Cero confianza en la práctica con el creador John Kindervag y el CISO Jared Nussbaum
¿Qué sucede cuando la mente detrás de Zero Trust se sienta cara a cara con alguien poniéndola a prueba todos los días?
Eso es exactamente lo que Illumio trajo a la etapa RSAC 2025: una rara conversación sin guión entre John Kindervag, el creador de Zero Trust y el evangelista jefe de Illumino, y Jared Nussbaum, CISO de Ares Management y un practicante experimentado que ha vivido el viaje de Zero Trust desde adentro.
John presentó el modelo hace 15 años. Jared lleva décadas ayudando a las empresas globales a adoptarlo, adaptarlo y recuperarse de brechas del mundo real. Juntos, desempaquetaron dónde comenzó Zero Trust, cómo ha evolucionado y qué se necesita para que funcione en el panorama actual de amenazas.
Aquí hay seis ideas clave de su conversación que todo líder de seguridad debería tomar en cuenta.
1. La confianza cero es una estrategia, no un producto
Si bien muchos proveedores intentan empaquetar Cero Confianza como herramienta, esto no es exacto. Es un cambio estratégico en la forma en que pensamos sobre la seguridad de los entornos digitales.
Durante su conversación, John fue claro: “La confianza cero es ante todo una estrategia. Es algo que haces, no algo que compras”.
Jared, hablando desde la perspectiva del CISO, estuvo de acuerdo. “Cualquier cosa que me ayude a obtener visibilidad y reduzca el riesgo es una victoria”, dijo.
Pero agregó que Zero Trust tiene que comenzar con una mentalidad y una estrategia alineada con los resultados del negocio. Antes de lanzarse a las herramientas o entornos, los equipos de seguridad deben comprender lo que están protegiendo y por qué. Esto garantiza que el gasto en seguridad se priorice adecuadamente y pueda obtener una fuerte aceptación de la junta directiva.
“La confianza cero es ante todo una estrategia. Es algo que haces, no algo que compras”.
— John Kindervag, creador de Zero Trust
2. La microsegmentación es fundamental
Para John, segmentación es fundamental para Zero Trust. De hecho, el segundo informe jamás escrito en Zero Trust fue uno que John escribió hace 15 años, Construya la seguridad en el ADN de su red: la arquitectura de red Zero Trust.
En el informe, destacó la importancia de la segmentación y la administración centralizada como componentes clave de Zero Trust. Pidió crear nuevas formas de segmentar redes, porque todas ellas necesitarán ser segmentadas.

En la conversación, John enfatizó que las redes actuales deben segmentarse por defecto para evitar que los atacantes se muevan lateralmente una vez que obtienen acceso. “Los atacantes son los dueños, y tú pagas las cuentas”, dijo. “La segmentación es la base de Zero Trust”.
Jared ilustró el impacto de las redes no segmentadas con el ejemplo del Infracción del objetivo de 2013. Los atacantes obtuvieron acceso a través de un proveedor externo de HVAC y se trasladaron a los sistemas de punto de venta porque no estaban establecidos los límites adecuados.
“La segmentación hecha con fuertes límites de seguridad te da visibilidad y control”, dijo. “No puedes evitar que todos los atacante se metan, pero puedes evitar que se acerquen mucho”.
3. Comience poco a poco con Zero Trust
Uno de los mayores errores que John ve es que los equipos intentan implementar Zero Trust en toda una organización a la vez.
“La gente falla en Zero Trust porque trata de hacerlo todo de una vez”, explicó. “Tienes que comenzar poco a poco, una superficie de protección a la vez”.
Su conocido Metodología Zero Trust de cinco pasos hace hincapié en entornos de construcción adaptados, manejables y sostenibles:
- Defina la superficie de protección. Identificar lo que necesita protección, entendiendo que la superficie de ataque está en constante evolución.
- Mapear los flujos de transacciones. Obtenga visibilidad de los flujos de comunicación y tráfico para determinar dónde son necesarios los controles de seguridad.
- Diseñe el entorno Zero Trust. Una vez que se logre una visibilidad completa, implemente controles personalizados para cada superficie de protección.
- Crear políticas de seguridad de confianza cero. Desarrolle reglas granulares que permitan el acceso del tráfico a los recursos dentro de la superficie de protección.
- Monitorear y mantener la red. Establecer un bucle de retroalimentación a través de telemetría, mejorando continuamente la seguridad y construyendo un sistema resistente y antifrágil.
Nussbaum ha visto pasar lo mismo en la práctica. “Las empresas luchan con Zero Trust cuando asumen demasiado a la vez”, dijo. “Si comienza poco a poco, se alinea con las partes interesadas de su negocio y construye de manera incremental, la confianza cero se vuelve alcanzable”.
Destacó la importancia de comprender el medio ambiente, definir metas claras y entregar valor temprano para generar impulso. De lo contrario, advierte que los proyectos Zero Trust pueden desmoronarse rápidamente y hacer retroceder la postura de seguridad de una organización.
4. La identidad no es suficiente
Si bien la identidad a menudo ocupa un lugar central en las conversaciones de Zero Trust, John ha estado desafiando esta noción desde el principio. “La identidad es solo una señal”, dijo. “Siempre es fungible. Se necesita más contexto para tomar buenas decisiones”.
En otras palabras, confiar únicamente en la identidad introduce riesgo. Esto se debe a que todavía es posible que una sesión sea secuestrada o que una identidad sea mal utilizada.
Jared reforzó la necesidad de mirar más allá de las credenciales de los usuarios. “Tienes que verificar continuamente el usuario, su dispositivo, dónde están trabajando, a qué están accediendo, y si tiene sentido”, detalló.
Señaló que no se trata solo de personas, tampoco. Las comunicaciones de carga de trabajo a carga de trabajo también deben verificarse y controlarse. “Sin un contexto completo, no se puede hacer cumplir una política efectiva”.
Herramientas de observabilidad de IA como Perspectivas de Illumio proporcionar el tipo de contexto profundo que exige la seguridad moderna. Le ayudan a obtener contexto en sus entornos para comprender el comportamiento, las anomalías superficiales y evaluar el riesgo en función de cómo se supone que deben funcionar las cosas en comparación con lo que realmente está sucediendo.
5. Enmarcar el riesgo cibernético en términos comerciales
John describió Zero Trust como “la gran estrategia de ciberseguridad”. Señaló su creciente adopción entre gobiernos y empresas por igual.
En particular, compartió cómo la estrategia resonó incluso con los líderes del Congreso después de la Violación de datos de OPM. Fue entonces cuando se identificó Zero Trust como el modelo que podría haber limitado el movimiento de los atacante y protegido la seguridad nacional.
Pero como señaló Jared, hablar de Zero Trust —o ciberseguridad en términos más generales— solo importa si lo enmarcamos en términos de riesgo empresarial.
“El riesgo cibernético contribuye al riesgo empresarial, pero no son lo mismo”, dijo. “A su placa no le importa el tiempo de permanencia o las cargas útiles de ransomware. Se preocupan por el downtime, la pérdida de ingresos, el impacto en el cliente y las consecuencias regulatorias”.
Para Jared, traducir las preocupaciones de seguridad en resultados del negocio es lo que impulsa la aceptación y hace que la seguridad sea exitosa en toda la organización.
“A su placa no le importa el tiempo de permanencia o las cargas útiles de ransomware. Se preocupan por el downtime, la pérdida de ingresos, el impacto en el cliente y las consecuencias regulatorias”.
— Jared Nussbaum, CISO de administración de Ares
6. Alinee Zero Trust con su entorno
Uno de los puntos más poderosos que John hizo durante la charla fue que cada entorno Zero Trust debe construirse para adaptarse a la organización.
“Cada ambiente es a medida”, dijo. “No se puede simplemente sacar una arquitectura de referencia del estante y esperar que funcione. Tienes que diseñarlo en base a tu superficie de protección y lo que el negocio necesita”.
Jared estuvo de acuerdo y destacó la importancia de la colaboración interfuncional.
“No se puede hacer Zero Trust en un silo”, explicó. “Necesita traer equipos de infraestructura, desarrolladores de aplicaciones, unidades de negocio, incluso la C-suite. Si no se alinea con sus prioridades y plazos, su programa no tendrá éxito”.
Enfatizó el valor de la comunicación continua, instando a los líderes de seguridad a “socializar sus planes temprano y con frecuencia, y adaptarlos en función de los comentarios del negocio”.
Incrustar Zero Trust en su estrategia
John Kindervag y Jared Nussbaum aportaron diferentes perspectivas a la etapa del RSAC —una como originadora de Zero Trust, y la otra como practicante aplicándola diariamente. Pero ambos coincidieron en esto: Zero Trust es un viaje, no un proyecto de una sola vez.
“Terminarás con Zero Trust cuando hayas terminado de respirar”, bromeó John. “Esta es una estrategia para el largo plazo”.
Para los líderes de seguridad que buscan construir una base más resistente, Zero Trust ofrece un camino comprobado hacia adelante. Comienza con la estrategia, escala con la alineación del negocio y tiene éxito a través de la visibilidad, el contexto y el control.
Más información sobre cómo más Clientes de Illumio están poniendo Zero Trust en acción en sus organizaciones, o contáctenos hoy para conversar con uno de nuestros expertos Zero Trust.