/
Segmentación de confianza cero

Cero confianza en la práctica con el creador John Kindervag y el CISO Jared Nussbaum

¿Qué sucede cuando la mente detrás de Zero Trust se sienta cara a cara con alguien poniéndola a prueba todos los días?

Eso es exactamente lo que Illumio trajo a la etapa RSAC 2025: una rara conversación sin guión entre John Kindervag, el creador de Zero Trust y el evangelista jefe de Illumino, y Jared Nussbaum, CISO de Ares Management y un practicante experimentado que ha vivido el viaje de Zero Trust desde adentro.

John presentó el modelo hace 15 años. Jared lleva décadas ayudando a las empresas globales a adoptarlo, adaptarlo y recuperarse de brechas del mundo real. Juntos, desempaquetaron dónde comenzó Zero Trust, cómo ha evolucionado y qué se necesita para que funcione en el panorama actual de amenazas.

Aquí hay seis ideas clave de su conversación que todo líder de seguridad debería tomar en cuenta.

1. La confianza cero es una estrategia, no un producto

Si bien muchos proveedores intentan empaquetar Cero Confianza como herramienta, esto no es exacto. Es un cambio estratégico en la forma en que pensamos sobre la seguridad de los entornos digitales.

Durante su conversación, John fue claro: “La confianza cero es ante todo una estrategia. Es algo que haces, no algo que compras”.

Jared, hablando desde la perspectiva del CISO, estuvo de acuerdo. “Cualquier cosa que me ayude a obtener visibilidad y reduzca el riesgo es una victoria”, dijo.

Pero agregó que Zero Trust tiene que comenzar con una mentalidad y una estrategia alineada con los resultados del negocio. Antes de lanzarse a las herramientas o entornos, los equipos de seguridad deben comprender lo que están protegiendo y por qué. Esto garantiza que el gasto en seguridad se priorice adecuadamente y pueda obtener una fuerte aceptación de la junta directiva.

“La confianza cero es ante todo una estrategia. Es algo que haces, no algo que compras”.

— John Kindervag, creador de Zero Trust

2. La microsegmentación es fundamental

Para John, segmentación es fundamental para Zero Trust. De hecho, el segundo informe jamás escrito en Zero Trust fue uno que John escribió hace 15 años, Construya la seguridad en el ADN de su red: la arquitectura de red Zero Trust.

En el informe, destacó la importancia de la segmentación y la administración centralizada como componentes clave de Zero Trust. Pidió crear nuevas formas de segmentar redes, porque todas ellas necesitarán ser segmentadas.

Extracto de Forrester's Construya la seguridad en el ADN de su red: la arquitectura de red Zero Trust

En la conversación, John enfatizó que las redes actuales deben segmentarse por defecto para evitar que los atacantes se muevan lateralmente una vez que obtienen acceso. “Los atacantes son los dueños, y tú pagas las cuentas”, dijo. “La segmentación es la base de Zero Trust”.

Jared ilustró el impacto de las redes no segmentadas con el ejemplo del Infracción del objetivo de 2013. Los atacantes obtuvieron acceso a través de un proveedor externo de HVAC y se trasladaron a los sistemas de punto de venta porque no estaban establecidos los límites adecuados.

“La segmentación hecha con fuertes límites de seguridad te da visibilidad y control”, dijo. “No puedes evitar que todos los atacante se metan, pero puedes evitar que se acerquen mucho”.

3. Comience poco a poco con Zero Trust

Uno de los mayores errores que John ve es que los equipos intentan implementar Zero Trust en toda una organización a la vez.

“La gente falla en Zero Trust porque trata de hacerlo todo de una vez”, explicó. “Tienes que comenzar poco a poco, una superficie de protección a la vez”.

Su conocido Metodología Zero Trust de cinco pasos hace hincapié en entornos de construcción adaptados, manejables y sostenibles:

  • Defina la superficie de protección. Identificar lo que necesita protección, entendiendo que la superficie de ataque está en constante evolución.
  • Mapear los flujos de transacciones. Obtenga visibilidad de los flujos de comunicación y tráfico para determinar dónde son necesarios los controles de seguridad.
  • Diseñe el entorno Zero Trust. Una vez que se logre una visibilidad completa, implemente controles personalizados para cada superficie de protección.
  • Crear políticas de seguridad de confianza cero. Desarrolle reglas granulares que permitan el acceso del tráfico a los recursos dentro de la superficie de protección.
  • Monitorear y mantener la red. Establecer un bucle de retroalimentación a través de telemetría, mejorando continuamente la seguridad y construyendo un sistema resistente y antifrágil.

Nussbaum ha visto pasar lo mismo en la práctica. “Las empresas luchan con Zero Trust cuando asumen demasiado a la vez”, dijo. “Si comienza poco a poco, se alinea con las partes interesadas de su negocio y construye de manera incremental, la confianza cero se vuelve alcanzable”.

Destacó la importancia de comprender el medio ambiente, definir metas claras y entregar valor temprano para generar impulso. De lo contrario, advierte que los proyectos Zero Trust pueden desmoronarse rápidamente y hacer retroceder la postura de seguridad de una organización.

4. La identidad no es suficiente

Si bien la identidad a menudo ocupa un lugar central en las conversaciones de Zero Trust, John ha estado desafiando esta noción desde el principio. “La identidad es solo una señal”, dijo. “Siempre es fungible. Se necesita más contexto para tomar buenas decisiones”.

En otras palabras, confiar únicamente en la identidad introduce riesgo. Esto se debe a que todavía es posible que una sesión sea secuestrada o que una identidad sea mal utilizada.

Jared reforzó la necesidad de mirar más allá de las credenciales de los usuarios. “Tienes que verificar continuamente el usuario, su dispositivo, dónde están trabajando, a qué están accediendo, y si tiene sentido”, detalló.

Señaló que no se trata solo de personas, tampoco. Las comunicaciones de carga de trabajo a carga de trabajo también deben verificarse y controlarse. “Sin un contexto completo, no se puede hacer cumplir una política efectiva”.

Herramientas de observabilidad de IA como Perspectivas de Illumio proporcionar el tipo de contexto profundo que exige la seguridad moderna. Le ayudan a obtener contexto en sus entornos para comprender el comportamiento, las anomalías superficiales y evaluar el riesgo en función de cómo se supone que deben funcionar las cosas en comparación con lo que realmente está sucediendo.

5. Enmarcar el riesgo cibernético en términos comerciales

John describió Zero Trust como “la gran estrategia de ciberseguridad”. Señaló su creciente adopción entre gobiernos y empresas por igual.

En particular, compartió cómo la estrategia resonó incluso con los líderes del Congreso después de la Violación de datos de OPM. Fue entonces cuando se identificó Zero Trust como el modelo que podría haber limitado el movimiento de los atacante y protegido la seguridad nacional.

Pero como señaló Jared, hablar de Zero Trust —o ciberseguridad en términos más generales— solo importa si lo enmarcamos en términos de riesgo empresarial.

“El riesgo cibernético contribuye al riesgo empresarial, pero no son lo mismo”, dijo. “A su placa no le importa el tiempo de permanencia o las cargas útiles de ransomware. Se preocupan por el downtime, la pérdida de ingresos, el impacto en el cliente y las consecuencias regulatorias”.

Para Jared, traducir las preocupaciones de seguridad en resultados del negocio es lo que impulsa la aceptación y hace que la seguridad sea exitosa en toda la organización.

“A su placa no le importa el tiempo de permanencia o las cargas útiles de ransomware. Se preocupan por el downtime, la pérdida de ingresos, el impacto en el cliente y las consecuencias regulatorias”.

— Jared Nussbaum, CISO de administración de Ares

6. Alinee Zero Trust con su entorno

Uno de los puntos más poderosos que John hizo durante la charla fue que cada entorno Zero Trust debe construirse para adaptarse a la organización.

“Cada ambiente es a medida”, dijo. “No se puede simplemente sacar una arquitectura de referencia del estante y esperar que funcione. Tienes que diseñarlo en base a tu superficie de protección y lo que el negocio necesita”.

Jared estuvo de acuerdo y destacó la importancia de la colaboración interfuncional.

“No se puede hacer Zero Trust en un silo”, explicó. “Necesita traer equipos de infraestructura, desarrolladores de aplicaciones, unidades de negocio, incluso la C-suite. Si no se alinea con sus prioridades y plazos, su programa no tendrá éxito”.

Enfatizó el valor de la comunicación continua, instando a los líderes de seguridad a “socializar sus planes temprano y con frecuencia, y adaptarlos en función de los comentarios del negocio”.

Incrustar Zero Trust en su estrategia

John Kindervag y Jared Nussbaum aportaron diferentes perspectivas a la etapa del RSAC —una como originadora de Zero Trust, y la otra como practicante aplicándola diariamente. Pero ambos coincidieron en esto: Zero Trust es un viaje, no un proyecto de una sola vez.

“Terminarás con Zero Trust cuando hayas terminado de respirar”, bromeó John. “Esta es una estrategia para el largo plazo”.

Para los líderes de seguridad que buscan construir una base más resistente, Zero Trust ofrece un camino comprobado hacia adelante. Comienza con la estrategia, escala con la alineación del negocio y tiene éxito a través de la visibilidad, el contexto y el control.

Más información sobre cómo más Clientes de Illumio están poniendo Zero Trust en acción en sus organizaciones, o contáctenos hoy para conversar con uno de nuestros expertos Zero Trust.

Temas relacionados

Artículos relacionados

Lo que las organizaciones sin fines de lucro están enseñando a la industria de ciberseguridad
Segmentación de confianza cero

Lo que las organizaciones sin fines de lucro están enseñando a la industria de ciberseguridad

Aprenda del experto en ciberseguridad sin fines de lucro, el Dr. Kelley Misata, sobre cómo las organizaciones impulsadas por la misión se acercan a la seguridad con empatía, propósito y una mentalidad de escuchar primero.

Implemente la confianza cero para evitar el costo agobiante del downtime
Segmentación de confianza cero

Implemente la confianza cero para evitar el costo agobiante del downtime

Este blog Explora cómo las estrategias Zero Trust pueden salvar a su organización del precio del tiempo que conlleva una brecha.

3 reglas de ciberseguridad por las que vive Sherrod DeGrippo de Microsoft y por qué usted también debería
Segmentación de confianza cero

3 reglas de ciberseguridad por las que vive Sherrod DeGrippo de Microsoft y por qué usted también debería

Obtenga información de Sherrod DeGrippo, Director de Estrategia de Inteligencia de Amenazas en Microsoft, sobre los tres mandamientos de ciberseguridad que ella cree que deberían guiar las decisiones y estrategias de cada líder cibernético.

3 pasos que los CISO deben tomar para demostrar el valor de la ciberseguridad
Ciberresiliencia

3 pasos que los CISO deben tomar para demostrar el valor de la ciberseguridad

Conozca el enfoque de seguridad basado en el valor que tendrá éxito en la sala de juntas y protegerá a su organización de las amenazas cibernéticas en evolución.

John Kindervag comparte la historia del origen de Zero Trust
Segmentación de confianza cero

John Kindervag comparte la historia del origen de Zero Trust

Conozca cómo John Kindervag comenzó con Zero Trust, sus primeras investigaciones sobre las mejores prácticas de Zero Trust y sus consejos para las organizaciones en su viaje de Zero Trust.

Más allá de la visibilidad: cómo Illumio Insights conecta sus puntos críticos de seguridad
Ciberresiliencia

Más allá de la visibilidad: cómo Illumio Insights conecta sus puntos críticos de seguridad

Descubra por qué la observabilidad es fundamental para comprender y reducir el riesgo cibernético.

Assume Breach.
Minimize Impact.
Increase Resilience.

Ready to learn more about Zero Trust Segmentation?