[23/04/2024] El 63% de las organizaciones en todo el mundo han implementado total o parcialmente una estrategia de confianza cero, según Gartner, Inc. Para el 78% de las organizaciones que implementan una estrategia de confianza cero, esta inversión representa menos del 25% del presupuesto total de ciberseguridad.
Una encuesta de Gartner realizada en el cuarto trimestre del 2023 a 303 líderes de seguridad cuyas organizaciones ya habían implementado (total o parcialmente), o planean implementar una estrategia de confianza cero, encontró que el 56% de las organizaciones están siguiendo principalmente una estrategia de confianza cero porque se cita como una de las mejores prácticas de la industria.
"A pesar de esta creencia, las empresas no están seguras de cuáles son las mejores prácticas para las implementaciones de confianza cero", señaló John Watts, vicepresidente de analistas, líder de KI en Gartner, en el comunicado de prensa. "Para la mayoría de las organizaciones, una estrategia de confianza cero generalmente aborda la mitad o menos del entorno de una organización, y mitiga una cuarta parte o menos del riesgo empresarial general".
Gartner esbozó tres recomendaciones principales de prácticas principales para los líderes de seguridad que implementan una estrategia de confianza cero.
Práctica 1: Establecer el alcance de una estrategia de confianza cero desde el principio
Para implementar con éxito la confianza cero, las organizaciones deben comprender qué parte del entorno cubren, qué dominios están dentro del alcance y cuánto riesgo pueden mitigar.
El alcance de una estrategia de confianza cero no suele incluir todo el entorno de una organización. Sin embargo, el 16% de los encuestados dijo que cubrirá el 75% o más, mientras que solo el 11% cree que cubrirá menos del 10% del entorno de la organización.
"El alcance es la decisión más crítica para una estrategia de confianza cero", anotó Watts. "El riesgo empresarial es mucho más amplio que el alcance de los controles de confianza cero, y solo se puede mitigar una cantidad limitada de riesgo empresarial. Sin embargo, medir la reducción de riesgos y mejorar la postura de seguridad es un indicador clave del éxito de los controles de confianza cero".
Práctica 2: Comunicar el éxito a través de métricas estratégicas y operativas de confianza cero
El 79% de las organizaciones que han implementado total o parcialmente la confianza cero, tienen métricas estratégicas para medir el progreso; y, de ese 79%, el 89% tiene métricas para medir el riesgo.
Los líderes de seguridad también deben tener en cuenta a su audiencia al comunicar estas métricas. El 59% de las iniciativas de confianza cero están patrocinadas por el CIO o el CEO/presidente/junta directiva.
"Las métricas de confianza cero deben adaptarse a los entregables de confianza cero, en lugar de repetir las métricas utilizadas para otras áreas, como la efectividad de la detección y respuesta de endpoints", indicó Watts. "Los esfuerzos de confianza cero ofrecen resultados específicos, como la reducción del movimiento lateral del malware en una red, que a menudo no se capturan en las métricas de ciberseguridad existentes".
Práctica 3: Anticipar aumentos en la dotación de personal y los costos, pero no retrasos
El 62% de las organizaciones anticipan que sus costos aumentarán y el 41% de las organizaciones esperan que sus necesidades de personal también aumenten como resultado de una implementación de confianza cero.
"Los impactos presupuestarios de las organizaciones que adopten una estrategia de confianza cero variarán en función del alcance de la implementación, así como de la solidez de la estrategia de confianza cero al principio del proceso de planificación", sostuvo Watts. "Las iniciativas de confianza cero afectan inherentemente el presupuesto a medida que las organizaciones adoptan un enfoque sistémico e iterativo para madurar sus políticas hacia controles adaptativos y basados en el riesgo, lo que agrega gastos generales a la carga operativa continua de la organización".
Si bien solo el 35% de las organizaciones dijeron que se encontraron con una falla que interrumpió la implementación de su estrategia de confianza cero, las organizaciones deben tener un plan estratégico de confianza cero que describa las métricas operativas y mida la efectividad de las políticas de confianza cero para minimizar los retrasos.
Franca Cavassa, CTOPerú