¿Has sufrido una brecha de seguridad?
|
Soporte
|
Contáctanos
|
+1 855 426 3983
Blog
/
Resiliencia cibernética

Cómo la Marina de los EE. UU. y el Departamento de Seguridad Nacional lograron que la estrategia de Confianza Cero funcionara.

Charlie Bedell
Gerente de Marketing de Contenidos
Illumio Editorial
23de abril de 2026
23 min. leer

El modelo Zero Trust cuenta con una gran variedad de marcos de trabajo.

Existen modelos de madurez, arquitecturas de referencia y soluciones de proveedores por doquier. Pero para muchos equipos, el modelo de Confianza Cero todavía se queda en teoría. Se entiende en teoría, pero es más difícil convertirlo en resultados reales.

Ese fue el tema central del reciente seminario sitio web titulado " Proteja los datos, no el ruido: una conversación práctica sobre el modelo de confianza cero". En la sesión, John Kindervag, evangelista principal de Illumio y creador de Zero Trust, se unió a Don Yeske para explorar qué se necesita para que Zero Trust funcione en la práctica.

Anteriormente, Yeske lideró los esfuerzos de arquitectura de Confianza Cero en el Departamento de la Marina de los Estados Unidos y en el Departamento de Seguridad Nacional, lo que le brindó experiencia de primera mano en algunos de los entornos más complejos y de misión crítica del gobierno.

Esa experiencia le demostró que el modelo de Confianza Cero solo se vuelve real cuando pasa de una ambición general a una ejecución precisa.

Ese cambio comienza con una idea: la superficie protectora.

Esto es lo que ayudó al Departamento de Seguridad Nacional y a la Armada a convertir el modelo de Confianza Cero de la teoría en la realidad operativa. Esto es lo que las organizaciones pueden aprender de ello hoy en día.

Por qué Zero Trust fracasa sin un enfoque operativo.

Según la experiencia de Yeske, el modelo de Confianza Cero a menudo fracasa incluso antes de empezar.

El problema no radica en comprender el concepto. La mayoría de los equipos comprenden los principios de Zero Trust. El problema radica en cómo se aplican esos principios.

En las grandes organizaciones, especialmente en el sector gubernamental, el enfoque por defecto es pensar a gran escala. Los equipos de seguridad definen las iniciativas a nivel empresarial y aplican los requisitos de forma amplia. Miden el éxito por la amplitud con la que se implementa algo.

Yeske describió esto como una fase inicial del proceso de Zero Trust, donde la atención se centra en toda la superficie de ataque en lugar de en resultados específicos.

Eso nos lleva a un patrón conocido. Los equipos implementan funcionalidades como la autenticación multifactor (MFA) o los controles de punto final en toda la organización. Estos son pasos importantes, pero no se traducen automáticamente en una protección efectiva.

Lo que falta es concentración.

Sin una comprensión clara de lo que se necesita proteger, los controles se aplican de manera uniforme en lugar de estratégica. Esto dificulta la medición del impacto y facilita que el riesgo persista en áreas críticas.

La superficie de protección: donde comienza el Confianza Cero.

El trabajo de Yeske dentro del Departamento de Seguridad Nacional y la Marina introdujo una forma más práctica de pensar sobre la política de Confianza Cero.

En lugar de intentar protegerlo todo por igual, los responsables de seguridad deberían centrar en identificar qué es lo más importante.

En el DHS, eso significaba plantear una pregunta sencilla pero poderosa: ¿qué datos, aplicaciones o servicios provocarían el fracaso de la misión si se vieran comprometidos?

Esta pregunta replantea toda la estrategia.

Esto obliga a las organizaciones a alejar de la cobertura general y a centrar en resultados específicos. También crea una forma natural de priorizar los esfuerzos, especialmente en entornos donde los recursos y la complejidad son elevados.

Aquí es donde el concepto de superficie protectora se vuelve fundamental.

La superficie de protección es la unidad más pequeña de lo que importa. No se trata de una red o sistema completo. Se trata de un activo o recurso específico que la organización no puede permitir perder.

Al centrar en eso, los equipos pueden diseñar controles que sean precisos, medibles y que se ajusten al riesgo real.

Qué significa poner en práctica el principio de confianza cero.

Convertir la estrategia de Confianza Cero en algo operativo requiere más que identificar lo que importa. Se necesita un método repetible para implementar medidas de seguridad a su alrededor.

Yeske describió cómo funcionaba esto en la práctica.

Definir la superficie de protección

El primer paso consiste en definir la superficie a proteger en términos claros. Esto significa dividir los sistemas grandes en componentes más pequeños que puedan comprender y controlar. Si el alcance es demasiado amplio, resulta imposible de gestionar.

Una regla útil de Yeske es que se debe poder enumerar cada entidad que necesita acceso a la superficie protegida, junto con cuándo y por qué se requiere ese acceso. Si no puedes hacer eso, el alcance sigue siendo demasiado grande.

Comprenda qué es normal para su red.

Una vez definida la superficie a proteger, el siguiente paso es comprender cómo se emplea. Esto implica mapear los flujos de transacciones e identificar el comportamiento normal. Sin este contexto, es difícil aplicar políticas significativas.

A partir de ahí, los controles se diseñan y aplican lo más cerca posible de la superficie que se debe proteger. Esta es una diferencia clave con respecto a los enfoques tradicionales, que a menudo colocan los controles en el perímetro.

La política desempeña un papel fundamental en este proceso. Cada decisión de acceso se basa en reglas explícitas, no en suposiciones. El acceso se concede únicamente cuando se cumplen ciertas condiciones y se evalúa de forma continua a lo largo del tiempo.

Monitorear y perfeccione sus políticas de confianza cero.

Finalmente, el sistema es monitorear y perfeccionado. La telemetría proporciona información sobre cómo se comporta el entorno, lo que permite a los equipos ajustar las políticas y mejorar con el tiempo.

Este enfoque transforma el concepto de Confianza Cero, pasando de ser un conjunto de principios a un sistema operativo.

El papel de las capacidades, no solo de las herramientas.

Otra lección importante de la experiencia de Yeske es cómo las organizaciones conciben la tecnología.

En muchos casos, abordan el concepto de Confianza Cero como un serial de decisiones sobre el producto. Los equipos se centran en qué comprar en lugar de qué construir.

En el DHS, Yeske adoptó un enfoque diferente. En lugar de empezar por los productos, se centraron en las capacidades.

Una capacidad es la habilidad para realizar una función que protege un recurso. Incluye personas, procesos y tecnología que trabajan conjuntamente.

Esta distinción es importante.

Esto significa que el éxito no se define por el hecho de que una herramienta se implemente o no. Se define por la capacidad de la organización para desempeñar de forma consistente la función que dicha herramienta está diseñada para respaldar.

Yeske señaló que muchos entornos ya cuentan con las herramientas que necesitan. El problema radica en que esas herramientas no siempre se emplean de forma eficaz ni de forma coordinada entre sí.

Al centrar en las capacidades, las organizaciones pueden aprovechar mejor lo que ya tienen e identificar dónde existen realmente deficiencias.

Ampliación de la política de confianza cero a entornos complejos

Uno de los mayores desafíos en los entornos gubernamentales es la escala.

El DHS, por ejemplo, incluye una amplia gama de agencias con diferentes misiones y requisitos técnicos. Un enfoque único y uniforme no siempre es práctico.

Yeske describió cómo se abordó esta complejidad mediante el concepto de una red de protección.

Una red de protección es un conjunto de capacidades organizadas en torno a una superficie de protección específica. Permite a los equipos aplicar el modelo de Confianza Cero de una manera adaptada a cada activo, al tiempo que se alinea con una estrategia más amplia.

Este enfoque permite un progreso gradual.

En lugar de intentar transformar todo el entorno a la vez, las organizaciones pueden construir un modelo de Confianza Cero paso a paso. Cada superficie protegida se convierte en una unidad de progreso, que contribuye a una arquitectura más amplia y resistente.

Como Kindervag recalcó durante el debate, así es como se supone que debe construir Zero Trust: protegiendo una superficie a la vez.

Convertir el modelo de confianza cero en algo que funcione.

El modelo de Confianza Cero se suele mencionar como un objetivo a alcanzar. Pero en la práctica, es un método.

La experiencia de Don Yeske demuestra que el éxito no proviene de adoptar un marco de trabajo ni de implementar un conjunto de herramientas. Se consigue aplicando una estrategia clara y bien definida, y ejecutándola de forma consistente.

La superficie protectora es lo que lo hace posible.

Ofrece a las organizaciones una manera de pasar de la teoría a la práctica. Proporciona un punto de partida, una estructura y una forma de medir el progreso.

En un mundo donde la complejidad sigue aumentando, esa claridad es esencial.

El objetivo de Zero Trust no es protegerlo todo por igual, sino garantizar que lo que más importa esté protegido, pase lo que pase a su alrededor.

Aprende cómo Illumio Puede implementar un sistema de seguridad confiable cero en su agencia gubernamental.

Charlie Bedell
Gerente de Marketing de Contenidos
Illumio Editorial
23de abril de 2026
23 min. leer
Gobierno
Contáctanos
Compartir

Artículos relacionados

Un exdirector de informática de la Casa Blanca explica por qué el modelo de confianza cero debe diseñar teniendo en cuenta cómo trabajan realmente las personas.
Resiliencia cibernética

Un exdirector de informática de la Casa Blanca explica por qué el modelo de confianza cero debe diseñar teniendo en cuenta cómo trabajan realmente las personas.

Mejora tu estrategia de Confianza Cero centrándote en el comportamiento del usuario para reducir el riesgo cibernético y lograr mejores resultados de seguridad.

Lee más
Resiliencia cibernética
Las 3 verdades de confianza cero de John Kindervag para agencias gubernamentales
Resiliencia cibernética

Las 3 verdades de confianza cero de John Kindervag para agencias gubernamentales

Obtenga información de John Kindervag sobre las verdades clave de Zero Trust que las agencias gubernamentales deben saber a medida que cumplen con los mandatos de Zero Trust.

Lee más
Gobierno
Siga estos 3 pasos a seguir si su agencia gubernamental está construyendo Zero Trust
Resiliencia cibernética

Siga estos 3 pasos a seguir si su agencia gubernamental está construyendo Zero Trust

Zero Trust es un viaje, no un destino. Obtenga la información experta de Gary Barlet sobre los próximos pasos que deben tomar las agencias y los comandos a medida que construyen Zero Trust.

Lee más
Gobierno
La guía completa de Illumio en la Conferencia RSA 2024
Resiliencia cibernética

La guía completa de Illumio en la Conferencia RSA 2024

Visite a Illumio en el stand N-54670 del 6 al 9 de mayo en Santo Francisco en el Moscone Center North Hall.

Lee más
No se encontraron artículos.
Nuestras historias favoritas de Zero Trust de septiembre de 2023
Resiliencia cibernética

Nuestras historias favoritas de Zero Trust de septiembre de 2023

Estas son algunas de las historias y perspectivas de Zero Trust que más nos llamaron la atención este mes.

Lee más
No se encontraron artículos.
BT e Illumio: Simplificando el cumplimiento de DORA
Resiliencia cibernética

BT e Illumio: Simplificando el cumplimiento de DORA

Aprenda a impulsar la resiliencia cibernética, gestionar los riesgos de las TIC y preparar a su institución financiera para la fecha límite de cumplimiento de DORA de enero de 2025.

Lee más
Cumplimiento

Experimente Illumio Insights hoy

Vea cómo la observabilidad impulsada por IA le ayuda a detectar, comprender y contener amenazas más rápido.