Para proteger una organización, a veces se requieren de medidas extremas para velar por la seguridad de una compañía.
La ciberseguridad dentro de una empresa es un aspecto al que hoy en día se le debe dar mucha importancia, inculcando medidas preventivas y reactivas ante los posibles incidentes de seguridad que puedan ocurrir.
A pesar de esto, tomar las diferentes decisiones conlleva un riesgo que hay que analizar, desde el costo hasta su definición, pasando por el tiempo de uso y de aprendizaje por parte de los miembros.
No obstante, existen gerencias que deciden llevar al máximo los planes de seguridad de la organización, estableciendo una conducta de seguridad interna llevada al límite para evitar cualquier ataque interno posible, pero también evitar vulnerabilidades que puedan ser explotadas por una falta de concienciación y el uso indebido de las herramientas de la empresa.
A este conjunto de medidas se las conoce como Zero Trust Network Access (ZTNA) o más acotado como Zero Trust. Esta es una idea que ha tomado mucha fuerza en los últimos años.
Fue introducida primeramente en el año 2010, marcando una diferencia con la tendencia que se venía marcando desde ese entonces de «Confiar, pero verificar«. Con ZTNA se presenta el modelo de «Nunca confiar y verificar siempre«.
Es que tengamos en cuenta que el avance de la tecnología ha fomentado que las organizaciones decidan instruir a sus empleados a trabajar en la red e incluso desde la nube, pudiéndose ubicar en localizaciones remotas.
Zero Trust no es solamente una estrategia, es un cambio radical en la forma de proteger información y los datos privados, haciendo énfasis en tres principios clave:
- No confiar en nadie.
- Otorgar privilegios mínimos a los miembros de la compañía.
- Realizar un análisis de seguridad constante y recurrente.
En un modelo clásico, las amenazas suelen venir del exterior, pero hoy en día, por la falta de concienciación de los empleados e incluso por acciones que atentan intencionadamente contra la seguridad de la misma compañía por parte de los llamados ‘Insiders‘, ese concepto se ha redefinido, y con ZTNA se debe demostrar todo el tiempo que una persona es de confianza con la finalidad de evitar ataques internos.
Podemos utilizar el siguiente ejemplo. Imaginemos que nosotros colocamos nuestro usuario y contraseña en la plataforma web que utiliza la compañía. Incluso siendo nosotros miembros de la misma, se nos pedirá una comprobación de identidad ya que en un inicio se considera al usuario como que no es de fiar. Cada vez que se accede a la red, se debe verificar la identidad a través de otro factor de autenticación.
Este conjunto de decisiones parece ser bastante interesante, aunque cuenta con la desventaja de ser muy pesado ante miembros que no estén familiarizados con este concepto, pudiendo presentar quejas, molestias, incomodidad, entre otros sentimientos, pero está demostrado que la implementación de un sistema de Zero Trust puede traer buenos resultados.
Según datos de un informe, la implementación de un ZTNA permitió reducir pérdidas de casi 5 millones de dólares solo en 2023, aumento los presupuestos para estas políticas en 32 mil millones de dólares, pudiéndose duplicar para los próximos 5 años.
Lo cierto es que el triunfo del Zero Trust dependerá plenamente de la continua evolución ante las amenazas futuras que vayan surgiendo, pues no siempre es cuestión de desconfiar de aquellos que sean parte de una organización.