La confianza cero creció. Esto es lo que dicen sus fundadores que vendrá a continuación.

Zero Trust creció.

Así es como Chase Cunningham y John Kindervag describen el estado actual de la estrategia de seguridad que nutrieron desde el concepto hasta el movimiento global.

"Cuando llegué a Forrester, heredé el bebé de otra persona", bromeó Chase. "Ese padre era John. Y ahora el bebé es un adolescente".

No siempre fue así. Pero hoy, Zero Trust está en todas partes. John y Chase ahora están ayudando a los líderes de seguridad de todo el mundo a reimaginar cómo protegen lo que más importa.

Entonces, ¿qué está alimentando el impulso y qué sigue?

En nuestro último episodio del podcast The Segment , me senté con John, el padrino de Zero Trust, y Chase, conocido en la industria como Dr. Zero Trust, para hablar sobre el auge de la estrategia, el poder de los gráficos de seguridad y lo que realmente significa pensar como un atacante.

Zero Trust es una estrategia. Punto.

Cuando John y Chase comenzaron a evangelizar Zero Trust hace unos 15 años, la respuesta no fue exactamente entusiasta.

"Mi primer discurso tuvo 14 personas en la sala", dijo John. "Y la mayoría de ellos me dijeron que era un idiota".

Pero ahora, es global. Desde pequeñas compañías hasta gobiernos internacionales, las organizaciones finalmente están poniendo la contención y la visibilidad en el centro de sus estrategias de seguridad.

Chase cree que cruzamos el abismo de Zero Trust. "El 'odio' todavía fluye en línea, pero la adopción es real", dijo.

Están dirigiendo talleres de Zero Trust en todas partes, desde Taiwán hasta Suiza. De hecho, John dijo que recientemente se dirigió a los líderes de ciberseguridad en Bletchley Park en el Reino Unido, hogar de los descifradores de códigos originales.

¿Qué está impulsando este crecimiento? Ambos estuvieron de acuerdo en que es la capacidad de Zero Trust para resonar en todos los niveles, desde ingenieros de seguridad hasta tomadores de decisiones ejecutivos y afiliadas a la junta.

Desde sus inicios, Zero Trust no se trató de qué tecnología comprar. Es un marco para construir organizaciones resilientes que funciona en todas las funciones a cualquier escala.

Los gráficos de seguridad están cambiando el juego cibernético

Zero Trust es una estrategia única porque continúa funcionando incluso a medida que la industria evoluciona. Uno de los mayores avances en este momento es cómo las organizaciones están adoptando Zero Trust junto con los gráficos de seguridad.

El nuevo libro de Chase, Think Like an Attacker: Why Security Graphs Are the Next Frontier of Threat Detection and Response, describe cómo el análisis de gráficos está ayudando a los defensores a comprender su infraestructura con la misma claridad que ya tienen los atacantes.

"Cuando estaba en el ejército, pasamos de cinco operaciones exitosas al mes a 300 una vez que usamos modelos gráficos", dijo Chase. "¿Por qué? Porque entendíamos el terreno".

John está de acuerdo. En su modelo de cinco pasos para Zero Trust, los gráficos de seguridad son el motor detrás del segundo paso: mapear los flujos de transacciones. Sin ese mapa, Zero Trust se convierte en conjeturas.

"Los buenos mapas ganan guerras", dijo. "Los malos te pierden". Y lo mismo puede decir de la ciberseguridad.

Los buenos mapas ganan guerras. Los malos te pierden.

Conozca sus prioridades de seguridad o corra el riesgo de perder el control  

Los gráficos de seguridad también están ayudando a los equipos de seguridad a priorizar lo que más importa.

Tanto John como Chase enfatizaron que los líderes de ciberseguridad deben repensar cómo se ve el éxito. "Si todo es una prioridad, entonces nada lo es", advirtió Chase.  

Es por eso que definir la superficie de protección (los datos, aplicaciones y servicios más críticos de su red) es fundamental.

A partir de ahí, los líderes de seguridad pueden usar la visibilidad basada en gráficos para tomar decisiones informadas e implementar controles con un propósito. John lo expresó claramente: "La mayoría de la gente espera que no suceda nada malo. Esa no es una estrategia de riesgo".

En cambio, los equipos de seguridad deben aceptar que los atacantes entrarán . Nuestro trabajo es contener su movimiento y minimizar el radio de explosión.

Piensa como un atacante, o quédate un paso atrás

Una de las conclusiones más convincentes de nuestra discusión fue esta: los defensores deben cambiar el guión.

"Los atacantes no siguen las listas de verificación de cumplimiento", dijo Chase. "Se mueven rápido, juegan sucio y explotan las cosas que crees que son seguras".  

Es por eso que no es suficiente monitorear alertas o parchear vulnerabilidades conocidas. Los defensores deben comprender la mentalidad del enemigo porque es probable que los atacantes ya entiendan su infraestructura mejor que usted.

Los atacantes no siguen las listas de verificación de cumplimiento. Se mueven rápido, juegan sucio y explotan las cosas que crees que son seguras.

Y aunque el equipo rojo existió durante décadas, John enfatizó que es hora de evolucionar. "Solíamos hacer pruebas de penetración y entregar reportes de 200 páginas sobre los que nadie actuaba", dijo. "Ahora, necesitamos pruebas específicas que pregunten: ¿puede un atacante llegar a mi superficie de protección y qué tan rápido puedo contenerlo si lo hace?"

La IA puede ser una aliada si tienes cuidado

La IA puede ser una ayuda real para evolucionar la forma en que vemos, entendemos, priorizamos y actuamos ante las amenazas. Si bien tanto John como Chase son escépticos sobre la exageración de la IA, son optimistas sobre el potencial.

"La IA no es magia", dijo Chase. "Son matemáticas. Pero si ayuda a los defensores a mover a la velocidad de una máquina, úsalo".

John agregó que el valor de la IA está en ayudar a las organizaciones a acelerar su respuesta. "Si despliegas una bolsa de aire de la misma manera que lo haces con la gestión del cambio, mueres", dijo. "Necesitamos una respuesta automatizada. La IA puede llevarnos allí".

La IA no es mágica. Son matemáticas. Pero si ayuda a los defensores a mover a la velocidad de una máquina, úsalo.

Pero no se trata solo de comprar una herramienta etiquetada como "IA". Se trata de garantizar que su infraestructura existente esté lista para ello. La visibilidad basada en gráficos, los motores de políticas y la segmentación ya deberían estar implementados para hacer posible la acción en tiempo real con IA.

Zero Trust se ganó su asiento en la mesa

La parte más inspiradora de nuestra conversación fue ver lo lejos que llegó Zero Trust. Desde pruebas de penetración en casinos y charlas en gimnasios de hoteles hasta asesorar a generales y legisladores, John y Chase convirtieron una idea en un movimiento.

Ese movimiento ya no es una preocupación de nicho para TI. Es un problema de la sala de juntas, una prioridad nacional y un imperativo estratégico.

Como dijo John: "Los atacantes están construyendo máquinas para derrotarnos. Por lo tanto, debemos construir máquinas para derrotarlos".

Para hacer eso, necesitamos mejores mapas, sistemas más inteligentes y el coraje de priorizar lo que más importa.

Escuche nuestra conversación completa en The Segment: A Zero Trust Leadership Podcast a través de Manzana, Spotifyo Nuestro sitio web.