La filosofía zero trust, que se diferencia de los modelos precedentes por su diseño en capas, propone que ninguna persona ni ningún dispositivo dentro o fuera de una red de una empresa pueda conectarse a sistemas o servicios de IT sin realizar antes una identificación robusta.
Confianza cero: la traducción literal de zero trust es bastante aproximada a lo que propone esta filosofía de ciberseguridad que se impone cada vez más. Concretamente, se basa en la filosofía de “nunca confiar, siempre verificar”: ningún usuario ni dispositivo puede acceder a datos, un sistema o un servicio de IT si no se autentica primero. Y cada vez que accede a una parte nueva de la red o a un nuevo dispositivo, se debe volver a comprobar su identidad.
En un contexto en el que los ataques cibernéticos se vuelven más sofisticados y complejos, las organizaciones necesitan revisar el gobierno de la seguridad en todos los niveles. Esto es precisamente lo que diferencia el enfoque zero trust de sus predecesores: se divide en una arquitectura por capas que refleja el viaje que suelen hacer los datos: la de identidad, la de endpoints (los dispositivos del usuario), la de aplicaciones, la de red, la de infraestructura y la de datos. Cada una de esas capas tiene sus controles de seguridad y cada vez que un dato viaja entre una capa y otra, se revisa de nuevo la identidad del usuario y los permisos de acceso al nuevo segmento, entorno o dispositivo.
Si bien este enfoque Zero Trust cobró notoriedad a partir de la masificación del uso de la nube y del trabajo colaborativo, muchos de sus principios aplican a los modelos on premise. De hecho, aquellas organizaciones que ya hayan puesto en marcha controles de seguridad maduros y guiados por normativas y buenas prácticas en las infraestructuras físicas internas de sus organizaciones pueden capitalizar las inversiones realizadas y el conocimiento acumulado en la transición hacia un modelo zero trust.
Y a la hora de adoptar el modelo, no todas lo harán con las mismas prioridades: una empresa con alta criticidad en sus datos y pocos usuarios seguramente se concentre en la seguridad de la capa de datos, mientras que otra en que la criticidad de los datos sea menor (por ejemplo, pocos datos personales o de salud) pero en la que trabajan miles de personas, probablemente considere más relevante la de identidad.
La adopción en Latinoamérica
En Latinoamérica, la madurez en la adopción de este modelo avanza, aunque aún queda un largo recorrido por delante. En un informe realizado de manera conjunta entre NTT DATA y Microsoft se detectó que el 88% ya conoce el modelo de zero trust, aunque el número de empresas que ya lo utiliza para el despliegue y uso de sus entornos de cloud se reduce de manera significativa: apenas lo hace un 50% (aún cuando un 54% considera que invertir en esta nueva filosofía es “muy crítico”).
Los mayores beneficios que perciben las empresas sobre este modelo son un mejor control sobre el entorno cloud (54%), una protección más adecuada de los datos de sus clientes (54%), mejores controles de permisos (42%) y mayor contención de los fallos de seguridad (38%).
¿Cuáles son los principales desafíos en el camino? La falta de talento específica en ciberseguridad, problemas de compatibilidad con sistemas legados y la falta de presupuesto.
Más allá de las cuestiones tecnológicas, las compañías que tienen en claro cuáles son los comportamientos ciberseguros que desean impulsar y que promuevan la formación de sus colaboradores para que sepan cómo protegerse de los diferentes tipos de ataque serán las que obtengan los mejores resultados. Porque el éxito en la implementación de zero trust depende en gran medida de una capa que habitualmente no se enumera con las anteriores: la cultural.