Nueva investigación: Estudio del costo global del ransomware. Vea qué le están costando las infracciones.
Obtener el informe

¿Experimentó una violación?

|
Contáctenos
|
+1 855 426 3983
Blog
/
Segmentación de confianza cero

Cero confianza en la práctica con el creador John Kindervag y el CISO Jared Nussbaum

Brian Piper
,
Director of Customer Advocacy
June 3, 2025
23 min. lectura

¿Qué sucede cuando la mente detrás de Zero Trust se sienta cara a cara con alguien poniéndola a prueba todos los días?

Eso es exactamente lo que Illumio trajo a la etapa RSAC 2025: una rara conversación sin guión entre John Kindervag, el creador de Zero Trust y el evangelista jefe de Illumino, y Jared Nussbaum, CISO de Ares Management y un practicante experimentado que ha vivido el viaje de Zero Trust desde adentro.

John presentó el modelo hace 15 años. Jared lleva décadas ayudando a las empresas globales a adoptarlo, adaptarlo y recuperarse de brechas del mundo real. Juntos, desempaquetaron dónde comenzó Zero Trust, cómo ha evolucionado y qué se necesita para que funcione en el panorama actual de amenazas.

Aquí hay seis ideas clave de su conversación que todo líder de seguridad debería tomar en cuenta.

1. La confianza cero es una estrategia, no un producto

Si bien muchos proveedores intentan empaquetar Cero Confianza como herramienta, esto no es exacto. Es un cambio estratégico en la forma en que pensamos sobre la seguridad de los entornos digitales.

Durante su conversación, John fue claro: “La confianza cero es ante todo una estrategia. Es algo que haces, no algo que compras”.

Jared, hablando desde la perspectiva del CISO, estuvo de acuerdo. “Cualquier cosa que me ayude a obtener visibilidad y reduzca el riesgo es una victoria”, dijo.

Pero agregó que Zero Trust tiene que comenzar con una mentalidad y una estrategia alineada con los resultados del negocio. Antes de lanzarse a las herramientas o entornos, los equipos de seguridad deben comprender lo que están protegiendo y por qué. Esto garantiza que el gasto en seguridad se priorice adecuadamente y pueda obtener una fuerte aceptación de la junta directiva.

“La confianza cero es ante todo una estrategia. Es algo que haces, no algo que compras”.

— John Kindervag, creador de Zero Trust

2. La microsegmentación es fundamental

Para John, segmentación es fundamental para Zero Trust. De hecho, el segundo informe jamás escrito en Zero Trust fue uno que John escribió hace 15 años, Construya la seguridad en el ADN de su red: la arquitectura de red Zero Trust.

En el informe, destacó la importancia de la segmentación y la administración centralizada como componentes clave de Zero Trust. Pidió crear nuevas formas de segmentar redes, porque todas ellas necesitarán ser segmentadas.

Extracto de Forrester's Construya la seguridad en el ADN de su red: la arquitectura de red Zero Trust

En la conversación, John enfatizó que las redes actuales deben segmentarse por defecto para evitar que los atacantes se muevan lateralmente una vez que obtienen acceso. “Los atacantes son los dueños, y tú pagas las cuentas”, dijo. “La segmentación es la base de Zero Trust”.

Jared ilustró el impacto de las redes no segmentadas con el ejemplo del Infracción del objetivo de 2013. Los atacantes obtuvieron acceso a través de un proveedor externo de HVAC y se trasladaron a los sistemas de punto de venta porque no estaban establecidos los límites adecuados.

“La segmentación hecha con fuertes límites de seguridad te da visibilidad y control”, dijo. “No puedes evitar que todos los atacante se metan, pero puedes evitar que se acerquen mucho”.

3. Comience poco a poco con Zero Trust

Uno de los mayores errores que John ve es que los equipos intentan implementar Zero Trust en toda una organización a la vez.

“La gente falla en Zero Trust porque trata de hacerlo todo de una vez”, explicó. “Tienes que comenzar poco a poco, una superficie de protección a la vez”.

Su conocido Metodología Zero Trust de cinco pasos hace hincapié en entornos de construcción adaptados, manejables y sostenibles:

  • Defina la superficie de protección. Identificar lo que necesita protección, entendiendo que la superficie de ataque está en constante evolución.
  • Mapear los flujos de transacciones. Obtenga visibilidad de los flujos de comunicación y tráfico para determinar dónde son necesarios los controles de seguridad.
  • Diseñe el entorno Zero Trust. Una vez que se logre una visibilidad completa, implemente controles personalizados para cada superficie de protección.
  • Crear políticas de seguridad de confianza cero. Desarrolle reglas granulares que permitan el acceso del tráfico a los recursos dentro de la superficie de protección.
  • Monitorear y mantener la red. Establecer un bucle de retroalimentación a través de telemetría, mejorando continuamente la seguridad y construyendo un sistema resistente y antifrágil.

Nussbaum ha visto pasar lo mismo en la práctica. “Las empresas luchan con Zero Trust cuando asumen demasiado a la vez”, dijo. “Si comienza poco a poco, se alinea con las partes interesadas de su negocio y construye de manera incremental, la confianza cero se vuelve alcanzable”.

Destacó la importancia de comprender el medio ambiente, definir metas claras y entregar valor temprano para generar impulso. De lo contrario, advierte que los proyectos Zero Trust pueden desmoronarse rápidamente y hacer retroceder la postura de seguridad de una organización.

4. La identidad no es suficiente

Si bien la identidad a menudo ocupa un lugar central en las conversaciones de Zero Trust, John ha estado desafiando esta noción desde el principio. “La identidad es solo una señal”, dijo. “Siempre es fungible. Se necesita más contexto para tomar buenas decisiones”.

En otras palabras, confiar únicamente en la identidad introduce riesgo. Esto se debe a que todavía es posible que una sesión sea secuestrada o que una identidad sea mal utilizada.

Jared reforzó la necesidad de mirar más allá de las credenciales de los usuarios. “Tienes que verificar continuamente el usuario, su dispositivo, dónde están trabajando, a qué están accediendo, y si tiene sentido”, detalló.

Señaló que no se trata solo de personas, tampoco. Las comunicaciones de carga de trabajo a carga de trabajo también deben verificarse y controlarse. “Sin un contexto completo, no se puede hacer cumplir una política efectiva”.

Herramientas de observabilidad de IA como Perspectivas de Illumio proporcionar el tipo de contexto profundo que exige la seguridad moderna. Le ayudan a obtener contexto en sus entornos para comprender el comportamiento, las anomalías superficiales y evaluar el riesgo en función de cómo se supone que deben funcionar las cosas en comparación con lo que realmente está sucediendo.

5. Enmarcar el riesgo cibernético en términos comerciales

John describió Zero Trust como “la gran estrategia de ciberseguridad”. Señaló su creciente adopción entre gobiernos y empresas por igual.

En particular, compartió cómo la estrategia resonó incluso con los líderes del Congreso después de la Violación de datos de OPM. Fue entonces cuando se identificó Zero Trust como el modelo que podría haber limitado el movimiento de los atacante y protegido la seguridad nacional.

Pero como señaló Jared, hablar de Zero Trust —o ciberseguridad en términos más generales— solo importa si lo enmarcamos en términos de riesgo empresarial.

“El riesgo cibernético contribuye al riesgo empresarial, pero no son lo mismo”, dijo. “A su placa no le importa el tiempo de permanencia o las cargas útiles de ransomware. Se preocupan por el downtime, la pérdida de ingresos, el impacto en el cliente y las consecuencias regulatorias”.

Para Jared, traducir las preocupaciones de seguridad en resultados del negocio es lo que impulsa la aceptación y hace que la seguridad sea exitosa en toda la organización.

“A su placa no le importa el tiempo de permanencia o las cargas útiles de ransomware. Se preocupan por el downtime, la pérdida de ingresos, el impacto en el cliente y las consecuencias regulatorias”.

— Jared Nussbaum, CISO de administración de Ares

6. Alinee Zero Trust con su entorno

Uno de los puntos más poderosos que John hizo durante la charla fue que cada entorno Zero Trust debe construirse para adaptarse a la organización.

“Cada ambiente es a medida”, dijo. “No se puede simplemente sacar una arquitectura de referencia del estante y esperar que funcione. Tienes que diseñarlo en base a tu superficie de protección y lo que el negocio necesita”.

Jared estuvo de acuerdo y destacó la importancia de la colaboración interfuncional.

“No se puede hacer Zero Trust en un silo”, explicó. “Necesita traer equipos de infraestructura, desarrolladores de aplicaciones, unidades de negocio, incluso la C-suite. Si no se alinea con sus prioridades y plazos, su programa no tendrá éxito”.

Enfatizó el valor de la comunicación continua, instando a los líderes de seguridad a “socializar sus planes temprano y con frecuencia, y adaptarlos en función de los comentarios del negocio”.

Incrustar Zero Trust en su estrategia

John Kindervag y Jared Nussbaum aportaron diferentes perspectivas a la etapa del RSAC —una como originadora de Zero Trust, y la otra como practicante aplicándola diariamente. Pero ambos coincidieron en esto: Zero Trust es un viaje, no un proyecto de una sola vez.

“Terminarás con Zero Trust cuando hayas terminado de respirar”, bromeó John. “Esta es una estrategia para el largo plazo”.

Para los líderes de seguridad que buscan construir una base más resistente, Zero Trust ofrece un camino comprobado hacia adelante. Comienza con la estrategia, escala con la alineación del negocio y tiene éxito a través de la visibilidad, el contexto y el control.

Más información sobre cómo más Clientes de Illumio están poniendo Zero Trust en acción en sus organizaciones, o contáctenos hoy para conversar con uno de nuestros expertos Zero Trust.

Temas relacionados

Segmentación de confianza cero

Artículos relacionados

Por qué una estrategia de confianza cero requiere tanto ZTS como ZTNA
Segmentación de confianza cero

Por qué una estrategia de confianza cero requiere tanto ZTS como ZTNA

Obtenga los mejores conocimientos de expertos sobre la creación de un marco de confianza cero utilizando Zero Trust Network Access (ZTNA) y Zero Trust Segmentation (ZTS).

Leer más
6 perspectivas de confianza cero de Stephen Coraggio y Greg Tkaczyk de IBM Security
Segmentación de confianza cero

6 perspectivas de confianza cero de Stephen Coraggio y Greg Tkaczyk de IBM Security

Escuche cómo Stephen Coraggio y Greg Tkaczyk están ayudando a los clientes de IBM Security a aplicar estos componentes centrales de Zero Trust en toda su red para crear reducción de riesgos y mejorar la resiliencia cibernética.

Leer más
Obtenga un ROI confiable con la segmentación de confianza cero de Illumio
Segmentación de confianza cero

Obtenga un ROI confiable con la segmentación de confianza cero de Illumio

Las redes híbridas e hiperconectadas de hoy en día han hecho que la prevención por sí sola sea ineficaz, la contención Zero Trust ofrece mejores soluciones de retorno de la inversión del call center.

Leer más
3 pasos que los CISO deben tomar para demostrar el valor de la ciberseguridad
Ciberresiliencia

3 pasos que los CISO deben tomar para demostrar el valor de la ciberseguridad

Conozca el enfoque de seguridad basado en el valor que tendrá éxito en la sala de juntas y protegerá a su organización de las amenazas cibernéticas en evolución.

Leer más
John Kindervag comparte la historia del origen de Zero Trust
Segmentación de confianza cero

John Kindervag comparte la historia del origen de Zero Trust

Conozca cómo John Kindervag comenzó con Zero Trust, sus primeras investigaciones sobre las mejores prácticas de Zero Trust y sus consejos para las organizaciones en su viaje de Zero Trust.

Leer más
Más allá de la visibilidad: cómo Illumio Insights conecta sus puntos críticos de seguridad
Ciberresiliencia

Más allá de la visibilidad: cómo Illumio Insights conecta sus puntos críticos de seguridad

Descubra por qué la observabilidad es fundamental para comprender y reducir el riesgo cibernético.

Leer más

Assume Breach.
Minimize Impact.
Increase Resilience.

Ready to learn more about Zero Trust Segmentation?

Más información