La ciberseguridad sigue siendo algo que preocupa a los empresarios pero, paradójicamente, el porcentaje de los que se preocupan realmente por ella es todavía muy reducido.
Hasta que la pandemia de la COVID-19 popularizó el teletrabajo, con lo que ello conlleva de dispositivos conectándose desde fuera de las oficinas a los datos corporativos, y migración de soluciones a la nube, la dinámica imperante en materia de ciberseguridad era construir lo que se conoce como “zona desmilitarizada”, es decir, un muro perimetral que protege de las amenazas exteriores, pero no de ninguna amenaza interior.
Podemos decir que, en la parte interior de la red, crea una zona en la que se puede confiar en que los equipos serán seguros. Pero, con el cambio del paradigma, no es que no podamos considerar que haya equipos seguros, es que los conceptos de interior y exterior de la red se difuminan y desaparecen.
Se hace necesario un nuevo enfoque para la ciberseguridad que tenga en cuenta este nuevo escenario, y dicho enfoque recibe el explícito nombre de Zero Trust.
Como ya podemos deducir, este nuevo paradigma se basa en no otorgar confianza a ninguno de los equipos que se conectan a la red, volviendo a comprobar su identidad cada vez que se reconectan nuevamente, incluso aunque su dirección MAC (por poner un ejemplo de un identificador unívoco) se haya conectado muchas veces antes, o la identificación del usuario corresponda a una persona también habitual en el sistema.
Huelga decir que, precisamente, las identificaciones de usuario son de múltiple factor (por ejemplo, utilizando un dispositivo personal), más que la introducción de un simple nombre de usuario y contraseña.
Las redes corporativas se segmentan para conseguir crear áreas independientes y estancas, de forma que un ataque exitoso a una sección de la red, quedará confinado en esta y no afectará por defecto al resto de la red y sus usuarios.
También podemos llegar a entender el paradigma Zero Trust como la aplicación a la parte interior de la red, del mismo tratamiento de desconfianza que deparamos a su parte exterior.
La implantación de este paradigma no es simple, puesto que requiere un cambio de pensamiento por parte tanto de los usuarios,que van a tener más trabajo identificándose más veces ante la red -y necesitarán comprender el porqué de ello- y aprendiendo a no confiar en ninguna petición que les llegue, como a los administradores de redes y de sistemas, ya que ello les requerirá también más trabajo.
Cuanto mayor sea el tamaño de la organización que quiera aplicar la Zero Trust, también se requerirá mayor inversión en tiempo y dinero.
Podemos leer más, y con mayor profundidad, sobre este paradigma en este completo artículo de CompTIA.