El incremento de ciberataques por todos los frentes ha llevado a que la industria hable de la seguridad Zero Trust con asiduidad. Un modelo donde se da por sentado que todo puede ser una amenaza y que no existe nada seguro ya sea un dispositivo, persona o sistema. Solo verificando su identidad e integridad se puede garantizar esa protección que, por otro lado, nunca será 100% efectiva sino una fórmula para mitigar males mayores en caso de que surjan ataques.
Este modelo se encuentra entre los conceptos más buscados por parte de las empresas. Sin embargo, desde firma analistas como Forrester advierten que entre el 50 y 70% de los clientes corporativo no entienden los conceptos básicos y principios en los que se debe basar esta protección empresarial. Y es que el marketing muchas veces nos ciega y no nos deja ver qué hay detras de ciertos mensajes que los fabricantes de ciberseguridad nos repiten una y otra vez.
Aunque está plenamente aceptos que esta filosofía es el camino que se debe recorrer para proteger las empresas, también es un arma de doble filo con el que se juega para llevar al equívoco. Y precisamente en ese punto queríamos poner un poco de orden con ciertos mitos a desterrar y donde el partner TI se erige como una pieza fundamental para el asesoramiento y evangelización de los clientes finales:
Vale para todos los problemas
El pensar que la seguridad Zero Trust es la mejor salida a todos los problemas es lógico. Los mensajes que recibimos van justo en esa dirección y encaminan a todos a seguir esta senda.
Sin embargo, en este camino hay muchos factores a tener en cuenta para que una seguridad Zero Trust sea efectiva. Para entenderlo mejor con ejemplos no será necesario tomar las mismas medidas en una carnicería con un solo ordenador para cobrar que en una fábrica que cuenta con dispositivos IoT conectados para la gestión de toda la producción.
La solución a un problema tecnológico
Derivado del anterior punto, en muchas ocasiones se entiende la seguridad Zero Trust como una fórmula para resolver un problema tecnológico concreto.
No obstante, este concepto busca ir más a allá y entender la protección empresarial como una estrategia más dentro de la organización. Se debe entender en su conjunto como una planificación para conseguir securizar todos los procesos, personas y tecnologías de la compañía.
Un producto concreto
¿Qué solución necesito para abordar una seguridad Zero Trust? Una cuestión muy habitual entre los clientes que consideran que este modelo se relaciona con ciertas herramientas concretas. Nada más lejos de la realidad.
Nadie puede vender una solución Zero Trus per se, sino que como partner TI debemos buscar cuáles son las soluciones que mejor se adaptan a esta filosofía para construir una estrategia de protección de principio a fin sabiendo gestionar accesos, información y servicios.
No confiar en los empleados
Cuando se habla de no confiar en nadie en una estrategia Zero Trust no supone que no haya que confiar en los empleados como tal. Para nada tiene que ver con la confianza depositada en los trabajadores, sino más bien en sus acciones que pueden convertir a la empresa en un blanco sencillo.
Por ello, la mejor aproximación para evitar malosentendidos es la formación. Con ello podremos ayudar a los trabajadores a estar prevenidos ante cualquier situación extraña y prevenir ciertas brechas de seguridad que llegan por una acción humana.
Díficil de implantar
Al tener que hablar de un compendio de soluciones y estrategia, muchas organizaciones pensarán que esta filosofía requiere mucho tiempo y esfuerzo para su implementación. Sin embargo, lo realmente costo para una organización es sufrir un ataque y sus graves consecuencias si no se tiene la estrategia adecuada.
Consciente de que muchos clientes perciben esta complejidad, los fabricantes trabajan en la colaboración y estandarización de soluciones para ofrecer más posibilidades a las empresas.
Solo hay un camino
De una forma u otra lo venimos repitiendo en todo el artículo, pero es un mito que bien le vale un punto propio. Y es que la ciberseguridad se puede concebir desde muchos puntos de vista y adentrarse desde muchos caminos para llegar al mismo destino.
Pensar primero en la gestión de accesos para ir dando privilegios según roles o blindar una infraestructura para tener una visibilidad única en la que después administrar acceso son dos aproximaciones diferentes, pero que persiguen el mismo fin. En este sentido, también podemos optar por una seguridad más centrada en la Red, en el software o en la segmentación de departamentos, por ejemplo.
Proteger la red es tener seguridad Zero Trust
Aunque se ha puesto muy de moda la protección de la Red ya que es el vehículo por el que traspasa gran parte de los movimientos de una empresa, la seguridad Zero Trust no supone solo una protección de la Red.
De hecho, la protección de la Red puede ser un eslabón más en la estrategia que debe llevar esta seguridad hasta el Edge. Un desafío esencial para abordar los entornos híbridos por donde ahora se mueven gran parte de las organizaciones.