Introducing Illumio Insights — breakthrough AI-powered observability, detection, and containment.
Read more

Experienced a Breach?

|
Contact Us
|
+1 855 426 3983
Blog
/
Segmentación de confianza cero

Confianza cero en la práctica con el creador John Kindervag y el CISO Jared Nussbaum

Brian Piper
Director de Defensa del Cliente
Illumio Editorial
3de junio de 2025
23 min. leer

¿Qué sucede cuando la mente detrás de Zero Trust se sienta cara a cara con alguien que lo pone a prueba todos los días?

Eso es exactamente lo que Illumio trajo al escenario de RSAC 2025: una conversación rara y sin guión entre John Kindervag, el creador de Zero Trust y evangelista jefe de Illumio, y Jared Nussbaum, CISO de Ares Management y un practicante experimentado que vivió el viaje de Zero Trust desde adentro.

John presentó el modelo hace 15 años. Jared pasó décadas ayudando a las compañías globales a adoptarlo, adaptarlo y recuperar de las infracciones del mundo real. Juntos, analizaron dónde comenzó Zero Trust, cómo evolucionó y qué se necesita para que funcione en el panorama actual de amenazas.

Aquí hay seis ideas clave de su conversación que todo líder de seguridad debe tomar en serio.

1. Zero Trust es una estrategia, no un producto

Si bien muchos proveedores intentan empaquetar Zero Trust como una herramienta, esto no es exacto. Es un cambio estratégico en la forma en que pensamos sobre la seguridad de los entornos digitales.  

Durante su conversación, John fue claro: "Zero Trust es ante todo una estrategia. Es algo que haces, no algo que compras".  

Jared, hablando desde la perspectiva del CISO, estuvo de acuerdo. "Cualquier cosa que me ayude a obtener visibilidad y reduzca el riesgo es una victoria", dijo.  

Pero agregó que Zero Trust tiene que comenzar con una mentalidad y una estrategia alineadas con los resultados comerciales. Antes de saltar a las herramientas o marcos, los equipos de seguridad deben comprender qué están protegiendo y por qué. Esto garantiza que el gasto en seguridad se priorice adecuadamente y pueda obtener una fuerte aceptación de la junta.

"Zero Trust es ante todo una estrategia. Es algo que haces, no algo que compras".

— John Kindervag, creador de Zero Trust

2. La microsegmentación es fundamental

Para John, la segmentación es fundamental para Zero Trust. De hecho, el segundo reporte escrito sobre Zero Trust fue uno que John escribió hace 15 años, Build Security Into Your Network's DNA: The Zero Trust Network Architecture.  

En el reporte, destacó la importancia de la segmentación y la gestión centralizada como componentes clave de Zero Trust. Pidió crear nuevas formas de segmentar las redes, porque todas deberán ser segmentadas.

Extracto de Forrester Incorpore la seguridad en el ADN de su red: la arquitectura de red de confianza cero

En la conversación, John enfatizó que las redes actuales deben segmentar de forma predeterminada para evitar que los atacantes se muevan lateralmente una vez que obtienen acceso. "Los atacantes son los dueños y tú pagas las facturas", dijo. "La segmentación es la base de Zero Trust".  

Jared ilustró el impacto de las redes no segmentadas con el ejemplo de la violación de Target de 2013. Los atacantes obtuvieron acceso a través de un proveedor externo de HVAC y se trasladaron a los sistemas de punto de venta porque no se establecían los límites adecuados.  

"La segmentación realizada con fuertes límites de seguridad le brinda visibilidad y control", dijo. "No puedes evitar que todos los atacantes entren, pero puedes evitar que lleguen muy lejos".

3. Comience poco a poco con Zero Trust

Uno de los mayores errores que ve John es que los equipos intentan implementar Zero Trust en toda una organización a la vez.  

"La gente fracasa en Zero Trust porque intenta hacerlo todo a la vez", explicó. "Tienes que comenzar poco a poco, una superficie de protección a la vez".  

Su conocida metodología Zero Trust de cinco pasos enfatiza la creación de entornos personalizados, manejables y sostenibles:

  • Defina la superficie de protección. Identifique lo que necesita protección, entendiendo que la superficie de ataque está en constante evolución.
  • Asignar flujos de transacciones. Obtenga visibilidad de los flujos de comunicación y tráfico para determinar dónde son necesarios los controles de seguridad.
  • Diseñe el entorno de Zero Trust. Una vez que se logre una visibilidad completa, implemente controles adaptados para cada superficie de protección.
  • Cree políticas de seguridad confiable cero. Desarrolle reglas granulares que permitan el acceso del tráfico a los recursos dentro de la superficie de protección.
  • Monitorear y mantenga la red. Establezca un ciclo de retroalimentación a través de la telemetría, mejorando continuamente la seguridad y construyendo un sistema resistente y antifrágil.

Nussbaum vio lo mismo en la práctica. "Las compañías luchan con Zero Trust cuando asumen demasiado a la vez", dijo. "Si comienza poco a poco, se alinea con las partes interesadas de su negocio y construye gradualmente, Zero Trust se vuelve alcanzable".  

Destacó la importancia de comprender el entorno, definir objetivos claros y entregar valor temprano para generar impulso. De lo contrario, advierte que los proyectos de Zero Trust pueden desmoronar rápidamente y retrasar la postura de seguridad de una organización.

4. La identidad no es suficiente

Si bien la identidad a menudo ocupa un lugar central en las conversaciones de Zero Trust, John estuvo desafiando esta noción desde el principio. "La identidad es solo una señal", dijo. "Siempre es fungible. Necesitas más contexto para tomar buenas decisiones".  

En otras palabras, confiar únicamente en la identidad introduce riesgos. Esto se debe a que todavía es posible que una sesión sea secuestrada o que se use indebidamente una identidad.

Jared reforzó la necesidad de mirar más allá de las credenciales de usuario. "Tienes que verificar continuamente al usuario, su dispositivo, dónde está trabajando, a qué está accediendo y si tiene sentido", dijo.  

Señaló que tampoco se trata solo de personas. Las comunicaciones de carga de trabajo a carga de trabajo también deben verificar y controlar. "Sin un contexto completo, no se puede hacer cumplir una política efectiva".

Las herramientas de observabilidad de IA como Illumio Insights proporcionan el tipo de contexto profundo que exige la seguridad moderna. Lo ayudan a obtener contexto en sus entornos para comprender el comportamiento, detectar anomalías y evaluar el riesgo en función de cómo se supone que funcionan las cosas en comparación con lo que realmente está sucediendo.

5. Enmarcar el riesgo cibernético en términos comerciales

John describió Zero Trust como "la gran estrategia de la ciberseguridad". Señaló su creciente adopción entre los gobiernos y las compañías por igual.  

En individuo, compartió cómo la estrategia resonó incluso con los líderes del Congreso luego de la violación de datos de la OPM. Fue entonces cuando se identificó Zero Trust como el modelo que podría limitar el movimiento de los atacantes y protegido la seguridad nacional.

Pero como señaló Jared, hablar de Zero Trust, o ciberseguridad en general, solo importa si lo enmarca en términos de riesgo comercial.  

"El riesgo cibernético contribuye al riesgo comercial, pero no son lo mismo", dijo. "A su junta no le importa el tiempo de permanencia o las cargas útiles de ransomware. Se preocupan por el tiempo de inactividad, la pérdida de ingresos, el impacto en el cliente y las consecuencias regulatorias".  

Para Jared, traducir las preocupaciones de seguridad en resultados comerciales es lo que impulsa la aceptación y hace que la seguridad sea exitosa en toda la organización.

"A su junta no le importa el tiempo de permanencia o las cargas útiles de ransomware. Se preocupan por el tiempo de inactividad, la pérdida de ingresos, el impacto en el cliente y las consecuencias regulatorias".

— Jared Nussbaum, CISO de Ares Management

6. Alinee Zero Trust con su entorno

Uno de los puntos más poderosos que John hizo durante la charla fue que cada entorno de Zero Trust debe construir para adaptar a la organización.  

"Cada entorno está hecho a medida", dijo. "No se puede simplemente sacar una arquitectura de referencia del estante y esperar que funcione. Tienes que diseñarlo en función de tu superficie de protección y de lo que necesita la compañía".

Jared estuvo de acuerdo y destacó la importancia de la colaboración interfuncional.  

"No se puede hacer Zero Trust en un aislamiento", explicó. "Necesita traer equipos de infraestructura, desarrolladores de aplicaciones, unidades de negocio, incluso la C-suite. Si no se alinea con sus prioridades y plazos, su programa no tendrá éxito".  

Enfatizó el valor de la comunicación continua, instando a los líderes de seguridad a "socializar sus planes temprano y con frecuencia, y adaptarlos en función de los comentarios del negocio".

Integrar Zero Trust en su estrategia

John Kindervag y Jared Nussbaum aportaron diferentes perspectivas al escenario de RSAC: uno como creador de Zero Trust y el otro como profesional que lo aplica a diario. Pero ambos estuvieron de acuerdo en esto: Zero Trust es un viaje, no un proyecto único.

"Terminarás con Zero Trust cuando termines de respirar", bromeó John. "Esta es una estrategia a largo plazo".

Para los líderes de seguridad que buscan construir una base más resistente, Zero Trust ofrece un camino comprobado a seguir. Comienza con la estrategia, escala con la alineación del negocio y tiene éxito a través de la visibilidad, el contexto y el control.

Más información sobre cómo más Clientes de Illumio están poniendo en práctica Zero Trust en sus organizaciones, o Contáctenos hoy para hablar con uno de nuestros expertos en Zero Trust.

Temas relacionados

Segmentación de confianza cero

Artículos relacionados

Por qué una estrategia de confianza cero requiere tanto ZTS como ZTNA
Segmentación de confianza cero

Por qué una estrategia de confianza cero requiere tanto ZTS como ZTNA

Obtenga la información de los mejores expertos sobre la creación de un marco de confianza cero empleando el acceso a la red de confianza cero (ZTNA) y la segmentación de confianza cero (ZTS).

Read more
¿Asistes a Black Hat MEA 2023? Esto es lo que necesita saber
Segmentación de confianza cero

¿Asistes a Black Hat MEA 2023? Esto es lo que necesita saber

Visite Illumio en Riad, Arabia Saudita, del 14 al 16 de noviembre en el stand H4. C31.

Read more
Conozca a Illumio en Tokio en la Cumbre de Seguridad y Gestión de Riesgos de Gartner 2024
Segmentación de confianza cero

Conozca a Illumio en Tokio en la Cumbre de Seguridad y Gestión de Riesgos de Gartner 2024

Unir a Illumio en la Cumbre de Seguridad y Gestión de Riesgos de Gartner 2024 en Tokio, Japón, del 24 al 26 de julio en el stand 408 del Grand Nikko Tokyo Daiba.

Read more
3 pasos que deben seguir los CISO para demostrar el valor de la ciberseguridad
Cyber Resilience

3 pasos que deben seguir los CISO para demostrar el valor de la ciberseguridad

Conozca el enfoque de seguridad basado en el valor que tendrá éxito en la sala de juntas y protegerá a su organización de las amenazas cibernéticas en evolución.

Read more
John Kindervag comparte la historia del origen de Zero Trust
Segmentación de confianza cero

John Kindervag comparte la historia del origen de Zero Trust

Descubra cómo John Kindervag comenzó con Zero Trust, sus primeras investigaciones sobre las mejores prácticas de Zero Trust y sus consejos para las organizaciones en su viaje hacia Zero Trust.

Read more
Mucho más allá de la visibilidad: cómo Illumio Insights conecta sus puntos de seguridad críticos
Cyber Resilience

Mucho más allá de la visibilidad: cómo Illumio Insights conecta sus puntos de seguridad críticos

Descubra por qué la observabilidad es fundamental para comprender y reducir el riesgo cibernético.

Read more

Asumir incumplimiento.
Minimizar el impacto.
Aumentar la resiliencia.

¿Listo para obtener más información sobre la segmentación de confianza cero?

Learn more