Desde hace algunos años, mantener datos y sistemas informáticos libres de amenazas resulta una quimera para las empresas. Los riesgos y ataques por parte de los ciberdelincuentes no han parado de crecer y ni siquiera aplicando medidas de seguridad estamos al 100 % libre de ellos. Por esta razón nació un nuevo paradigma en torno a la ciberseguridad denominado cono Zero Trust o confianza cero.

¿Quieres saber en qué consiste el Zero Trust, cuáles son los principios por los que se rige o cómo se está aplicando en la actualidad? Te lo explicamos todo a continuación.

¿Qué es Zero Trust?

Zero Trust un modelo de seguridad basado en la premisa de que no se puede confiar ciegamente en nadie y que cualquier punto de nuestro sistema de seguridad puede esconder un agujero de acceso indebido. Es decir, que en la actualidad lo mejor es tener “confianza cero” y evaluar constantemente cada una de las conexiones a nuestra red.

Actualmente, el perímetro de las redes informáticas es demasiado difuso debido a la gran cantidad de elementos que intervienen: dispositivos móviles como smartphones y tablets, accesos remotos a la red debido al auge del teletrabajo, uso de dispositivos propios, computación cloud o dispositivos IoT. El empleo de firewalls, VPN o gateways ha demostrado ser insuficiente, ya que los accesos indebidos e infecciones siguen aumentando año tras año.

El Zero Trust propone una serie de reglas para intentar cambiar esto. Por ejemplo, los usuarios tan solo deben tener acceso a los activos de la empresa que necesiten, ni más ni menos. Además, aquellos a quienes se le otorga acceso a la red, los datos y otros activos, deben autenticar su identidad continuamente.

“Zero Trust es un cambio radical de la manera en la que tradicionalmente se diseña el acceso a los recursos corporativos. Con el advenimiento de las nuevas arquitecturas híbridas, el modelo en el que el perímetro físico es únicamente un firewall ya no es escalable y los accesos a los recursos tanto en la premisa como en la nube no pueden ser validados estáticamente. Zero trust traslada los controles de acceso desde el perímetro de la red hacia los usuarios y sus dispositivos” según Antonio Hurtado, especialista de seguridad para Cisco Systems.

¿Cuáles son los principios de la Confianza Cero?

En la actualidad, el modelo de seguridad Zero Trust está acelerando su adopción por sus buenos resultados. La confianza cero está devolviendo el control y reforzando la seguridad de las organizaciones, que bajo este paradigma pueden proteger de forma efectiva el acceso a los datos y los recursos de la red. Los principios en los que se basa el modelo de confianza cero son los siguientes.

Limitar la cantidad de privilegios que se otorgan

Uno de los principios de Zero Trust consiste en reducir el número de privilegios de accesos que se otorga a los usuarios, sin afectar a la capacidad de estos para completar sus tareas. Solo se otorga acceso caso por caso a exactamente lo que se necesita y nada más. En caso de necesitar algún acceso extra, se realizará una solicitud cuando sea necesario.

No existe la confianza ciega y siempre hay que verificar

No se confía inherentemente en ninguna acción o usuario dentro de un modelo de seguridad Zero Trust. Cada nuevo ingreso a un sistema o solicitud de acceso a nuevos datos debe venir acompañado de alguna manera de autenticación que permita verificar la identidad del usuario.

A pesar de ello, también se debe priorizar la experiencia del usuario, creando un sistema de autentificación en el que se equilibre seguridad con comodidad. Un exceso de demanda de verificación de la identidad puede generar malestar y reducir la productividad de los empleados.

También se debe utilizar el aprendizaje automático con el objetivo de identificar los intentos de inicio de sesión que se desvían del comportamiento habitual de los usuarios.

Supervisión constante

Por último, el Zero Trust requiere una monitorización y una evaluación constante de las acciones de los usuarios, de su transferencia o modificación de datos o los cambios que se producen en la red. A pesar de llevar a cabo la limitación de privilegios o disponer de una autentificación segura, también debemos verificar una a una todas las acciones que los usuarios llevan a cabo dentro de la infraestructura de una compañía.

¿Qué ventajas aporta el Zero Trust a las empresas?

La implementación de un modelo Zero Trust en arquitecturas informáticas empresariales permite proteger las aplicaciones privadas, los datos confidenciales y los activos de las redes.

Gracias a ello es posible reducir drásticamente los accesos externos con intenciones maliciosas, así como evitar los accesos indebidos causados por el desconocimiento o los despistes de los usuarios internos. Asimismo, un modelo de seguridad basado en la confianza cero permite:

• Asegurar de forma eficiente el acceso de los usuarios remotos
• Crear un sistema de autentificación seguro y fuerte
• Implementar una gobernanza de datos y accesos eficaz
• Reducir el potencial incumplimiento de la ley de protección de datos
• Salvaguardar los datos de terceros
• Acelerar la transición a la nube, el teletrabajo y las soluciones móviles
• Generar un modelo de evaluación y auditoría constante

Todos estos puntos positivos que aporta el modelo Zero Trust permiten que los datos y las aplicaciones de las empresas estén más seguros. Se trata de un sistema flexible que evita el control máximo y la mano dura, mejorando así la satisfacción de los usuarios, a la par que se reducen de manera notable los riesgos de ciberseguridad más habituales.