Mitos acerca del modelo Zero Trust Security que conviene derribar
Zero trust es una estrategia de seguridad que ayuda a prevenir violaciones de datos al eliminar el concepto de confianza dentro de la arquitectura de red de una organización. Esto no significa necesariamente que se desconfíe de los empleados, sino que, simplemente, se elimina la asunción de la confianza en personas, procesos y actos.
En pocas palabras, Zero Trust reconoce que la confianza es una vulnerabilidad principal. Porque confiar sin verificar compromete los sistemas y esto, hablando del ámbito empresarial, se traduce en un problema de seguridad, como una fuga de datos, que puede comprometer el futuro del negocio. Pero como sucede en muchos casos, el enfoque Zero Trust se enfrenta a una serie de mitos que en ocasiones frenan su adopción. Veamos cuáles son.
Zero Trust resuelve un problema tecnológico
La confianza cero no resuelve un problema tecnológico, sino un problema empresarial. Precisamente, los sistemas tecnológicos se diseñan con la seguridad en mente, y son los usuarios los que deben demostrar en cada paso que dan a través de la red que de verdad tienen las credenciales adecuadas y que están autorizados a utilizar los diferentes servicios.
Zero Trust es un producto
Zero Trust es una estrategia, y no es desplegar una solución de gestión de identidades, o implementar el control de acceso y la segmentación de la red. Es una iniciativa estratégica diseñada para detener las violaciones de datos, una especie de manual de principios que se utilizan para construir un entorno tecnológico seguro.
La confianza cero implica no confiar en los empleados
Al basarse exclusivamente en el concepto de confianza podemos tender a pensar en las personas. En la confianza que tenemos en las personas, más específicamente. Sin embargo, la confianza es una vulnerabilidad que se aprovecha en las violaciones de datos. El objetivo de Zero Trust es que los sistemas no sean de confianza. Que nos pongan pruebas de acceso y que no haya excepciones. Simplemente, no es algo personal. Es similar a cuando un empleado veterano debe utilizar su tarjeta de acceso a las oficinas. No se desconfía de él, pero debe seguir verificando su identidad para entrar.
La confianza cero es difícil de aplicar
La confianza cero no es complicada, ni es más cara que las soluciones tradicionales de seguridad. Existen buenas herramientas accesibles en cuestión de costes, y quizás lo más complicado es cambiar la mentalidad o la cultura empresarial al respecto. Superar esos mitos como el de la «no confianza en las personas». Pero la parte puramente técnica no tan compleja.
Zero Trust sólo se puede enfocar desde un punto de vista
Con el tiempo, han surgido dos enfoques para implementar la confianza cero: desde el lado de la seguridad y desde el lado de la gestión de la identidad. Algunas organizaciones empiezan por la identidad y pasan rápidamente a desplegar la autenticación multifactor. Otras organizaciones adoptan un enfoque centrado en la red, abordando primero la microsegmentación, que puede ser un poco más compleja.