Zero Trust ¿Sabemos realmente qué es?

Aitor de la Pinta, Cybersecurity Presales Engineer en Omega Peripherals

La crisis del coronavirus trajo consigo una aceleración digital que llevó a que el teletrabajo pasase de ser algo escaso a ser el modelo de trabajo predominante, además de la transición progresiva que ya se venía haciendo de las aplicaciones empresariales al entorno cloud. La infraestructura de las empresas cambió por completo de la noche a la mañana. Mientras que antes todos los recursos y activos de la empresa estaban situados en una zona interna delimitada por el característico perímetro, tras la pandemia todo ha pasado a poder estar en cualquier parte, lo que supone la desaparición de ese perímetro y una expansión importante del entorno de ataque.

El hecho de que tanto los usuarios como las aplicaciones se vayan fuera de la empresa deja desfasada la estrategia de seguridad que se venía implantando hasta ahora; aquí es donde entra Zero Trust (ZT).

¿Qué es Zero Trust?

La seguridad de las empresas ha funcionado tradicionalmente de la siguiente manera: Se cuenta con una red interna, donde todo es confiable porque son recursos corporativos, junto a un sistema de seguridad perimetral que intenta que los atacantes no entren en nuestra organización. En definitiva, la seguridad de las empresas estaba orientada a la prevención creyendo que de esta manera se podía evitar el ataque

No obstante, la cruda realidad es que por mucho que tratemos de prevenir, antes o después van a atacar nuestra empresa. Según un estudio realizado por Cybint Solutions, el 64% de las organizaciones a nivel mundial han experimentado al menos una forma de ciberataque en los últimos 12 años, y el 43% de los ataques han tenido como foco a empresas de menos de 500 trabajadores.

Zero Trust es un cambio de paradigma en la manera de entender la ciberseguridad. Es una filosofía que consiste en asumir que ya ha habido una brecha, que el atacante está en nuestra red y que no hay diferencias a nivel de confianza entre el entorno empresarial y el no empresarial. Porque la pregunta que nos tenemos que hacer no es cómo vamos a evitar un ataque, si no cómo va a reaccionar nuestra infraestructura ante ese ataque inevitable.

Normalmente un atacante entra en un equipo vulnerable y de ahí se va moviendo lateralmente para llegar al punto donde están los datos que le interesan. Es en ese primer movimiento donde tenemos que detectar y anular la intrusión. De esto se va a encargar la arquitectura de Zero Trust, aplicando los principios básicos de la estrategia que son la verificación explicita y continua, el acceso de mínimos privilegios y la asunción de la brecha.

“Zero Trust no es un producto. Es una estrategia de empresa a largo plazo, que requiere de estudios detallados y despliegues controlados”, Aitor de la Pinta, Cybersecurity Presales Engineer en Omega Peripherals.

Hay que tener algo claro: Zero Trust no es un producto, no es algo que se pueda comprar e implementar de un día para otro, y cualquiera que intente vendernos eso nos está engañando. Zero Trust es una estrategia de empresa a largo plazo, que requiere de estudios detallados y despliegues controlados.

Todos los fabricantes del ecosistema hablan de Zero Trust, pero no todos ellos tienen el conjunto de herramientas necesarias para implementar una arquitectura de este tipo, lo que está llevando a generar una gran confusión entre los clientes que terminan creyendo que por tener un producto con funcionalidades Zero Trust ya están en una red de confianza cero.

El informe realizado por Fortinet sobre la implementación de Zero Trust es bastante revelador. El 84% de las organizaciones consultadas afirman estar en vías de implementar una estrategia de confianza cero o estar ya de lleno en su implantación, incluso el 40% dice tener la infraestructura completamente desplegada y en funcionamiento. Pero la realidad llega cuando el 59% de estas empresas confiesan no tener herramientas o habilidades para autenticar usuarios y dispositivos de forma continua, lo cual es clave en una arquitectura de Zero Trust.

Esto demuestra que, aunque ha aumentado la concienciación, se tiene una percepción errónea de lo que realmente significa adoptar una estrategia de confianza cero. Por este motivo los partners tecnológicos tenemos que ayudar a nuestros clientes a entender esta estrategia que van a adoptar antes o después y acompañarlos en esa transformación que no va a ser ni fácil ni rápida.

Es posible que nunca logremos una red 100% Zero Trust, pero hay que ir dando pasos hacia ello incluyendo elementos clave como el registro y análisis de todos los activos de la organización, una robusta gestión de identidades, control de dispositivos mediante NAC, protección de endpoint basada en EDR/XDR o acceso remoto seguro dejando de lado las VPNs y centrándonos en la verificación continua que proporciona ZTNA, una de las funcionalidades integradas en la estrategia de Zero Trust que viene a revolucionar el acceso a los recursos y de la que os hablaremos próximamente.

Así, Zero Trust marca el inicio de una nueva era para la ciberseguridad, donde partners y clientes tenemos el reto de remendar errores pasados y construir una arquitectura de seguridad de manera ordenada, facilitando la gestión centralizada y desde el punto de vista de la confianza cero.

Compartir:

También podría gustarte:

Premio DCM 2024: Proyecto de PDUs de racks inteligentes en el nuevo CPD de Banco Sabadell

Ha sido todo un honor ser premiados en los Awards DCM 2024, los galardones anuales de la revista Data Center Market, por el proyecto de ‘Mejora de la alta disponibilidad y securización de las conexiones eléctricas’ que hemos desplegado en el nuevo centro de datos de Banco Sabadell en Madrid. Os explicamos en qué ha consistido […]

GARSA externaliza en Omega Peripherals el soporte CAU y de aplicaciones para 13 sedes y más de 1.000 usuarios

Omega Peripherals es responsable del soporte CAU (Centro de Atención de Usuarios) y de aplicaciones en remoto de Gestores Administrativos Reunidos, S.A. (GARSA), empresa española especializada en servicios BPO (Business Process Outsourcing) para múltiples sectores. Se trata de una extensión de su departamento de IT, que ahora puede centrar sus esfuerzos en proyectos de valor para responder con innovación y eficiencia a las demandas de su mercado […]

Contacta con nosotros