En un entorno digital poblado de amenazas cibernéticas, surge un modelo de ciberseguridad denominado “Zero Trust”; dicho literalmente, que aboga por la "Confianza Cero".
Basada en la premisa "nunca confiar, siempre verificar", “Zero Trust” es una arquitectura que protege de manera específica y especialmente controlada cada recurso de la organización.
Porque el principio básico de esta estrategia de seguridad radica en que no se debe confiar de manera predeterminada en nadie, dentro o fuera de la red, sea usuario, aplicación, sistema, servicio o dispositivo. Ni siquiera en aquellos casos en los que están conectados a una red autorizada (como una LAN corporativa) o han sido verificados previamente; siempre se debe comprobar su identidad y su intencionalidad de manera actualizada, detallada y específica.
Fue Stephen Paul Marsh quien, en su tesis doctoral, acuñó el término "Confianza Cero", ya en 1994. Aunque en la práctica no se desarrolló como tal de manera explícita hasta 2010, cuando el analista John Kindervag, de Forrester Research, lo utilizó para programas y controles de acceso más estrictos dentro de las empresas.
Ahora, con la creciente complejidad y disparidad de las redes, los entornos híbridos, el auge de las soluciones en la nube y la proliferación de dispositivos móviles, cuando el término "Confianza Cero" está de plena actualidad.
Cómo funciona una arquitectura “Zero Trust”
Los dos grandes principios que rigen un modelo de red “Zero Trust” son la verificación explícita y el uso de los mínimos privilegios.
Una arquitectura de “Confianza Cero” (ZTA) valida la conformidad del dispositivo antes de otorgar cualquier acceso y se basa en la autenticación mutua.
En ella, los usuarios se conectan directamente a las aplicaciones o recursos que necesitan y nunca a las redes. Esto evita la fácil propagación de, por ejemplo, virus informáticos.
Por un lado, registra, inspecciona, controla y limita todo el tráfico de la red; y, por otro, verifica y protege los recursos empresariales, ya que, por defecto, estos son inaccesibles. Es lo que se denomina "mínimos privilegios": sólo se puede acceder de manera limitada, en las circunstancias establecidas y para un fin validado y comprobado.
Ventajas de contar con un modelo “Zero Trust” en vuestra empresa
La arquitectura de “Confianza Cero” comenzó utilizándose en áreas o departamentos específicos de una organización; aquellos que resultaban críticas para el desarrollo de la actividad o cuyos datos necesitaban de especial seguridad y protección.
Pero, actualmente, se utiliza ya en el conjunto de la empresa, lo cual optimiza su seguridad y sus capacidades de manera global. De hecho, se recomienda a cada empresa que defina sus prioridades y armonice sus políticas de acceso de manera coordinada y con un enfoque integral.
La seguridad y la optimización de recursos son las grandes ventajas de la implantación de una arquitectura “Zero Trust” en una organización.
Una arquitectura de este tipo reduce el ciberriesgo delimitando (y eliminando) la superficie de ataque posible. De esta manera, se incrementa la seguridad en el acceso a internet y se cuenta con una estrategia de seguridad más eficiente frente a todo tipo de ciberamenazas, además de contar con datos reales sobre la actividad de seguridad de vuestra empresa.
Con la seguridad bajo control, una arquitectura “Zero Trust” permite mejorar el rendimiento de aplicaciones y equipos, fundamentalmente porque se optimiza el tráfico en subredes. Así que no solo protege el acceso a la red corporativa, sino que favorece la gestión eficiente y segura de cada recurso, técnico y humano.
Uno de sus grandes valores es la protección integral de datos, un activo fundamental en toda empresa. La propia autenticación gira en torno a ellos; lo común es aplicar políticas basadas en los atributos de los datos, en función del usuario o del entorno.
Consejos para implantar una arquitectura “Zero Trust”
Hay diversas formas de implantar una arquitectura “Zero Trust”, en función del tamaño, sector, objetivos...
Cada empresa debe elegir la más apropiada para ella, teniendo siempre en cuenta cuestiones como las siguientes:
-
Diseñar una hoja de ruta a seguir.
-
Definir si se quiere proteger de manera especial alguna información, servicio o área o si es de aplicación para el conjunto de la empresa; es decir, definir la superficie de protección.
-
Definir y catalogar todos los activos, dispositivos y datos.
-
Identificación de transacciones de datos.
-
Análisis de contexto.
-
Hacer seguimiento. La supervisión y la evaluación deben ser constantes.
-
Disponer los recursos necesarios.
-
Concienciar al conjunto de la organización.
-
Acordar Políticas de Control de Acceso.
-
Asignar roles, permisos y accesos.
-
Utilizar la microsegmentación para evitar desvíos de datos.
Hablamos, pues, de un modelo estratégico de ciberseguridad que puede ayudarnos a evitar ataques y vulnerabilidades, con las consiguientes pérdidas económicas, de datos, reputación o de confianza por parte de los usuarios.
En un contexto digital en el que la ciberseguridad resulta prioritaria, “Zero Trust” es una tendencia al alza y una buena opción para que vuestras empresas corran menos riesgos y pueden dedicar más recursos y esfuerzos a ganar competitividad en los mercados.
Si quieres saber más sobre nuestras soluciones tecnológicas para empresas, suscríbete a nuestro boletín o contacta con tu asesor personal o con nuestro equipo del área comercial empresas a través del siguiente formulario. Y para estar al día de las últimas noticias síguenos en LinkedIn.