Zero trust es una estrategia de seguridad que ayuda a prevenir violaciones de datos al eliminar el concepto de confianza dentro de la arquitectura de red de una organización. Esto no significa necesariamente que se desconfíe de los empleados, sino que, simplemente, se elimina la asunción de la confianza en personas, procesos y actos.
En pocas palabras, Zero Trust reconoce que la confianza es una vulnerabilidad principal. Recientemente, una anciana fue estafada a través de la aplicación Bizum porque un empleado de una tienda de móviles confió en unos delincuentes que solicitaron un duplicado de la SIM de la mujer. Al disponer de este clon de la tarjeta SIM de la anciana, pudieron acceder a la cuenta de la hermana y sustraer nada menos que 240.000 euros. Un error tan sencillo como el del empleado de la tienda dio como resultado un buen «golpe».
Este es un ejemplo de cómo al confiar sin verificar se compromete un sistema, en este caso una cuenta corriente. En el ámbito empresarial, cualquier error similar dará como resultado un problema de seguridad, como una fuga de datos, por ejemplo.
Se trata de una buena estrategia, pero la verdad es que existen una serie de mitos que, en ocasiones, frenan la adopción de Zero Trust. Veamos cuáles son.
Mito: Zero Trust resuelve un problema tecnológico
La confianza cero no resuelve un problema tecnológico, sino un problema empresarial. Precisamente, los sistemas tecnológicos se diseñan con la seguridad en mente, y son los usuarios los que deben demostrar en cada paso que dan a través de la red que de verdad tienen las credenciales adecuadas y que están autorizados a utilizar los diferentes servicios.
Mito: Zero Trust es un producto
Zero Trust es una estrategia, y no es desplegar una solución de gestión de identidades, o implementar el control de acceso y la segmentación de la red. Es una iniciativa estratégica diseñada para detener las violaciones de datos, una especie de manual de principios que se utilizan para construir un entorno tecnológico seguro.
Mito: La confianza cero implica no confiar en los empleados
Al basarse exclusivamente en el concepto de confianza podemos tender a pensar en las personas. En la confianza que tenemos en las personas, más específicamente. Sin embargo, la confianza es una vulnerabilidad que se aprovecha en las violaciones de datos. El objetivo de Zero Trust es que los sistemas no sean de confianza. Que nos pongan pruebas de acceso y que no haya excepciones. Simplemente, no es algo personal. Es similar a cuando un empleado veterano debe utilizar su tarjeta de acceso a las oficinas. No se desconfía de él, pero debe seguir verificando su identidad para entrar.
Mito: La confianza cero es difícil de aplicar
La confianza cero no es complicada, ni es más cara que las soluciones tradicionales de seguridad. Existen buenas herramientas accesibles en cuestión de costes, y quizás lo más complicado es cambiar la mentalidad o la cultura empresarial al respecto. Superar esos mitos como el de la «no confianza en las personas». Pero la parte puramente técnica no tan compleja.
Mito: Zero Trust sólo se puede enfocar desde un punto de vista
Con el tiempo, han surgido dos enfoques para implementar la confianza cero: desde el lado de la seguridad y desde el lado de la gestión de la identidad. Algunas organizaciones empiezan por la identidad y pasan rápidamente a desplegar la autenticación multifactor. Otras organizaciones adoptan un enfoque centrado en la red, abordando primero la microsegmentación, que puede ser un poco más compleja.