Zero Trust enfoque de madures
Identidad
¿Utiliza más de una cuenta para ingresar a sus sistemas?
Dispositivos
¿Las computadoras cuentan con antivirus, políticas de seguridad y actualizaciones?
Datos
¿Cuentan con clasificación y cifrado de datos?
Aplicaciones
¿Cuentan con controles de acceso basados en políticas para las aplicaciones?
Infraestructura
¿Cuentan con un plan de continuidad operativa o recuperación?
Redes
¿Las redes están segmentadas, firewall o VPN?
Visibilidad, automatización y orquestación
¿Cuentan con herramientas de monitoreo, respaldos, reportes, etc?
Procesos de ISO-27001
Planificar
- Definir política de seguridad.
- Establecer el alcance del SGSI.
- Realizar el análisis de riesgos.
- Seleccionar los controles.
- Definir competencias.
- Establecer un mapa de procesos.
- Definir autoridades y responsabilidades.
Hacer
- Implantar el plan de gestión de riesgos.
- Implantar el SGSI.
- Implantar los controles.
Controlar
- Revisar internamente el SGSI.
- Realizar auditorías internas del SGSI.
- Poner en marcha indicadores y métricas.
- Hacer una revisión por parte de la dirección.
Actuar
- Adoptar acciones correctivas.
- Adoptar acciones de mejora.
Principios de Zero Trust
Comprobación explicita
Realiza siempre la autorización y autenticación de los sistemas e información.
Uso del acceso con privilegios mínimos
Asignar limite al acceso de los usuarios con los modelos JUST-IN-TIME, directiva que se adaptan al nivel de riesgo y protección de datos.
Aceptación del riesgo
Minimizar el radio de alcance y segmenta el acceso. Comprobar el cifrado d extremo a extremo y usar el análisis para obtener visibilidad para impulsar la detección de amenazas y mejorar las defensas.