EL MODELO ZERO TRUST: ¿QUÉ ES Y QUÉ VENTAJAS PROPORCIONA?
La seguridad de los datos se ha convertido en la piedra angular de la mayoría de las empresas. El incremento de ciberataques, el traspaso de cargas de trabajo a la nube o la implementación y generalización del trabajo en remoto ha hecho que cada vez se hable más sobre la seguridad Zero Trust.
Existes múltiples maneras de que los datos puedan verse vulnerados. En primer lugar, pueden ser objetivo tanto de amenazas internas como externas. Esto quiere decir que los ataques pueden producirse a través de malware o ransomware, pero también de agentes internos que se esconden detrás de cuentas aparentemente confiables.
Este tipo de agentes tienen un gran potencial para vulnerar la seguridad de una empresa, con solo un clic en un enlace de phishing o un ataque basado en técnicas de ingeniería social pueden convertirse en una amenaza importante. Del mismo modo, una configuración realizada de forma incorrecta o no actualizar debidamente las bases de datos puede suponer también un filón para que los ciberatacantes puedan entrar en los sistemas de una organización.
Ante un escenario con múltiples vectores de ataque, el modelo de seguridad Zero Trust consiste en asumir que la empresa va a ser atacada y que ningún dispositivo, usuario o sistema es de confianza por defecto. “Se basa en una arquitectura que se conforma a partir de cuatro pilares básicos: verificación del usuario, verificación del dispositivo, limitación del acceso a través de configuración de credenciales y capacidad analítica de aprender y adaptarse”, explica Pedro Martinez, director de Desarrollo de Negocio Sur Europa de Aruba en declaraciones para Silicon.es
De esta manera, “los usuarios carecen de privilegios ilimitados y sólo pueden acceder a la información necesaria para el desempeño de sus tareas”, detalla. Y esta es justo una de las claves sobre las que se asienta el modelo de Zero Trust: “propone establecer una política de privilegios de usuario donde éstos deben disponer de los mínimos e imprescindibles para desarrollar su actividad. Este principio aplica desde los servicios a los que el usuario puede conectar —aplicaciones corporativas, servidores de ficheros, navegación internet…— hasta los privilegios de los que dispone dentro de aplicaciones, servicios, etc.”, precisa De la Cruz.
Según el informe Cost of a Data Breach de 2021las organizaciones que cuentan con un programa de confianza cero tuvieron que hacer frente a unos costes por filtraciones de datos que promediaban los 5,04 millones de dólares. Sin embargo, las empresas con mayor experiencia en cuanto a confianza cero se enfrentaron a costes de 1,76 millones.
El documento pone de relieve la importancia del Zero Trust a la hora proteger los datos de una organización y mitigar los efectos de una filtración, pero actualmente solo el 35% de las empresas a nivel mundial han implementado este modelo.
Por ello es conveniente explicar y hacer énfasis en las ventajas que supone implementar un programa de confianza cero. La empresa estadounidense TechTarget considera que las ventajas más relevantes que reporta el Zero Trust son:
- Permite un mayor control y manejo del inventario exacto de los datos, activos, aplicaciones y servicios de la empresa (DAAS). Esto significa que el conocimiento de lo que se tiene y de cómo hay que actuar o ajustar la dinámica de operaciones es mucho mayor, ágil y efectivo.
- Implementa mejoras en la supervisión de la red, así como en el monitoreo de las operaciones. Combina el análisis de eventos y registros, lo que permite una mayor información a la hora de plantear soluciones y atajar las posibles amenazas.
- El manejo pormenorizado y escalado de la seguridad en la red basado en los datos, activos, aplicaciones y servicios de la empresa, permite tener una metodología más específica y evitar redundancias en las políticas de acceso.
- Los privilegios y seguridad se actualizan automáticamente. Con un esquema tradicional de seguridad, si los usuarios quieren movilizar información en una nueva ubicación es necesario cambiar de manera manual los privilegios.