[17/11/2023] La Cloud Security Alliance (CSA) levantó el telón el miércoles sobre una nueva credencial y materiales de formación para permitir a los profesionales de la seguridad construir el conocimiento que necesitarán para implementar y gestionar una estrategia de confianza cero en sus organizaciones. "Desde los sistemas de control industrial hasta la computación en la nube y la inteligencia artificial generativa, el mundo de la tecnología omnipresente ha superado los modelos de seguridad heredados", sostuvo Jim Reavis, cofundador y CEO de CSA, en un comunicado. "Los principios de confianza cero 'nunca confíes, siempre verifica' son claramente el camino a seguir", continuó, "y anticipamos que prácticamente todas las organizaciones aplicarán esta estrategia a diversos entornos tecnológicos con el fin de proteger los activos estratégicos y evitar las brechas".
Según la CSA, el nuevo Certificado de Competencia en Confianza Cero (CCZT) proporcionará a su titular un conocimiento profundo de la arquitectura de confianza cero, sus componentes y su funcionamiento. También incluye las mejores prácticas fundamentales de confianza cero publicadas por fuentes autorizadas líderes como CISA y NIST, el trabajo innovador en torno al perímetro definido por software (SDP) de CSA Research y la orientación de expertos en confianza cero como John Kindervag, fundador de la filosofía de confianza cero.
Los certificados crean una base de conocimientos y competencias
Con el lanzamiento de su programa de certificación, la CSA se adentra en un terreno que se ha ido enturbiando con el tiempo. "La confianza cero es un concepto convincente que, si se aplica correctamente, aporta un gran valor de seguridad a las organizaciones que lo adoptan", afirmó Nick Edwards, vicepresidente de Menlo Security, una empresa de seguridad web basada en la confianza cero. "Por desgracia, como ocurre con muchas cosas en el sector tecnológico, la comunidad de vendedores exagera y abusa de los marcos de trabajo del sector, lo que provoca una dilución del valor y un escepticismo general hacia la idea original".
"Los certificados pueden ser una buena forma de crear una base de conocimientos y competencias que ayuden a las organizaciones a ejecutar correctamente la confianza cero y a centrarse en la 'señal' del 'ruido'", añadió Edwards.
El director senior de Seguridad y Gestión de Riesgos de Gartner, Wayne Hankins, está de acuerdo. "El paradigma de la ciberseguridad se ve a menudo oscurecido por los proveedores que presentan sus productos como soluciones únicas [de confianza cero]", sostuvo. "Para ejecutar su estrategia corporativa de confianza cero sin quedar atrapadas en el ruido de los vendedores, las organizaciones necesitarán la orientación de líderes de opinión experimentados".
Se necesitan más certificados de confianza cero
Puede que lleve algún tiempo, pero los programas de certificación influirán en la difusión de las estrategias de confianza cero. "Este programa de certificación no tendrá un impacto inmediato en la adopción de arquitecturas de confianza cero porque las inversiones en ciberseguridad no están alineadas con los incentivos corporativos actuales", anotó Shane Miller, investigador senior de la Iniciativa de Ciberestado del Atlantic Council. "Hay un cambio drástico y global en el horizonte, liderado por organizaciones como CISA en Estados Unidos, que comenzará a abordar esta desalineación".
"La confianza cero es un cambio de cultura corporativa y, como cualquier cambio de cultura, solo puede tener éxito si se comprenden y valoran los resultados", indicó Miller. "Todavía nos queda mucho por hacer en materia de educación y promoción de los principios y la arquitectura de confianza cero, e iniciativas como este programa de certificación hacen avanzar progresivamente a las partes interesadas. Necesitamos más programas como el Certificado de Competencia en Confianza Cero".
El bajo costo de la certificación la hace ideal para los emprendedores
La clave para el reconocimiento y la aceptación de esta credencial en todo el sector estará en la adopción por parte de las empresas, indicó Dean Webb, ingeniero de soluciones de Merlin Cyber, proveedor de soluciones de ciberseguridad, identidad y gestión de accesos. "A medida que las empresas añadan CCZT a su lista de certificaciones deseadas y requeridas, los profesionales de TI en general buscarán la certificación como puerta de acceso a futuras oportunidades. A medida que esto ocurra, las empresas adoptarán más prácticas de confianza cero simplemente porque tienen a mano el personal que las entiende y quiere verlas implantadas".
Webb alabó la decisión de la CSA de ofrecer gratuitamente en línea todo el material de formación para el CCZT. "El bajo costo total de la certificación la hace ideal para los autodidactas que tienen sus propios objetivos personales", indicó. "Las personas de otras áreas de TI que quieran introducirse en la seguridad harían bien en hacerse con ella".
Basado en el artículo de John Mello Jr (CSO) y editado por CIO Perú