Zero Trust: es su momento
Si bien no es un modelo de ciberseguridad actual, es ahora, con la llegada e implantación del teletrabajo, cuando Zero Trust se ha desplegado en muchas empresas a nivel global. Y es que, la merma de la confianza en los modelos “tradicionales” de seguridad lo convierte en la mejor manera de deshumanizar la ciberseguridad.
Pocos dudan de que Zero Trust es el estándar del nuevo paradigma de seguridad. Incluso, José de la Cruz, director técnico de Trend Micro Iberia, no duda en calificarlo como “la mejor noticia acontecida en el ámbito de ciberseguridad en los últimos años”.
¿Por qué?
Porque el paradigma de la seguridad ha cambiado. Con la adopción de nubes públicas y privadas, y el rápido aumento de dispositivos móviles, el perímetro de la red corporativa actual se ha redefinido por completo. “Las fronteras están cada vez más difusas, ya que los trabajadores remotos con teléfonos móviles personales, tabletas, ordenadores portátiles etc., solicitan cada vez más acceso a los recursos y aplicaciones de TI corporativos desde este tipo de dispositivos móviles. Esta nueva tendencia BYOD, puede exponer a las empresas a malware y piratas informáticos si los dispositivos de los empleados no cumplen con las políticas de seguridad BYOD corporativas”, explica Sergio Martínez, country manager de SonicWall Iberia.
En consecuencia, y a medida que las organizaciones continúan alejándose del entorno local tradicional y acercándose a esta nueva realidad, sus soluciones de ciberseguridad heredadas no han podido mantenerse al día, creando una complejidad inmanejable y mayores oportunidades para los ciberdelincuentes. “Esto ha llevado a un aumento en el uso de arquitecturas de seguridad Zero Trust, aumentando el perímetro de seguridad allá donde estén los trabajadores, independientemente de si un usuario está dentro o fuera del perímetro. Así, más que nunca es necesario redefinir quién puede acceder y a qué”, prosigue este especialista.
Qué es Zero Trust
Zero Trust no es realmente una tecnología o una solución puntual. y ciertamente no es un “estándar”. “La mejor manera de describirlo es como el objetivo de las políticas o un modelo de seguridad que puede implementarse de varias maneras y puede aplicarse selectivamente a casos de uso, usuarios o escenarios específicos dentro de una organización”, reconoce Gary Kinghorn, Senior director y Product marketing de Nozomi Network. En opinión de este experto, es más exacto que cada compañía considere el Zero Trust como un objetivo estratégico y ponga en marcha un plan de implementación dónde y cuándo tenga sentido dentro de sus infraestructuras y operaciones más críticas. “En última instancia —apostilla—, habrá muchas directrices gubernamentales o industriales que rozarán los mandatos para desplegar arquitecturas Zero Trust para infraestructuras o industrias críticas específicas, pero lo que hemos visto hasta ahora no es específico de ninguna tecnología en particular y solo aborda ciertos protocolos y aplicaciones que no son una arquitectura Zero Trust completa”.
Aunque, más que un estándar, “lo llamaría “enfoque de seguridad”, ya que está basado en el principio de “nunca confíes, siempre verifica”, garantizando que se verifique la identidad de cada usuario, que se validen sus dispositivos y que su acceso sea inteligentemente limitado a lo que necesitan, y modificado cuando no lo necesitan. Definitivamente, debe ser un enfoque adoptado por todos en seguridad, pero al no ser una solución específica o tecnología, sino algo más completo y complejo, se ha ido adoptando muy poco a poco”, admite, a su vez, Karina Rojas, directora de Canal de CyberArk para España y Portugal.
No es tan nuevo
Ahora ¿es un modelo nuevo? Desde luego que no. Josep Albors, director de investigación y concienciación ESET España, reconoce que “el enfoque Zero Trust lleva varios años entre nosotros, aunque no ha sido hasta hace relativamente poco que se ha empezado a implementar. Se trata de un enfoque que ayuda a mejorar la seguridad pero que, por sí solo, no puede ser considerado un estándar ya que consideramos que la seguridad se debe fomentar en base a diferentes capas, donde el enfoque Zero Trust es sólo una de ellas”.
Tanto es así, que no ha sido prácticamente hasta los últimos seis meses cuando hemos visto un mayor interés en conversaciones con clientes y prospectos de varias industrias. Eso hace que muchas organizaciones hayan empezado a trabajar en su implementación, pero aún se encuentran al inicio de este viaje.
Vesku Turtia, director Regional de Armis para Iberia, dice que, hasta hace poco, las implementaciones de Zero Trust se han centrado en usuarios y dispositivos de TI tradicionales tales como ordenadores, portátiles y servidores. “Pero, en la mayoría de los entornos empresariales, las redes corporativas consisten en la suma de varios segmentos de red interconectados, infraestructura y servicios basados en la nube, conexiones a ambientes remotos, y cada vez más conexiones no convencionales, como a los dispositivos conectados y IoT. La implementación de una arquitectura de confianza cero que incluya tanto dispositivos gestionados como no gestionados requiere un alto nivel de visibilidad y seguridad que muchas empresas no consiguen con las herramientas actuales. Por ese motivo no han desplegado el modelo en todos sus entornos”.
Puede leer aquí el reportaje completo.
