Nunha contorna dixital poboada de ameazas cibernéticas xorde un modelo de ciberseguridade denominado "Zero Trust"; dito literalmente, que avoga pola "Confianza Cero".
Baseada na premisa "nunca confiar, sempre verificar", "Zero Trust" é unha arquitectura que protexe de maneira específica e especialmente controlada cada recurso da organización.
Porque o principio básico desta estratexia de seguridade radica en que non se debe confiar de maneira predeterminada en ninguén, nin dentro nin fóra da rede, sexa usuario/a, aplicación, sistema, servizo ou dispositivo. Nin sequera naqueles casos nos que están conectados a unha rede autorizada (como unha LAN corporativa) ou foron verificados previamente; debe comprobarse sempre a súa identidade e a súa intencionalidade de maneira actualizada, detallada e específica.
Foi Stephen Paul Marsh quen, na súa tese doutoral, acuñou o termo "Confianza Cero", xa en 1994. Aínda que na práctica non se desenvolveu como tal de maneira explícita ata 2010, cando o analista John Kindervag, de Forrester Research, o utilizou para programas e controis de acceso máis estritos dentro das empresas.
Agora, coa crecente complexidade e disparidade das redes, as contornas híbridas, o auxe das solucións na nube e a proliferación de dispositivos móbiles, o termo "Confianza Cero" está de plena actualidade.
Como funciona unha arquitectura "Zero Trust"
Os dous grandes principios que rexen un modelo de rede "Zero Trust" son a verificación explícita e o uso dos mínimos privilexios.
Unha arquitectura de "Confianza Cero" (ZTA) valida a conformidade do dispositivo antes de outorgar calquera acceso e baséase na autenticación mutua.
Nela, os/as usuarios/as conéctanse directamente ás aplicacións ou recursos que necesitan e nunca ás redes. Isto evita a fácil propagación de, por exemplo, virus informáticos.
Por unha banda, rexistra, inspecciona, controla e limita todo o tráfico da rede; e, por outro, verifica e protexe os recursos empresariais xa que, por defecto, estes son inaccesibles. É o que se denomina "mínimos privilexios": só se pode acceder de maneira limitada, nas circunstancias establecidas e para un fin validado e comprobado.
Vantaxes de contar cun modelo "Zero Trust" na vosa empresa
A arquitectura de "Confianza Cero" comezou utilizándose en áreas ou departamentos específicos dunha organización; aqueles que resultaban críticos para o desenvolvemento da actividade ou cuxos datos necesitaban de especial seguridade e protección.
Pero actualmente utilízase xa no conxunto da empresa, o cal optimiza a súa seguridade e as súas capacidades de maneira global. De feito, recoméndase a cada empresa que defina as súas prioridades e harmonice as súas políticas de acceso de maneira coordinada e cun enfoque integral.
Seguridade e optimización de recursos: as grandes vantaxes dunha arquitectura "Zero Trust"
Unha arquitectura deste tipo reduce o ciberrisco delimitando (e eliminando) a superficie de ataque posible. Desta maneira, increméntase a seguridade no acceso a internet e cóntase cunha estratexia de seguridade máis eficiente fronte a todo tipo de ciberameazas, ademais de contar con datos reais sobre a actividade de seguridade da vosa empresa.
Coa seguridade baixo control, unha arquitectura "Zero Trust" permite mellorar o rendemento de aplicacións e equipos, fundamentalmente porque se optimiza o tráfico en subredes. Así que non só protexe o acceso á rede corporativa senón que favorece a xestión eficiente e segura de cada recurso, técnico e humano.
Un dos seus grandes valores é a protección integral de datos, un activo fundamental en toda empresa. A propia autenticación vira ao redor deles; o común é aplicar políticas baseadas nos atributos dos datos, en función do/a usuario/a ou da contorna.
Consellos para implantar unha arquitectura "Zero Trust"
Hai diversas formas de implantar unha arquitectura "Zero Trust", en función do tamaño, sector, obxectivos... Cada empresa debe elixir a máis apropiada para ela, tendo sempre en conta cuestións como as seguintes:
-
Deseñar unha folla de ruta.
-
Definir se se quere protexer de maneira especial algunha información, servizo ou área ou se é de aplicación para o conxunto da empresa; é dicir, definir a superficie de protección.
-
Definir e catalogar todos os activos, dispositivos e datos.
-
Identificar transaccións de datos.
-
Analizar contexto.
-
Facer seguimento. A supervisión e a avaliación deben ser constantes.
-
Dispoñer os recursos necesarios.
-
Concienciar o conxunto da organización.
-
Acordar Políticas de Control de Acceso.
-
Asignar roles, permisos e accesos.
-
Utilizar a microsegmentación para evitar desvíos de datos.
Falamos, pois, dun modelo estratéxico de ciberseguridade que pode axudarnos a evitar ataques e vulnerabilidades, coas consecuentes perdas económicas, de datos, reputación ou de confianza por parte dos/as usuarios/as.
Nun contexto dixital no que a ciberseguridade resulta prioritaria, "Zero Trust" é unha tendencia á alza e unha boa opción para que as vosas empresas corran menos riscos e lle poidan dedicar máis recursos e esforzos a gañar competitividade nos mercados.
Se queres saber máis sobre as nosas solucións tecnolóxicas para empresas, subscríbete ao noso boletín ou contacta co/coa teu/túa asesor/a persoal ou co noso equipo da área comercial empresas a través do seguinte formulario. E para estar ao día das últimas noticias síguenos en LinkedIn.