La implantación de políticas Zero Trust, muy lejos de la madurez

Recomendados.... » Cómo integrar el ecommerce con el ERP y otros sistemas empresariales  Leer » ¿Por qué usar plataformas de comunicaciones unificadas en modo suscripción? Ver » La transformación tecnológica de la industria de la salud y farmacéutica Informe

Nuestros compañeros de IT Digital Security se hacían eco hace unos meses de que el 80% de los altos ejecutivos consideran zero trust una prioridad y, de hecho, Gartner considera este concepto de confianza cero como un paradigma de seguridad que identifica explícitamente a los usuarios y dispositivos y les concede el grado justo de acceso para que la empresa pueda operar con una fricción mínima al tiempo que se reducen los riesgos. Según la consultora, muchas organizaciones establecieron su infraestructura con modelos de confianza implícitos, en lugar de explícitos, para facilitar el acceso y las operaciones de los trabajadores y las cargas de trabajo. Sin embargo, los atacantes abusan de esta confianza implícita para inyectar el malware y luego moverse lateralmente para lograr sus objetivos.

En cambio, un enfoque zero trust implica un cambio de mentalidad para hacer frente a las amenazas, al exigir que la confianza sea evaluada de forma constante, explícitamente calculada y adaptable entre los usuarios, dispositivos y recursos.

Implementar una estrategia zero trust exige la colaboración de los directores de Seguridad de la información (CISO) y los líderes de gestión de riesgos para equilibrar la necesidad de seguridad con la de operar el negocio con eficiencia. Por tanto, definirán la estrategia y el alcance los programas y, una vez hecho esto, deben empezar por cómo llevar a cabo el proceso de creación de identidades y de cómo se van a gestionar, que es la base de este tipo de enfoque, y qué tecnología utilizar.

Pese a la reducción del riesgo que implican las estrategias 'zero trust' o de confianza cero y que las compañías las consideran prioritarias, queda mucho camino por recorrer. Según Gartner, solo el 1% tiene un programa maduro y medible, un porcentaje que se elevará a un discreto 10% en 2026.

En todo caso, subraya Gartner, que los CISO y los responsables de la gestión de riesgos no deben asumir que zero trust eliminará las ciberamenazas, simplemente reduce el riesgo y limita los impactos de un ataque. De hecho, sus analistas predicen que, hasta 2026, más de la mitad de los ciberataques estarán dirigidos a áreas que los controles de confianza cero no cubren y no pueden mitigar. Como explica, la superficie de ataque se está expandiendo muy rápido y los delincuentes se plantearán siempre atacar activos y vulnerabilidades fuera del alcance de las arquitecturas de confianza cero (ZTA, en sus siglas inglesas).

Su recomendación es que las organizaciones implanten primero zero trust para mejorar la mitigación de riesgos en los activos más críticos, ya que es ahí donde se obtendrá mejores resutados a la hora mitigar riesgos. Además, para complementar este tipo de política de segruidad, deben implementar un programa de gestión continua de la exposición a amenazas (CTEM).