Nunha contorna dixital poboada de ameazas cibernéticas xorde un modelo de ciberseguridade denominado "Zero Trust"; dito literalmente, que avoga pola "Confianza Cero".

Baseada na premisa "nunca confiar, sempre verificar", "Zero Trust" é unha arquitectura que protexe de maneira específica e especialmente controlada cada recurso da organización.

Porque o principio básico desta estratexia de seguridade radica en que non se debe confiar de maneira predeterminada en ninguén, nin dentro nin fóra da rede, sexa usuario/a, aplicación, sistema, servizo ou dispositivo. Nin sequera naqueles casos nos que están conectados a unha rede autorizada (como unha LAN corporativa) ou foron verificados previamente; debe comprobarse sempre a súa identidade e a súa intencionalidade de maneira actualizada, detallada e específica.

Foi Stephen Paul Marsh quen, na súa tese doutoral, acuñou o termo "Confianza Cero", xa en 1994. Aínda que na práctica non se desenvolveu como tal de maneira explícita ata 2010, cando o analista John Kindervag, de Forrester Research, o utilizou para programas e controis de acceso máis estritos dentro das empresas.

Agora, coa crecente complexidade e disparidade das redes, as contornas híbridas, o auxe das solucións na nube e a proliferación de dispositivos móbiles, o termo "Confianza Cero" está de plena actualidade.

Como funciona unha arquitectura "Zero Trust"

Os dous grandes principios que rexen un modelo de rede "Zero Trust" son a verificación explícita e o uso dos mínimos privilexios.

Unha arquitectura de "Confianza Cero" (ZTA) valida a conformidade do dispositivo antes de outorgar calquera acceso e baséase na autenticación mutua.

Nela, os/as usuarios/as conéctanse directamente ás aplicacións ou recursos que necesitan e nunca ás redes. Isto evita a fácil propagación de, por exemplo, virus informáticos.

Por unha banda, rexistra, inspecciona, controla e limita todo o tráfico da rede; e, por outro, verifica e protexe os recursos empresariais xa que, por defecto, estes son inaccesibles. É o que se denomina "mínimos privilexios": só se pode acceder de maneira limitada, nas circunstancias establecidas e para un fin validado e comprobado.

Vantaxes de contar cun modelo "Zero Trust" na vosa empresa

A arquitectura de "Confianza Cero" comezou utilizándose en áreas ou departamentos específicos dunha organización; aqueles que resultaban críticos para o desenvolvemento da actividade ou cuxos datos necesitaban de especial seguridade e protección.

Pero actualmente utilízase xa no conxunto da empresa, o cal optimiza a súa seguridade e as súas capacidades de maneira global. De feito, recoméndase a cada empresa que defina as súas prioridades e harmonice as súas políticas de acceso de maneira coordinada e cun enfoque integral.

Seguridade e optimización de recursos: as grandes vantaxes dunha arquitectura "Zero Trust"

Unha arquitectura deste tipo reduce o ciberrisco delimitando (e eliminando) a superficie de ataque posible. Desta maneira, increméntase a seguridade no acceso a internet e cóntase cunha estratexia de seguridade máis eficiente fronte a todo tipo de ciberameazas, ademais de contar con datos reais sobre a actividade de seguridade da vosa empresa.

Coa seguridade baixo control, unha arquitectura "Zero Trust" permite mellorar o rendemento de aplicacións e equipos, fundamentalmente porque se optimiza o tráfico en subredes. Así que non só protexe o acceso á rede corporativa senón que favorece a xestión eficiente e segura de cada recurso, técnico e humano.

Un dos seus grandes valores é a protección integral de datos, un activo fundamental en toda empresa. A propia autenticación vira ao redor deles; o común é aplicar políticas baseadas nos atributos dos datos, en función do/a usuario/a ou da contorna.

Consellos para implantar unha arquitectura "Zero Trust"

Hai diversas formas de implantar unha arquitectura "Zero Trust", en función do tamaño, sector, obxectivos... Cada empresa debe elixir a máis apropiada para ela, tendo sempre en conta cuestións como as seguintes:

  • Deseñar unha folla de ruta.

  • Definir se se quere protexer de maneira especial algunha información, servizo ou área ou se é de aplicación para o conxunto da empresa; é dicir, definir a superficie de protección.

  • Definir e catalogar todos os activos, dispositivos e datos.

  • Identificar transaccións de datos.

  • Analizar contexto.

  • Facer seguimento. A supervisión e a avaliación deben ser constantes.

  • Dispoñer os recursos necesarios.

  • Concienciar o conxunto da organización.

  • Acordar Políticas de Control de Acceso.

  • Asignar roles, permisos e accesos.

  • Utilizar a microsegmentación para evitar desvíos de datos.

Falamos, pois, dun modelo estratéxico de ciberseguridade que pode axudarnos a evitar ataques e vulnerabilidades, coas consecuentes perdas económicas, de datos, reputación ou de confianza por parte dos/as usuarios/as.

Nun contexto dixital no que a ciberseguridade resulta prioritaria, "Zero Trust" é unha tendencia á alza e unha boa opción para que as vosas empresas corran menos riscos e lle poidan dedicar máis recursos e esforzos a gañar competitividade nos mercados.

Se queres saber máis sobre as nosas solucións tecnolóxicas para empresas, subscríbete ao noso boletín ou contacta co/coa teu/túa asesor/a persoal ou co noso equipo da área comercial empresas a través do seguinte formulario. E para estar ao día das últimas noticias síguenos en LinkedIn.