Para la mayoría de las organizaciones, una estrategia de Zero-Trust (Confianza Cero) normalmente aborda la mitad o incluso menos del entorno de una organización.
A nivel mundial, el 63% de las organizaciones han implementado total o parcialmente una estrategia de ero-trust, según Gartner, Inc. Para el 78% de las organizaciones que implementan una estrategia Zero-Trust, esta inversión representa menos del 25% de su presupuesto total en ciberseguridad.
Una encuesta de Gartner del cuarto trimestre de 2023 a 303 líderes de seguridad cuyas organizaciones ya han implementado total o parcialmente o planean implementar una estrategia de Confianza Cero encontró que el 56% de las organizaciones persiguen principalmente una estrategia de Confianza Cero, ya que se considera una de las mejores prácticas en la industria. .
«A pesar de esta creencia, las empresas no están seguras de cuáles son las mejores prácticas para las implementaciones de Zero-Trust», dijo John Watts, vicepresidente analista y líder de KI en Gartner, y agregó: «Para la mayoría de las organizaciones, una estrategia de Zero-Trust generalmente aborda la mitad o incluso menos del entorno de una organización y mitiga una cuarta parte o menos del riesgo total de una organización”.
Gartner presenta tres recomendaciones clave de mejores prácticas para los líderes de seguridad que implementan una estrategia de Confianza Cero.
Práctica 1: Establecer el alcance de una estrategia de Zero-Trust
Para implementar con éxito la estrategia Zero-Trust, las organizaciones deben comprender qué parte de su entorno está cubierta, qué áreas están incluidas en la aplicabilidad de la estrategia y el nivel de riesgo que pueden mitigar.
El alcance de una estrategia de Confianza Cero normalmente no incluye todo el entorno de una organización. Sin embargo, el 16% de los encuestados dijo que cubrirá el 75% o más, mientras que sólo el 11% cree que cubrirá menos del 10% del entorno de la organización.
Figura 1:
Gartner (abril de 2024)
«El alcance es la decisión más crítica para una estrategia de Confianza Cero», dijo Watts. “El riesgo para las organizaciones es mucho más amplio que el alcance permitido por el control Zero-Trust, y sólo una parte de ese riesgo puede mitigarse. Sin embargo, medir la reducción de riesgos y mejorar la postura de seguridad son indicadores clave del éxito del control Zero-Trust”.
Práctica 2: Comunicar el éxito a través de indicadores estratégicos y operativos de Zero-Trust
El 79% de las organizaciones que han implementado total o parcialmente el Zero-Trust cuentan con indicadores estratégicos para medir el progreso, y de ese 79%, el 89% cuenta con algunos indicadores específicos para medir el riesgo.
Los líderes de seguridad también deben considerar a su audiencia al comunicar estos indicadores. El 59% de las iniciativas Zero-Trust están patrocinadas por el CIO, el CEO, el presidente o la junta directiva.
«Las métricas de Zero-Trust deben personalizarse para ofrecer la estrategia Zero-Trust, en lugar de reutilizar las métricas utilizadas para otras áreas, como la detección de puntos finales y la eficacia de la respuesta», dijo Watts. «Los esfuerzos de Confianza Cero ofrecen resultados específicos, como reducir el movimiento lateral de malware a través de una red, que a menudo no están representados por las métricas de ciberseguridad existentes».
Práctica 3: Anticipar aumentos de costos y personal, pero no retrasos
El 62% de las organizaciones anticipa que los costos aumentarán y el 41% de las organizaciones espera que sus necesidades de personal aumenten como resultado de la implementación de una estrategia de Confianza Cero.
«El impacto presupuestario de las organizaciones que adopten una estrategia de Confianza Cero variará dependiendo del alcance de la implementación, así como de cuán robusta sea la estrategia de Confianza Cero al comienzo del proceso de planificación», dijo Watts. «Las iniciativas de Confianza Cero impactan inherentemente el presupuesto a medida que las organizaciones adoptan un enfoque sistémico e iterativo para evolucionar sus políticas hacia controles adaptativos y basados en riesgos, agregando gastos generales a la carga operativa continua de la organización».
Aunque solo el 35% de las organizaciones informaron haber experimentado una falla que interrumpió la implementación de su estrategia de Confianza Cero, las organizaciones deben tener un plan estratégico de Confianza Cero que describa los indicadores operativos y mida la efectividad de las políticas de Confianza Cero para minimizar los retrasos.
El material de Gartner “Top 3 Recommens From the 2024 State of Zero-Trust Adoption Survey” dedicado a los clientes cubre este tema con más detalle.