Case Compañía de infraestructuras crítica

Implementación de Zero Trust en una compañía infraestructuras crítica holandesa

Renovación de la arquitectura de seguridad como primer paso hacia una estrategia global

El reto

El objetivo de nuestro cliente era implementar un marco de seguridad avanzado para proteger tanto la cadena de suministro como el entorno de TI. La seguridad perimetral tradicional está cada vez más desfasada, por lo que existía la ambición de establecer una estrategia Zero Trust. Cada punto de acceso y comunicación dentro de la infraestructura se verifica continuamente para asegurar los procesos sensibles y prevenir posibles brechas de seguridad. Al hacerlo, esta organización, al igual que el resto de la industria, se prepara para afrontar una legislación que se renovará radicalmente el próximo año. Actualmente están sujetos a legislación holandesa específica y pendientes de adaptarse a la Ley de Ciberseguridad (basada en la Directiva NIS2), por lo que necesitan imperiosamente intensificar sus esfuerzos en este punto, como muchas otras empresas críticas. Como muchas otras empresas críticas, necesitan intensificar sus esfuerzos. Naturalmente, Eraneos ha estado a la altura de este desafío de «nunca confiar, siempre verificar».

El enfoque

La organización buscó orientación para aplicar de manera efectiva los principios de Zero Trust dentro de su infraestructura de TI, centrándose en áreas clave como la gestión de identidades, la segmentación de la red y la seguridad de los endpoints. Eraneos fue seleccionada por su profesionalidad y su enfoque centrado en las personas.
Para adaptar Zero Trust a las características específicas de la organización, se llevaron a cabo talleres intensivos con los stakeholders internos, con el objetivo de definir qué significaba Zero Trust en su entorno operativo particular. Estas sesiones revelaron que existían diversas interpretaciones del concepto, lo que puso de manifiesto la importancia de establecer principios claros y sin ambigüedades.
Se desarrolló una estrategia Zero Trust personalizada, basada en un modelo de madurez ampliamente utilizado que desglosa el enfoque en seis áreas claves:

  1. Identidades: funciones y responsabilidades específicas combinadas con una autenticación estricta a través de la autenticación multifactor (MFA) para todos los usuarios.
  2. Endpoints: hacer que todos los dispositivos sean más resistentes y sacarlos de la red corporativa, de modo que el impacto sea limitado en caso de un incidente cibernético.
  3. Aplicaciones: aislar las aplicaciones para garantizar que cada una funcione de forma aislada, segura e independiente.
  4. Red: alejarse del modelo tradicional de firewalls adoptando la microsegmentación, en la que cada segmento de red se convierte en una entidad segura independiente.
  5. Infraestructura: reconfigurar los servidores y otros sistemas críticos en componentes seguros independientes.
  6. Datos: aplicar controles de acceso avanzados para garantizar que los empleados solo tengan acceso temporal o basado en funciones a elementos de datos específicos, en lugar de acceso completo a toda la información.

Este enfoque de Zero Trust o Confianza Cero pone un fuerte énfasis en la autenticación, donde ningún acceso, acción o dispositivo es de confianza por defecto, incluso dentro de la red interna de la empresa. Para gestionar este cambio, se trazó el estado actual de las prácticas de seguridad y se comparó con un estado objetivo con hitos específicos y evaluaciones continuas.

El modelo de Cero Trust se apoya además en la automatización. El enfoque tradicional requiere intervenciones manuales, pero los sistemas modernos automatizados responden inmediatamente a las amenazas. Esto minimiza el tiempo de inactividad y reduce significativamente el riesgo de interrupciones importantes en caso de un ciberataque..

El resultado

El marco de confianza cero permite a los clientes modernizar su postura de seguridad y reforzar las defensas. Las soluciones rápidas clave, como las medidas de seguridad dentro de la cadena de suministro y el refuerzo de los puntos finales individuales, se implementan pronto con una interrupción mínima de las operaciones en curso. Las acciones de mayor impacto, como la revisión completa de la arquitectura de la red, se planifican de forma escalonada, lo que permite a la empresa realizar la transición sin problemas y sin interrumpir la continuidad operativa. Dado que el marco se diseña junto con el cliente, no se queda en un mero plan.

Como resultado, la organización pronto estará operando con mucha más confianza en su seguridad, en línea con la próxima implementación de NIS2 que incluye requisitos más estrictos para la gestión de riesgos y la seguridad de infraestructuras críticas. Con los principios de Confianza Cero firmemente integrados en su estrategia, la empresa pronto podrá gestionar el riesgo de forma más eficaz y adaptarse más rápidamente a las amenazas futuras.

Aunque es un reto, ya se han dado los primeros pasos hacia una transición a Zero Trust. Se ha marcado el rumbo y ahora es el momento de la fase de implementación, lo que permitirá a esta organización internacional mantener su posición de liderazgo. Esta transformación garantiza que la seguridad tanto de la cadena de suministro como del entorno de TI reciban un apoyo óptimo, de acuerdo con los principios de Zero Trust.

Más customer stories

Let’s create sustainable change together.