de manera proactiva si es posible, la visibilidad y el análisis aprendidos a través de webhooks de API: webhooks de API que requieren tokens de autenticación, asignados a una identidad, que le otorgan los permisos adecuados para ejecutarse. Un compromiso contra uno de esos tokens puede tener un impacto devastador en un entorno.
  13. DOD Zero trust Architecture 2021
  14. https://www.ncsc.gov.uk/guidance/zero-trust-building-a-mixed-estate
  15. https://blog.cloudflare.com/chief-zero-trust-officer/ En los últimos años, el ransomware y las filtraciones de datos han causado enormes trastornos en organizaciones y gobiernos. A medida que las empresas impulsan la transformación digital y trasladan sus operaciones a la nube, confían cada vez más en un modelo de confianza cero para crear una infraestructura de red resistente y segura. ¿Necesitan las empresas un Chief Zero Trust Officer? Establecido como una convergencia basada en la nube de acceso a la red y servicios de seguridad, Secure Access Service Edge es un enfoque común para la adopción empresarial de Zero Trust. Sin embargo, el desafío es que, en muchas organizaciones, la responsabilidad de las redes y la seguridad reside en diferentes partes del negocio, y estos grupos a menudo usan diferentes proveedores en sus respectivas áreas. Para implementar Zero Trust en organizaciones más grandes, es fundamental romper los silos entre los equipos de seguridad y red y seleccionar las herramientas, los productos y los proveedores adecuados alineados con los resultados comerciales deseados. Cuando las organizaciones necesitan moverse rápidamente y traspasar los límites de la organización, a menudo designan a un oficial para que se haga cargo de un programa específico y se encargue de su implementación o ejecución. A medida que aumenta la presión para implementar Zero Trust, espero que surja el rol de Chief Zero Trust Officer en algunas organizaciones grandes. Esta persona será el oficial de Zero Trust de la empresa y será responsable de hacer que la empresa avance hacia Zero Trust. Su trabajo será reunir a organizaciones y proveedores dispares y garantizar que todos los equipos y departamentos estén en la misma página y trabajen hacia un objetivo común. En caso de resistencia, el oficial de Zero Trust debe contar con el respaldo de la alta gerencia (CIO, CISO, CEO, junta directiva) para tomar decisiones rápidas y cruzar los límites de la organización para hacer avanzar el proceso. Ya sea que el título de Chief Zero Trust Officer se haga realidad o no, una persona empoderada con un mandato y un enfoque claros puede ser clave para que Zero Trust sea un éxito en 2023.
  16. Acceso Adaptativo Políticas de Seguridad Aislamiento del Navegador Protección de Aplicaciones