Beneficios de implantar un modelo Zero Trust en tu empresa

Fecha de publicación 13/12/2022
Autor
INCIBE (INCIBE)
Imagen representando nodos de conexiones

En el antiguo modelo de trabajo la seguridad de las empresas parecía un tema sencillo. Como cada mañana, los empleados llegaban a su lugar de trabajo, saludaban al vigilante de seguridad, que ya los conocía uno a uno, se sentaban en su correspondiente puesto, cada día el mismo, y encendían el equipo, que no se había movido de ahí en meses, incluso en años. Al introducir el usuario y contraseña ya estaban dentro del sistema, teniendo acceso a toda la información sin mayor comprobación. En los últimos años, se ha evolucionado hacia un modelo de trabajo diferente, en el que priman los dispositivos móviles, y cada vez se le da más importancia al teletrabajo. El hecho de poder trabajar desde cualquier parte del mundo tiene sus ventajas, pero el vigilante de seguridad no puede teletransportarse para comprobar que quien accede a la red de tu empresa realmente es quien dice ser.

A raíz de esto ha empezado a ganar popularidad el modelo Zero Trust, pero, ¿en qué consiste realmente? Como su propio nombre indica, traducido al castellano significa ‘’confianza cero’’ y se trata de desconfiar de cualquier usuario o dispositivo que intente acceder a algún recurso de nuestra organización desde fuera de la infraestructura de nuestra empresa, aunque ya haya accedido anteriormente. En otros términos, es como poner a muchos vigilantes de seguridad que controlan el acceso y transferencia de datos en la red corporativa desde diferentes lugares.

Además, otra de las características de este modelo es que analiza y registra los comportamientos para prever posibles futuras amenazas, es decir, si un usuario que se conecta normalmente desde Madrid intenta iniciar sesión repentinamente desde Dodoma en Tanzania, hará pensar a nuestro vigilante de seguridad Zero Trust que se trata de un movimiento sospechoso y, aunque el usuario y contraseña sean correctos, se le hará pasar por otros procesos de verificación.

En resumen, podríamos decir que la arquitectura Zero Trust se basa en los siguientes principios fundamentales:

  1. Verificación continua para todos los accesos, todo el tiempo. Ya no se trata de confiar y después verificar, sino de no confiar nunca y comprobar constantemente.
  2. Minimizar el impacto a través de:
    1. La microsegmentación, desglosando en pequeños módulos la infraestructura de la empresa. Cada uno de estos módulos posee sus propias políticas de seguridad, por lo que es más fácil de bloquear en caso de amenaza y no afectaría al resto de la red.
    2. El principio de los menores privilegios posibles, a través del cual se da a cada usuario solamente los privilegios básicos para realizar su trabajo y, en caso de que su actividad cambie, también se le cambiarían estos privilegios. Así, en caso de ser atacado un usuario, solo se vería afectada la parte a la que sus privilegios le permiten el acceso.
  3. Analizar y registrar comportamientos, obteniendo respuestas más precisas ante futuras amenazas.

Así que, ¿qué ventajas tendría implantar el modelo Zero Trust en tu empresa?

  • En primer lugar, garantizar la confianza, asegurando que cada dispositivo o usuario se conecte de forma segura desde cualquier lugar. En primer lugar, garantizar la confianza, asegurando que cada dispositivo o usuario se conecte de forma segura desde cualquier lugar. 
  • Evitar posibles ataques que pongan en peligro la seguridad de la empresa.
  • Además, el registro constante proporciona un inventario preciso que no solo nos ayuda con la seguridad, sino que puede ser beneficioso para nuestra organización a largo plazo.
  • Gracias a Zero Trust también se hace más sencillo el proceso de gestión de privilegios, pudiendo retirar los accesos a los usuarios que terminan su relación contractual con la empresa o modificarlos para los que cambian sus funciones.
  • Por último, cabe destacar que este modelo actúa como un seguro en protección de datos, que podría evitar una fuga de información tanto interna como externa.

Aunque el proceso de implantación del modelo Zero Trust puede resultar complejo para algunas empresas, los beneficios, como hemos visto, son múltiples. Una de las primeras tareas a realizar será el registro en un inventario de todos los dispositivos que se utilicen para trabajar en la organización, además de la creación de políticas que especifiquen cuáles de estos dispositivos son necesarios para el desarrollo del negocio y de los servicios de los que podemos prescindir para disminuir el riesgo de sufrir un incidente de seguridad.

Por otro lado, la formación de todos los empleados será crucial para afrontar el cambio que supone el tránsito hacia este nuevo modelo y llevarlo a cabo de forma paulatina, teniendo en cuenta la tecnología usada y el tamaño de la empresa.

En conclusión, la implantación del modelo Zero Trust puede suponer una inversión inicial de tiempo y recursos, pero los beneficios a la larga garantizarán una empresa con mayor seguridad de la información, una reducción del número de incidentes y, en consecuencia, de los daños que estos puedan ocasionar.

Recuerda que puedes contactar con nosotros a través de la Línea de Ayuda en Ciberseguridad de INCIBE (017), los canales de mensajería instantánea de WhatsApp (900 116 117) y Telegram (@INCIBE017), o el formulario de contacto para empresas que encontrarás en nuestra web. Expertos en la materia resolverán cualquier conflicto online relacionado con el uso de la tecnología y los dispositivos conectados.

Contenido realizado en el marco de los fondos del Plan de Recuperación, Transformación y Resiliencia del Gobierno de España, financiado por la Unión Europea (Next Generation).